Перейти к содержанию
VladB

Проактивная защита. Плюсы и... минусы

Recommended Posts

Илья Рабинович
Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?Представим,что до этого правила составлены там средним провинутым,но не профи.

Такой термин как "задержала" в данном случае неприменим. Любая неэкспертная система не может выдавать вердикты.

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?

Ну, есть HIPS с "подшлифованными" к ним антивирусными сканерами. Но, ещё раз- HIPS ничего не сканируют. Это дело экспертных систем.

Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.Кстати,программа на русском?

Полное непонимание принципов работы превентивной защиты на основе контроля поведения. И да, версия на русском есть.

Забыл,что при инсталлировании прог на русском у меня вместо букв вопросы,поэтому бесполезно.

Локали нормально пропиши- и всё будет пучком.

Хватило бы вполне,если в документации можно на русском прочитать,что одна или другая кнопка означает,а также всплывающие окна что спрашивают.

Ничего не спрашивают, поскольку их там не вообще! Во второй версии будут (точнее, уже есть) всплывающие уведомительные окна, но и они ничего не спрашивают- только уведомляют о потенциально опасных событиях.

Пользуется DefenseWall'ом (в данном случае о ней разговор) среднепродвинутый пользователь и старательно составляет правила

Ну вот это сильно вряд ли, поскольку правила составляю я и они жёстко прошиты в драйвере (чтобы туда не лез никто). Поскольку программа предназначена для вообще непродвинутых пользователей, коих подавляющее большинство (среди моих знакомых- ситуация аналогична).

Ответить разок-десятый на кучу вопросов для создания правил не боюсь.

А кучи вопросов и не будет! Какой облом... :lol: У sandbox HIPS вопросов к пользователям вообще обычно не возникает, поскольку пользователи данных продуктов просто не знают на них ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Теперь понял.Но мне это не мешает.

Локали нормально пропиши- и всё будет пучком.

Хорошо.Какие буквы и куда?

программа предназначена для вообще непродвинутых пользователей, коих подавляющее большинство

Как раз для меня.Известны какие-либо АВ,которым DefenseWall не помешает,если я его только для скана компа стартану и для апдейтов с максимально невключенными модулями,так как ради этого не охота деинсталлировать DefenseWall,перестартовать,инсталлировать АВ,перестартовать,скан,деин. АВ,перестарт,DefenseWall назад,перестарт.Надо же и убедиться,что защищён был.Если из требуемых лицензию что известно,конечно.Только если модуль скана по требованию включать.

версия на русском есть.

Можно выбрать язык в опциях?Или отдельная версия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

2 Inkogn: в свете ваших последних реплик я просто рекомендую вам скачать DW (благо дистрибутив, как у всех HIPS, весьма незначителен по размеру) и самому посмотреть на продукт. Я могу вкратце описать, чего вам следует ждать от продукта; в случае чего Илья Рабинович меня поправит. DW - это HIPS типа Sandbox, в основе которой лежит разграничение доверенных и недоверенных приложений. Доверенные приложения никаким образом не ограничены в своих действиях; недоверенные же запускаются в виртуальной среде, где HIPS создает имитацию системы. Таким образом, недоверенное приложение просто не в состоянии вообще что-либо сделать с настоящей системой. Но имейте в виду, что вам нужно будет сознательно запускать приложение как недоверенное из контекстного меню. Автоматически приложение может быть запущено как недоверенное только в том случае, если вы определили как недоверенную ту папку, в которой оно находится. К примеру, вы можете задать недоверенной папку загрузок вашего менеджера закачек.

Добавлено спустя 5 минут 28 секунд:

И к слову: еще раз напоминаю вам, что системы проактивной защиты не конфликтуют с системами реактивной защиты.. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
системы проактивной защиты не конфликтуют с системами реактивной защиты..

Значит,могу КИС,благо лицензия ещё есть,дальше полноценно использовать,или некоторые модули не включать,или лучше сразу без них инсталлировать,что бы в одном месте не пытались 2 драйвера работать.Или другой АВ искать.Мне же нужно и гарантии некие,что АВ не покосит DefenseWall'a

DW - это HIPS типа Sandbox, в основе которой лежит разграничение доверенных и недоверенных приложений. ...К примеру, вы можете задать недоверенной папку загрузок вашего менеджера закачек.

Да,я вкурсе давно о том,то можно было прочитать.Если я все папки недоверенными сделаю,комп тормозит?Осуществлено,что новоинсталлированные приложения автоматом недоверенные становятся,даже если из доверенной папки в доверенную инсталлирутся и пользователь не подтвердил доверенность этого новоинсталлируемого приложеня?Или просто если я что-то упустил,то сачала (...Автоматически приложение может быть запущено как недоверенное только в том случае,...) приложение становится доверенным?Да и английский не для меня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

KIS может при установке DW сообщить о Trojan.Generic - следует разрешить. По умолчанию DW признает все приложения доверенными, т.е. если вы никак не определили приложение, оно будет считаться доверенным. Ни в коем случае не определяйте недоверенными системный диск и системные папки! Также имейте в виду, что, чтобы иметь возможность сохранять на диск результаты работы программы, она должна быть доверенной, иначе все исчезнет с перезагрузкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
...Внук придёт, софт поставит, в списки не внесёт, бабка скачает зловреда, он ей поест систему...
Эта проблема решается значительно проще. Постоянным мониторингом устанавливаемого софта на предмет нуждающегося в автоматическом добавлении в список. Хорошо, сделаем- проблем нет!

Уже позади?

Ладно,скачивается недоверенным ИЕ исполняемый файл,сохраняется на десктоп и запускается.Теперь не знаю,где десктоп,в недоверенных?Я бы попробовал сам,но не на английском,так как может стать ещё интереснее и придётся очень долго писать в переводчика.Где линк на русский DefenseWall?Ладно,можно на английском,но мне не просто некую прогу поставить охота,а и теорию (для дилетанта) знать.В общих чертах звучит всё хорошо,к этому привычно.И возможно ли что сделать,если при установке русского DefenseWall на комп с нерусским ХР будут вместо русских букв вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Хорошо.Какие буквы и куда?

Какие такие буквы? Локали- это не буквы, однако!

Как раз для меня.Известны какие-либо АВ,которым DefenseWall не помешает,если я его только для скана компа стартану и для апдейтов с максимально невключенными модулями,так как ради этого не охота деинсталлировать DefenseWall,перестартовать,инсталлировать АВ,перестартовать,скан,деин. АВ,перестарт,DefenseWall назад,перестарт.Надо же и убедиться,что защищён был.Если из требуемых лицензию что известно,конечно.Только если модуль скана по требованию включать.

Все известные проблемы с антивирусами уже давным-давно решены.

Можно выбрать язык в опциях?Или отдельная версия?

Отдельная версия из-за скина.

Доверенные приложения никаким образом не ограничены в своих действиях; недоверенные же запускаются в виртуальной среде, где HIPS создает имитацию системы.

Не имитацию, а разграничение действий на основе правил + немного виртуализации в реестре. Имитацию системы создают полноценные большие системы hardware virtualization типа VMWare.

Но имейте в виду, что вам нужно будет сознательно запускать приложение как недоверенное из контекстного меню. Автоматически приложение может быть запущено как недоверенное только в том случае, если вы определили как недоверенную ту папку, в которой оно находится.

И снове неправильно. Программа автоматически определяет более 30 приложений (браузер, почтовики и т.д.) при установке и добавляет в список недоверенных. И не обязательно добавлять папку- можно добавить и отдельные приложения без проблем.

Если я все папки недоверенными сделаю,комп тормозит

Нет. Просто не запуститься :).

Также имейте в виду, что, чтобы иметь возможность сохранять на диск результаты работы программы, она должна быть доверенной, иначе все исчезнет с перезагрузкой.

:shock: Да меня бы уже давно побили за такие дела- без спроса удалять пользовательские файлы! Ничего никуда не удаляется- ни при перезагрузке, ни без неё.

Уже позади?

Да, в версии 2.0.

Ладно,скачивается недоверенным ИЕ исполняемый файл,сохраняется на десктоп и запускается.Теперь не знаю,где десктоп,в недоверенных?

Десктоп (то есть Проводник)- в доверенных, исполняемый файл- в списке недоверенных (при нормальном режиме работы).

А линк- наверху сайта посмотри, там русский флажок (махонький такой, но другого нет- за что нашёл, за то и продаю, а сам рисовать не умею).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Что дальше?Лицензионные условия не прочесть,но это ладно,кто уж читает.DW2.0 по русски есть пробовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Не имитацию, а разграничение действий на основе правил + немного виртуализации в реестре. Имитацию системы создают полноценные большие системы hardware virtualization типа VMWare.

И снове неправильно. Программа автоматически определяет более 30 приложений (браузер, почтовики и т.д.) при установке и добавляет в список недоверенных. И не обязательно добавлять папку- можно добавить и отдельные приложения без проблем.

Это частности, я же мыслю глобально :D:D:D

:shock: Да меня бы уже давно побили за такие дела- без спроса удалять пользовательские файлы! Ничего никуда не удаляется- ни при перезагрузке, ни без неё.

То есть результаты работы недоверенных приложений хранятся на диске? А где? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
То есть результаты работы недоверенных приложений хранятся на диске? А где?

Там, где их и сохранили (при условии что эьто не нарушает провил для создания и модификации уже существующих файлов). Те, что имеют контролируемые расширения, добавляютс яавтоматом в список недоверенных (при стандартном режиме работы).

Добавлено спустя 9 минут 40 секунд:

Что дальше?Лицензионные условия не прочесть,но это ладно,кто уж читает.DW2.0 по русски есть пробовать?

Я же писал уже два раза: измени в локали язык на русский- и будет тебе счастье! Но ведь нет! Ежики продолжали колоться, но ели кактус...

Конечно, беты под русский у меня нет! Писать и поддерживать две беты одновременно- это уже слишком, мне и одной хватает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Я же писал уже два раза: измени в локали язык на русский- и будет тебе счастье

Ещё как.Теперь я знаю,что эта настройка делает.Если бы был путь описан,понял бы сразу,а то думал,что что в Registry написать.Не среднепродвинутый не понял бы,а кому объяснять?

Не все буквы влазиют в кнопки.Потому,что из-за величины экрана приходится ставить разрешение на 120DPI,вместо стандартных 96,иначе всё мелко.Возможно что с программной стороны учесть?

Идея с защищёнными файлами/папками есть супер.Какие ограничения ожидать,если Explorer в недоверенные добавить?

В "Откате изменений" нужна кнопка,типа стирающей всё из списка,только стирающая с диска все выбранные в "откате..." файлы при одном переспрашивании/подтверждении.Иначе очень долго каждый отдельный файл подтверждать.

Кроме того,нигде в документации не написано,что изменения в настройках возможны только с админправами.У этого есть плюсы:пользователи с ограниченными правами не могут там ничего изменить,а то бы была необходимость паролем доступ закрывать на прогу,как у КАВа.Наверно,это было не умышленно,так как есть недостатки,я думаю,связанные с этим,по "замерзанию".Так же любой напугается,выключив прогу с огранаккоунта Task-Manager'ом.Кто будет смотреть,что недоверенные отслеживаются (?),во всякм случае возникающее от них оказывается в "недоверенных",если прогу после запустить.Есть ещё одна необходимость для удобности использования,про которую как-нибудь позже,и кое-что по документации.

Была ещё стоп-ошибка по dwall.sys.На одном ограниченном аккоунте она всегда воспроизводилась,на другом нет.Буквы и нули с адресом записал,в них ничего не понимаю.Что там в 2.0 переделывать,кроме несколько кнопок или сообщений,контекста, и это на русском написать?Разрываться всё равно на бету и теперь на релиз,который у меня.Лучше уж на бету.

Папка в "закрытые файлы" добавляется только через котекст-меню правой кнопки.Непосредственно через окошко программы нет,так не появляется там и не становится защищённой.Через контекст правой - да.Всё это мелочи,в идеале надо на свежем XP пробовать.

Capture01.03.2007.gif

post-84-1172849846.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Не все буквы влазиют в кнопки.Потому,что из-за величины экрана приходится ставить разрешение на 120DPI,вместо стандартных 96,иначе всё мелко.Возможно что с программной стороны учесть?

У меня самого шрифт 120dpi. Проблем с текстом в кнопках нет.

Идея с защищёнными файлами/папками есть супер.Какие ограничения ожидать,если Explorer в недоверенные добавить?

Плохо будет. :)

В "Откате изменений" нужна кнопка,типа стирающей всё из списка,только стирающая с диска все выбранные в "откате..." файлы при одном переспрашивании/подтверждении.Иначе очень долго каждый отдельный файл подтверждать.

Уже сделано в 2.0.

Кроме того,нигде в документации не написано,что изменения в настройках возможны только с админправами.У этого есть плюсы:пользователи с ограниченными правами не могут там ничего изменить,а то бы была необходимость паролем доступ закрывать на прогу,как у КАВа.Наверно,это было не умышленно,так как есть недостатки,я думаю,связанные с этим,по "замерзанию".Так же любой напугается,выключив прогу с огранаккоунта Task-Manager'ом.Кто будет смотреть,что недоверенные отслеживаются (?),во всякм случае возникающее от них оказывается в "недоверенных",если прогу после запустить.Есть ещё одна необходимость для удобности использования,про которую как-нибудь позже,и кое-что по документации.

Управление под ограниченными правами реализовано в 2.0.

Была ещё стоп-ошибка по dwall.sys.На одном ограниченном аккоунте она всегда воспроизводилась,на другом нет.Буквы и нули с адресом записал,в них ничего не понимаю.Что там в 2.0 переделывать,кроме несколько кнопок или сообщений,контекста, и это на русском написать?Разрываться всё равно на бету и теперь на релиз,который у меня.Лучше уж на бету.

Шли минидамп. Это .dmp - файл в директории %windir%Minidump

Папка в "закрытые файлы" добавляется только через котекст-меню правой кнопки.Непосредственно через окошко программы нет,так не появляется там и не становится защищённой.Через контекст правой - да.Всё это мелочи,в идеале надо на свежем XP пробовать.

Под какими правами запускается GUI?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
У меня самого шрифт 120dpi. Проблем с текстом в кнопках нет.

Если меняю на 96,то всё становится правильно,попробовано,на 120 опять не помещается.Может,графиккарта?

Управление под ограниченными правами реализовано в 2.0.

Защищено от изменения настроек всеми,кому любопытно?

Под какими правами запускается GUI?

Старуешь комп,потом появляется экран с выбором пользователя,выбираешь кого,загружается,появляется DW с напоминанием и кнопкой "пробовать".С правами пользователя.Так же и в Task-Manager'e,defensewall.exe с правами пользователя и под его именем.Даже если на кнопку "пробовать" не жмёшь,прога функционирует.Что такое GUI,если не угадал?

Шли минидамп. Это .dmp - файл в директории %windir%Minidump

Нету.Потому,что "сохранять дебугинформацию" отключил вообще?Но теперь на полную инфу включил.Вопроизводить ошибку,честно говоря,не буду,так как уговорился 2.0 пробовать.Сейчас переинсталлирую.Надеюсь,что документацию можно мышкой копировать,что бы в переводчика внести,а не вручную перепечатывать.

Та стоп-ошибка происходила из-за MSN-Messenger,внесённого в недоверенного.Когда вынес оттуда,перестало и постоянно только на одном аккоунте,когда MSN там в инет выйдет.Теперь уже не помню,в каком огранаккоунте *.exe'шка подозрительная была запущена и принесла,как я думаю,того найденного трояна.Наверно,только им не ограничилось.MSN в доверенных мне не пойдёт,в скором думаю Виндовса переставлять.

Как скачать DW2.0?Там по линку только 1.74

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

DW2.0

К картинке 1. Не могу ICQLite передвинуть выше,куда ни нажимаю.

К 2. Как этот процесс доверенной .ехе сделать доверенным?Жал в контексте правой "стартовать как доверенный",но он опять туда "сбился".

С 10 по 15 идёт речь о кнопках справа внизу при увеличении.

Стоп-ошибка записана,уже не dwall.sys,но выносиш MSN из недоверенных,всё в порядке.512 MB.Переделать на запись только кернеля,или так пойдёт на будущее?Слать на info@**** support@****?По английски не могу.

15.gif

14.gif

13.gif

12.gif

11.gif

10.gif

2.gif

1.gif

post-84-1172937019.gif

post-1-1172937019.gif

post-1-1172937020.gif

post-1-1172937021.gif

post-1-1172937022.gif

post-1-1172937023.gif

post-1-1172937024.gif

post-1-1172937025.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
DW2.0

К картинке 1. Не могу ICQLite передвинуть выше,куда ни нажимаю.

К 2. Как этот процесс доверенной .ехе сделать доверенным?Жал в контексте правой "стартовать как доверенный",но он опять туда "сбился".

С 10 по 15 идёт речь о кнопках справа внизу при увеличении.

Стоп-ошибка записана,уже не dwall.sys,но выносиш MSN из недоверенных,всё в порядке.512 MB.Переделать на запись только кернеля,или так пойдёт на будущее?Слать на info@**** support@****?По английски не могу.

1. Так, понятно. Элементы диалога поплыли. Это под 96dpi?

2. Какой именно процесс? Что пишется в логе?

3. С MSN-ом под NTFS я уже разобрался- двойное освобождение памяти в обработчике, ничего слать не надо. В следующей бете будет опубликовано.

4. В настройках- сделать не полный дамп памяти, а минидамп (это 64 килобайта будет в дампе).

5. Слать мне можно на support@ и на русском. Но можно и на английском если что :lol:

6. Не стоит захлямлять этот форум отчётами об ошибках- за сим есть мой форум поддержки (правда, он на английском) и мыло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrey Novikoff

На самом деле Вы подняли очень важный вопрос. Мое мнение таково - Desktop Anti-Virus делает плохую проактивность. Фактически он пытается запустить вирус в рабочей системе, потом пытается делать некий "откат" и т.д. Все это ведет к тому, что проактивностью назвать это очень тяжело. Я бы со своей стороны предложил Вам ознакомиться с лучшим на мой взгляд продуктом для проактивной фильтрации контента, зовут его eSafe (www.aladdin.com). В нашей организации стоит такой шлюз, который делает реальную проактивность и я к примеру всем доволен. Вот такие дела. Всем удачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> зовут его eSafe (www.aladdin.com)

Хи-хи, CheckPoint Solution, а чьим движком пользуется чекпоинт, я думаю вы знаете, это даже по именам малвар видно. То что "я к примеру всем доволен", это вполне естественно - никто особо не жалуется :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
> зовут его eSafe (www.aladdin.com)

Хи-хи, CheckPoint Solution, а чьим движком пользуется чекпоинт, я думаю вы знаете, это даже по именам малвар видно. То что "я к примеру всем доволен", это вполне естественно - никто особо не жалуется :)

А какой именно движок там? Т.е. это корпоративная проактивка? Что-то вроде BitHunt? "Родные" продукты ЛК на этом движке имеются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×