DefenseWall от Ильи Рабиновича

[sceptic 100]

форматирование может и не помочь против некоторых видов вредоносного ПО.

если вы о тех которые прописываются в загрузочные сектора дисков, то для них есть fixmbr и erase.

но, чёрт возьми, как же нужно следить за соей системой, что бы найти такую экзотику!

[Рашевский Роман 110]

Тест-обзор DefenseWall HIPS от AV-Comparatives теперь доступен и на русском языке!

Основные выводы тест-обзора DefenseWall HIPS:

"Мы протестировали DefenseWall HIPS на 100 образцах вредоносного ПО (рекламные и шпионские программы, вирусы, троянские кони, бэкдуры и другие) которые не были детектированы известными антивирусными продуктами во время тестирований. Все образцы были детектированы или выполнение вредоносных действий было заблокировано, таким образом никакого вреда тестовой системе нанесено не было."

"DefenseWall HIPS, созданный компанией SoftSphere Technologies, является хорошо продуманным продуктом, который действительно обладает потенциалом для защиты пользователей, которые не очень хорошо разбираются в тонкостях функционирования ПК, от всех типов угроз."

Тест-обзор DefenseWall HIPS - русская версия

Перевод тест-обзора выполнен Вашим покорным слугой.

[Agent 55]

Перевод обзора был выполнен Вашим покорным слугой.

А это огромный + Роману Рашевскому! Отличный перевод!

[Black_Z 160]

Спасибо за перевод!

[Андрей-001 1099]

которые прописываются в загрузочные сектора дисков, то для них есть fixmbr и erase.

как же нужно следить за своей системой, что бы найти такую экзотику!

+ DiskEditor и HEX-редактор

Ну хотя бы посматривать иногда на скрытые файлы в C:\WINDOWS\system и C:\WINDOWS\system32

За последние дни я нашёл такую экзотику у трёх пользователей.

Форматирование не делает физического уничтожения данных. Даже BEDы не исправляются.

Нужная полная затирка, а такой инструментарий есть не у каждого домохозяина, не говоря уже о домохозяйках.

[Ingener 150]

-

[Андрей-001 1099]

У меня вопрос по DefencePlus. Его можно или нужно использовать совместно с DefenseWall?

[Илья Рабинович 521]

У меня вопрос по DefencePlus. Его можно или нужно использовать совместно с DefenseWall?

Если процессор не поддерживает NX/XD бит- тгда да, стоит. Но программа уже достаточно давно не поддерживается в актуальном состоянии, возможны проблемы.

[Umnik 997]

Самозащита DW

Работает для недоверенных. Диспетчер задач доверенный.

[Илья Рабинович 521]

1) Почему по умолчанию CD, DVD диски и сетевые ресурсы считаются доверенными?

Обычно, зловреды практически не распространяются через эти векторы, хотя насчёт сетевых ресурсов я всё больше не уверен.

2) Что означает активная галочка у пункта виртуализация в диспетчере задач?

Не понял вопроса.

3) Можно ли как то сделать чтобы пробный период DW запускался незаметно, т.е. без окошек с предложением его приобрести?

Нет. Иначе потом, совершенно неожиданно, он сообщит, что пробный период кончился.

4) Может стоит сделать так, чтобы при установке DW сканировал жёсткие диски и помечал все файлы с "опасными" расширениями кроме системных (например установщики, архивы, exe-шники, на несистемных разделах можно вообще все файлы помечать недоверенными) как недоверенные, а потом при запуске файла, если для нормального его функционирования требуется запуск как доверенного - выкидывал соответствующее сообщение с выбором действия. Ото сейчас действительно получается что жёсткие диски должны быть "чистыми" до установки DW?

Чем сканировал? Пальцем? Сигнатурного движка у меня нет. Лицензировать внешний пока рано.

5) Самозащита DW - сейчас его процесс можно банально завершить из диспетчера задач, сделайте хотя бы чтобы при завершение выскакивало окошко с подтверждением действия - вроде как при работе UAC. Имеется в виду програмный процесс. Драйвер - СТОИТ НАМЕРТВО - с ним я ничего не смог сделать. Возник такой вопрос если завершить програмный процесс - DW будет попрежнему защищать систему, ведь драйвер остаётся невыгруженным или нет?

Если пользователь хочет прекратить процесс в системе- почему я должен это запрещать? В любом случае защита находится полностью на уровне драйвера и ей совершенно параллельно на манипуляции юзеров с процессами.

[Umnik 997]

2) Что означает активная галочка у пункта виртуализация в диспетчере задач?

То, что у Вас установлена Vista+. Это ее фишка.

[Ingener 150]

-

[Илья Рабинович 521]

Нет, это значит, что используются shim's, которые ответственны в Vista/7 за частичную виртуализацию. Сама по себе виртуализация не может защитить компьютер от инфицирования. Песочница (ограничение прав) к виртуализации никакого отношения не имеет.

[Ingener 150]

-

[sceptic 100]

Илья, знакома ли вам программа Real-time Defender Professional?

Корректно ли её сравнение с DW?

Если можно, сильные и слабые стороны, в двух словах

[Илья Рабинович 521]

RDP это который бывший ProSecurity? Да, знакома ещё несколько лет назад как. Серьёзно я её не гонял, но эти окна с вопросами ну очень задалбывают. Рынка под такие "технические" решения нет. Автор ProSecurity вот уже довольно продолжительное время работает в COMODO, а свой проект продал- этим всё сказано.

[Ingener 150]

-

[Илья Рабинович 521]

Для того, чтобы отключить перехваты, до них нужно дотянутся. Это не так просто- MD это делает с уровня драйвера.

[Рашевский Роман 110]

Кстати о самозащите - нашёл способ обойти защиту DW - отключаем все перехватчики (например с помощью Malware Defender) установленные им и всё: он становится беззащитным - защита не работает, только висит значок в трее. Крутые зловреды наверное так и делают - отключают всё незаметно или фильтруют всё так чтобы защита их не заметила. На сколько реален данный способ обхода защиты DW?

Не могли бы Вы уточнить, в каком режиме был запущен Malware Defender - Доверенный или Недоверенный?

[Skeptic 235]

Роман, у MD другие режимы - нормальный, обучения и тихий. Думаю, что предположение ingener`a справедливо для нормального режима.

[Ingener 150]

-

[Илья Рабинович 521]

Если MD вообще установился, то только в доверенном режиме. Иначе он просто не встанет. И DW не даёт статусы- он их наследует.

Ну да, только что проверил- не может установить драйвер, если недоверенный. И всё.

[Рашевский Роман 110]

Роман, у MD другие режимы - нормальный, обучения и тихий. Думаю, что предположение ingener`a справедливо для нормального режима.

Я имел в виду: из DefenseWall HIPS MD в каком режиме был запущен.

Если MD вообще установился, то только в доверенном режиме. Иначе он просто не встанет. И DW не даёт статусы- он их наследует.

Ну тогда понятно, почему Malware Defender смог снять перехваты.

2Ingener:

То, о чем Вы написали - это не баг самозащиты, а все дело в том, что самозащита от надежных процессов отсутствует, т.к. по идеологии Sandbox надежные приложения являются заведомо легитимными.

[Ingener 150]

-

[Илья Рабинович 521]

Планируется ли участие DefenseWall Hips в тестах Матоушека?

HIPS- не планируется. Планируется участие V3 Personal Firewall (там осталось только скинирование вкрутить и написать профили для защиты от входящих атак для наиболее распространённых сред использования. Ну и хелп-файл дописать, конечно). Если есть уже готовые профили для портов- готов выслушать и применить.

Какое место он предположительно может занять в этих тестах (прогноз так сказать)?

Единственный устраивающий меня результат- 100% при стандартных настройках.

Планируется ли добавление в DW дополнительных модулей: менеджер процессов, менеджер модулей ядра, менеджер автоматически загружающихся приложений и т.д. (например как в MD)...

Менеджер процессов там уже есть. А для всего остального есть AVZ, с которым я не собираюсь конкурировать.

Могли бы вы дать короткое сравнение возможностей DW и MD: достоинства, недостатки, уровень защиты, для какой аудитории предназначены данные продукты и т.д.

Я не разбирался с MD. Так что могу только сказать общие фразы- все защиты, построенные на классических принципах всплывающих окон, предназначены только для профессиональных пользователей.