DefenseWall от Ильи Рабиновича

[Deja_Vu 366]

Если этот пользователь немного соображает, то тогда он будет знать, что новые настройки не будут применяться если он его не переносит.

Разве не будет применяться?

[Илья Рабинович 521]

Но поддельный твикер для пользователя будет казаться настоящим и он его переносит в Доверенные, не так?

Паул, вопрос на самом деле в том, что DefenseWall- это не отдельное средство защиты. Я повторял уже не раз (кстати, в отчёте AV-Comparatives об этом также сказано достаточно чётко и ясно)- любая песочница (и DefenseWall в их числе) есть средство защиты от зловредных действий, когда все остальные (сигнатурный и поведенческий детект + эвристика) не справились.

Поэтому выходит - хочет юзер твикануть систему, а не может - приходится доверенным запускать - с хоакс также - запустит наверняка доверенным.

Если его убедят в этом и остальные средства защиты не среагируют- да, конечно. Социальная инженерия работала ещё тогда, когда компьютеров не существовало.

Или эта проблема не настолько серьезна, что бы на нее обращать внимание?

Эта проблема не в продукте, а в пользователе.

[p2u 824]

любая песочница (и DefenseWall в их числе) есть средство защиты от зловредных действий, когда все остальные (сигнатурный и поведенческий детект + эвристика) не справились.

Сам я это знаю, Илья. Я вслух задаю вопросы, которые могут возникнуть у тех, которые это не знают.

Paul

[Андрей-001 1099]

Юзер качает из вконтакте по левой ссылке себе трояна (ему от друга пришло сообщение типа - "о, глянь какая штука!") и запускает его. Троян этот можно назвать hoax - блокирует регедит, таскс менеджер, прописывается в автозагрузку, выводит на весь экран свое окно с требованием отправить смс и ввести пароль, также мешает закрытию своего окна и восстанавливает его в случае если юзер жмет на разные нехорошие с точки зрения малваре кнопки...

Фига с два этому трояну запуститься на выполнение, когда есть DW!

Я две недели пользовался ПК только с одним DefenseWall HIPS без какого-то другого защитного средства. При этом я даже сверхактивно пользовался Инетом и его разношёрстным содержимым, и жена пользовалась, а она пользователь такой, который тыкает куда нипопадя и качает, что попало.

Из всех реклам, которые вылазят в Инете, специально ничего не блокировалось никакой иной программой. За всем присматривал только DefenseWall HIPS.

В Автозагрузку не проник никто, а при антивирусах такое бывало не раз.

После двух недель я не стал проверять систему антивирусом, а стал смотреть "злачные" места системы сам.

Нашёл три зловреда, которые лежали в пользовательской директории Documents and Settings без движения, боясь шелохнуться. Это были Trojan-Ransom, Trojan.Blackmailer и ещё один, который захватывает админстративные права (kkk... забыл название). Влететь то они влетели, но чёрные дела свои сделать не смогли.

Антивирусная проверка показала, что других зловредов не было вообще.

Кстати, потом ещё две недели по очереди я пользовался DefenseWall HIPS совместно с Avira AV Premium и SS Premium, благо полученные по акциям ключики ещё действуют.

И, знаете, DefenseWall HIPS и авировцы полностью сработались. Знакомство прошло на ура. По работе не было ни одного сбоя. Всё работало чётко!

Ещё, кстати, DefenseWall HIPS аналогично совместим с a-squared Free (с a-squared Anti-Malware не проверял - не успел). Скажу больше, при работе вместе трёх этих продуктов DW, Avira и a-squared Free - ни разу не возникло никакого конфликта.

Работающие недоверенными, они безвредны.

Точно так!

треть программ работать не будет - это тоже ясно

Всё работает, но работает под бдительным присмотром.

[Илья Рабинович 521]

а вот то, что треть программ работать не будет - это тоже ясно (имеется в виду - из недоверенных).

Кстати, упустил из вида эту фразу. На самом деле, подавляющее большинство программ могут быть установлены как недоверенные и будут работать. Естественно, с системный софтом или с программами, глубоко интегрирующими себя в ОС такое не пройдёт, но его не так уж и много.

[priv8v 960]

Фига с два этому трояну запуститься на выполнение, когда есть DW!

Андрей это при Ваших умениях .

Выше я моделировал ситуацию с простым юзером и двойным вопросом о программах со схожим поведением (с той лишь разницей, что одна из них клянчит деньги, а другая - нет).

Если его убедят в этом и остальные средства защиты не среагируют- да, конечно. Социальная инженерия работала ещё тогда, когда компьютеров не существовало.

Хм... Я не подумал о том, что у юзера есть на компе еще что-то кроме DW

В принципе, если отбрасывать соц.инженерию, то со своей работой продукт хорошо справляется.

Т.к с помощью соц.инж. можно убедить юзера DW и вовсе удалить с ПК...

Но мысль моя была не такая, а примерно такая: "Если велика угроза вторжения хоаксов с применением элементарной соц.инж, то может стоит поставить какой-то простенький дополнительный барьер - предупреждение какое-нибудь на каком-нибудь этапе, проверка целостности важных системных настроек и алерт вдруг что и т.д и т.п, но если "не так страшен черт как его малюют", то все ОК".

Кстати, упустил из вида эту фразу. На самом деле, подавляющее большинство программ могут быть установлены как недоверенные и будут работать. Естественно, с системный софтом или с программами, глубоко интегрирующими себя в ОС такое не пройдёт, но его не так уж и много.

... ну да, все зависит от программ - смотря что юзер вообще за проги ставит...

Эта проблема не в продукте, а в пользователе.

Странно, но Вы мои сообщения почему-то воспринимаете "в штыки", хотя ничего плохого я не говорю и ни на кого/что не наезжаю. Поэтому я удивлен видеть, что Вы считаете, что я думаю о том что в Вашем DW проблем непочатый край... - я так не думаю.

И вопрос с хоаксом - проблемой продукта не считаю - я про такое не писал. Я просто поинтересовался как обстоят дела с подобным видом угроз - и все. Из Ваших постов сделал вывод, что хоакс не так уж и страшны и то, что DW должен идти в связке с авером.

[Илья Рабинович 521]

Но мысль моя была не такая, а примерно такая: "Если велика угроза вторжения хоаксов с применением элементарной соц.инж, то может стоит поставить какой-то простенький дополнительный барьер - предупреждение какое-нибудь на каком-нибудь этапе, проверка целостности важных системных настроек и алерт вдруг что и т.д и т.п, но если "не так страшен черт как его малюют", то все ОК".

Ну так пользователь твикер и скачал. И на все предупреждения он скажет "да". Ведь понять, что "твикер" потом денег попросит за разблокирование всего и вся ни поведенческая защита, ни пользователь не смогут.

Странно, но Вы мои сообщения почему-то воспринимаете "в штыки"

Это совершенно не так. Ещё раз повторюсь- социальная инженерия не есть проблемы технических средств защиты (причём любых!), а есть проблема пользователя.

Поэтому я удивлен видеть, что Вы считаете, что я думаю о том что в Вашем DW проблем непочатый край... - я так не думаю.

Зато я знаю, что работы впереди у меня ещё предостаточно- мой todo-файл достаточно велик. Правда, там в основном улучшения, с базовой безопасностью не связанные, но тем не менее...

[Андрей-001 1099]

Андрей это при Ваших умениях

Вы так думаете, ну может-может, но я же нарочно ничего не делал. Я оставил комп на 2 недели с DW в свободном доступе под учёткой Администратора в руках жены, а она, как я написал

пользователь такой, который тыкает куда нипопадя и качает, что попало

+ заразные флешки, мэйлы, её сайт-одноклассники и прочая социальная дребедень постоянно лезла на комп, но не смогла ничего сделать плохого.

Я даже ничего не делал, когда сам сидел за ПК, а только поглядывал в трей на иконку DW как изменяется количество недоверенных процессов. Я, конечно, рисковал, но DW оправдал своё название и предназначение полностью.

одна из них клянчит деньги, а другая - нет

Так как раз вот эти социально-вымогательные файлики от Trojan-Ransom, Trojan.Blackmailer каким-то образом влезли, но не смогли даже "нАчать" что-либо делать. Так и пролежали до скончанья века своего.

[priv8v 960]

Зато я знаю, что работы впереди у меня ещё предостаточно- мой todo-файл достаточно велик. Правда, там в основном улучшения, с базовой безопасностью не связанные, но тем не менее...

Хм... Помню, что Вы говорили про какой-то маркетинговый ход (а какой уточнять не стали). Вы его воплотили в жизнь?

А как работа по фаерволу продвигается?..

Просто интересно. Продукт надежды большие подает и хотелось бы, что бы он вышел на широкую публику.

+ скоро Вы будете на конференции выступать - можно DW попиарить тактично

+ может книгу напишете какую-нибудь? (тут неважно даже какую - лишь бы в магазины попала - это и известность и узнавание брэнда (DW). Финансовой отдачи это не принесет особой (помню как мыщъх рассказывал о том, сколько ему приносили дохода "образ мышления..." - были просто мизерные суммы. А когда книгу еще отсканят и в инет выложат - это вообще класс! Тогда она разбежится по форумам... )

Так как раз вот эти социально-вымогательные файлики от Trojan-Ransom, Trojan.Blackmailer каким-то образом влезли, но не смогли даже "нАчать" что-либо делать. Так и пролежали до скончанья века своего.

Странно, в теории, при добавлении их в доверенные - должны были что-то делать. Хотя бы окно свое показывать поверх всех

[Илья Рабинович 521]

Хм... Помню, что Вы говорили про какой-то маркетинговый ход (а какой уточнять не стали). Вы его воплотили в жизнь?

Я говорил о том, что возможности маркетинга для продукта ещё не исчерпаны.

А как работа по фаерволу продвигается?

Сейчас допилю 2.хх ветку и примусь на v3.

Просто интересно. Продукт надежды большие подает и хотелось бы, что бы он вышел на широкую публику.

А это уже зависит от широкой публики. Захочет услышать- тогда выйдет.

+ скоро Вы будете на конференции выступать - можно DW попиарить тактично

Зависит от воли организаторов.

+ может книгу напишете какую-нибудь? (тут неважно даже какую - лишь бы в магазины попала - это и известность и узнавание брэнда (DW). Финансовой отдачи это не принесет особой (помню как мыщъх рассказывал о том, сколько ему приносили дохода "образ мышления..." - были просто мизерные суммы. А когда книгу еще отсканят и в инет выложат - это вообще класс! Тогда она разбежится по форумам

На книгу нужно потратить время, которого у меня пока нет.

[priv8v 960]

На книгу нужно потратить время, которого у меня пока нет.

Хорошо. Уменьшим масштаб до уровня статей в журнал/ы Хакер/Чип/компьютерра/мир пк/компьютер_пресс.... etc

А так?

[Илья Рабинович 521]

Уменьшим масштаб до уровня статей в журнал/ы Хакер/Чип/компьютерра/мир пк/компьютер_пресс.... etc

В Терре статья уже была. В Компьютер-Пресс была ствтья Олега Зайцева в 2006 с упоминанием DW. Как-то всё это не шибко помогло...

[priv8v 960]

В компьютер-пресс статью ту видел - там совсем чуть-чуть. Имхо количество нужно брать

Видимо у Вас есть в запасе какие-то особо хитрые методы раскрутки продукта, раз ни один из предложенных в этой темы Вы не одобрили

[Рашевский Роман 110]

Видимо у Вас есть в запасе какие-то особо хитрые методы раскрутки продукта, раз ни один из предложенных в этой темы Вы не одобрили

Бизнес - хороший детектив, со своими перипетиями сюжета...

[Илья Рабинович 521]

В компьютер-пресс статью ту видел - там совсем чуть-чуть. Имхо количество нужно брать

Да, именно так. Даже не сколько числом, сколько последовательностью.

[Андрей-001 1099]

в теории, при добавлении их в доверенные - должны были что-то делать. Хотя бы окно свое показывать поверх всех

Хозяин-барин! В следующий раз рискну и... попробую .

В компьютер-пресс статью ту видел

Ссылка не сохранилась?

[Рашевский Роман 110]

Ссылка не сохранилась?

В Яндексе наберите "Проактивные системы защиты", седьмая или восьмая позиция - это и есть данная статья Олега Зайцева.

По собственному опыту: наткнулся на эту статью именно так, когда хотел посмотреть на материалы Рунета по данной тематике.

Добавлено:

По данному запросу, к сожалению, уже ничего нет...

Зато, на официальном сайте журнала "КомпьютерПресс" данную статью найти очень легко.

Олег Зайцев: HIPS-системы

[priv8v 960]

Это старое очень. Там еще от Олега про кейлоггеры помню было и про ошибки программистов - может еще что и было, но я не помню...

сорри за оффтоп.

[sceptic 100]

Илья, спасибо за ключ.

Итак система Win 7 beta 7077

Вот что у меня получилось:

1. Установил DW, после чего была запущена ранее скачанная утилита BOWall

Результат - инжекта нет. Но DW тут ни причём. В списке недоверенных, процесс не появился.

UAC тоже промолчал. BOWall просто выбрасывал ошибку.

При запуске с правами Админа, UAC конечно сработал.

2. Внёс в недоверенные WinRar.

Распаковал из архива папку с BOWall. Запустил утилиту. DW отработал по наследованию.

3. Удалил WinRar из недоверенных.

Перекачал архив с программой Оперой в другую папку. Запустил BOWall. DW отработал по наследованию.

Смысл работы DW предельно ясен.

НО, Илья, если в следующей версии не будет скана перед установкой, продать продукт будет весьма проблематично.

Умник прав. Придётся или

1. форматировать диски (причём все)

2. вносить explorer.exe в недоверенные (как потом работать?)

3. проводить ликбез с домохозяйками

зы.

мэй би стоит научить DW при установке "видеть" программы архивации и вносить их в недоверенные?

вы же научили его видеть Оперу.

забыл сказать, DW работал совместно с Авирой Премиум.

[Илья Рабинович 521]

Илья, спасибо за ключ.

Ну, я же обещал...

мэй би стоит научить DW при установке "видеть" программы архивации и вносить их в недоверенные?

Нет, это не нужно. DW поддерживает большинство архиваторов согласно спискам недоверенных (кроме встроенных в файловые менеджеры третьих производителей).

[Андрей-001 1099]

DW работал совместно с Авирой Премиум

- даже на Win 7 beta 7077!

DefenseWall HIPS и авировцы полностью сработались.

- у меня на XP SP2.

если в следующей версии не будет скана перед установкой, продать продукт будет весьма проблематично.

sceptic

А что именно в таком случае должен сканировать DW и чем, у него же нет сканера как такового?

[sceptic 100]

- даже на Win 7 beta 7077!

ну да. нужен скрин, или это типо восхищение?

А что именно в таком случае должен сканировать DW и чем, у него же нет сканера как такового?

я думаю Илья меня понял

Андрей-001, пролистайте немного назад. Там Илья делился своими планами по поводу 3-ей версии DW.

Без сканирующего движка (в настоящий момент), продукт смогут использовать только те, кто понимает что делает.

Но никак не домохозяйки.

Думаю DW может даже заменить АВ (в настоящий момент), но при условии чистого харда на момент установки.

Илья, я бы на вашем месте сильно не заморачивался с 3-ой и встроил бы в неё нечто похожее на mrt.exe

Имхо, для первичного скана - вполне достаточно.

[Андрей-001 1099]

или это типо восхищение?

Да, оно, там же стоит "!"

Думаю DW может даже заменить АВ (в настоящий момент), но при условии чистого харда на момент установки.

Я ставил три разные версии DW не на чистый хард - никто из зловредов не смог даже поднять головы, тогда как Антивирус наиболее рьяных зловредов вычисляет как раз по активности.

А что вы с Umnikом понимаете под чистым хардом? Простое форматирование?

[sceptic 100]

Я ставил три разные версии DW не на чистый хард - никто из зловредов не смог даже поднять головы

Позволю себе усомниться

Из вне - да не пропустит (с нэта, с флешки, с диска), но...

Я сейчас свободно запускаю некоторые вещи из своей коллекции, которая находится на другом логическом диске.

Используемое приложение - проводник виндовс. Он же - доверенный процесс.

Вот и всё. Его права наследуются на открываемые мной зловреды.

А что вы с Umnikом понимаете под чистым хардом? Простое форматирование?

Да.

[Рашевский Роман 110]

Да.

Тут уже говорил один человек, повторю его слова: форматирование может и не помочь против некоторых видов вредоносного ПО.