Перейти к содержанию
Anmawe

Несанкционированный доступ к информации

Recommended Posts

Anmawe

Правила разграничения доступа (англ. access mediation rules) — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

Кто эти правила создает ? Вот допустим у пользователя в HIPS-е свои правила , какой процесс к каким файлам имеет доступ (чтение, изменение и т.д.) . То есть я хочу, чтобы программа не делала то, что по моему мнению (или по мнению любого пользователя) не нужно делать .

Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены

Или пользователь тут ни при чем, и не он создает Правила разграничения доступа ?

Например, в HIPS-е я пометил определенные файлы как персональные данные (разрешил чтение этих файлов только конкретным программам) . По моему мнению, эти файлы могут читать только эти программы. Если их пытается прочесть какая-то другая программа - это несанкционированный доступ ? Если у меня свои Правила разграничения доступа .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Anmawe несколько раз поднимал эту тему, когда речь заходила о детекте вполне себе легитимных программ только потому, что кому-то в антивирусной компании они не нравятся. Сейчас нет никаких четких и документированных где-либо критериев отнесения поведения программы в вредоносному или несанкционированному.

Все трактуется на бытовом уровне. Мол незачем такой-то программе лезть в эту ветку реестра или изменить такие-то файлы. При это антивирусные эксперты ссылаются на необоснованность действий программы. И в целом получается, что оправдываться должны разработчики этой программы, когда их уже начали детектировать антивирусные программы.

Здесь много тонких моментов. Например, может стоить вполне себе легитимный кейлоггер от DLP-системы, действия которого будут санкционированы администратором сети. Но антивирус может и скорее всего на него стработает, посчитал его действия нелегитимными. Помните давнюю историю с Radmin? Они отмазывались от детектов несколько лет и, по-моему так и не решили проблему полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×