DefenseWall от Ильи Рабиновича

[kvit.v 45]

Имеем eMule.exe, находится в недоверенных, производим uninstal этого приложения, после чего заходим в закладку недоверенные приложения - eMule.exe там остался, хотя этого приложения уже нет на компьютере.

[kvit.v 45]

Один и тот же explorer.exe (различие вижу лишь в написании) находиться как в доверенных и недоверенных, чем может быть вызванно и насколько это нормальная ситуация?

[Илья Рабинович 521]

Имеем eMule.exe, находится в недоверенных, производим uninstal этого приложения, после чего заходим в закладку недоверенные приложения - eMule.exe там остался, хотя этого приложения уже нет на компьютере.

А eMule.exe при этом точно удалён с компьютера?

Один и тот же explorer.exe (различие вижу лишь в написании) находиться как в доверенных и недоверенных, чем может быть вызванно и насколько это нормальная ситуация?

Это на Vista/W7 нормальная ситуация- при отрытии процесса проводника создаётся новый процесс, естественно, в недоверенной зоне. В DW наследование не только на уровне правил для приложений, но и по наследованию от процессов.

[kvit.v 45]

А eMule.exe при этом точно удалён с компьютера?

[kvit.v 45]

еще вопрос? не в обиду будет сказано, но убогий интерфейс совершенно не соответствующий тому, что в help... почему?

[Илья Рабинович 521]

еще вопрос? не в обиду будет сказано, но убогий интерфейс совершенно не соответствующий тому, что в help... почему?

Потому что когда выяснилось, что старый движок скинирования бажный и убивает всед за собой весь GUI, мною было принято решение от этого движка избавиться, поскольку автор его не поддерживал. На следующей неделе выходит публичная бета третьей версии, там скинирование вернулось обратно.

[dr_dizel 385]

там скинирование вернулось обратно.

А разве за скины все разработчики не должны гореть в аду?

[Umnik 997]

Илья Рабинович

Это по каким показателям Диспетчера задач Вы смотрите?

[kvit.v 45]

Илья Рабинович

Это по каким показателям Диспетчера задач Вы смотрите?

это по какой теме?

[Илья Рабинович 521]

Это по каким показателям Диспетчера задач Вы смотрите?

"Память" и "виртуальная память". Да, я знаю что оба неточны, но пару раз помогали убрать утечки.

[Umnik 997]

Да, я знаю что оба неточны

но пару раз помогали убрать утечки

Убрать? Обнаружить, не? Ладно, я спать. Считайте это просто флудом на прощание. Вышел с больничного, пальцы разминаю.

[kvit.v 45]

Илья, пока программа кажется не настолько "легкой" в работе, часто нагружает компьютер круче любого антивируса...

log2.txt

log2.txt

[kvit.v 45]

лог событий - удалить всё список с событиями становиться пустым, нажатие на обновить все события снова появляются в списке, странно как то...

Илья, пока программа кажется не настолько "легкой" в работе, часто нагружает компьютер круче любого антивируса...

оказлось любая работа с %SystemRoot%\system32\SnippingTool.exe завешивает комп примерно на минуту

[Илья Рабинович 521]

лог событий - удалить всё список с событиями становиться пустым, нажатие на обновить все события снова появляются в списке, странно как то...

А "Применить" забыли?

оказлось любая работа с %SystemRoot%\system32\SnippingTool.exe завешивает комп примерно на минуту

W7- не воспроизводится. Какая именно работа подвешивает машину?

[kvit.v 45]

А "Применить" забыли?

ага окошко я не закрывал после очистки, хотел последить кто же нагружает, только потом понял, что применять надо, для меня это не слишком интуитивно показалось...

W7- не воспроизводится. Какая именно работа подвешивает машину?

у меня виста, подвешивает после того как я выделил фрагмент и он должен появится уже в отдельном окне редактирования этой утилиты...

[apq 35]

Илья Рабинович

скажите а можно ли вашу утилиту использовать как полноценную замену антивируса? или программа создана как дополнение к антивирусной защите, так сказать в помощь обычному антивирусу?

[kvit.v 45]

проблема с ножницами стала понятна, это происходт когда снимаю изобажение или его часть, где присутствует IE. в это случае куча записей в логе от IE типа:

Attempt to set value within the key HKCR\TypeLib\{1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32\

[Umnik 997]

apq

Илья говорит, что можно. Это указано и на сайте программы.

[Илья Рабинович 521]

скажите а можно ли вашу утилиту использовать как полноценную замену антивируса? или программа создана как дополнение к антивирусной защите, так сказать в помощь обычному антивирусу?

Как и с любой HIPS-системой, её можно использовать для заменя антивируса только в случае достаточных знаний о том, как использовать данный инструмент. Обычному пользователю я всегда советую использование многоуровневый подход к защите, где антивирус является дополнением к песочнице, защищая её доверенную зону.

проблема с ножницами стала понятна, это происходт когда снимаю изобажение или его часть, где присутствует IE. в это случае куча записей в логе от IE типа:

Да, подтверждаю задержки при снятии скринов с недоверенного приложения. Хорошо, сейчас посмотрю, что за ерунда происходит и можно ли это поправить.

[virys 0]

Решил попробывать DefenseWall_HIPS_v2_56 на Windows 7 x86 после установки попросил перезагрузить, после перезагрузки написал ошибку что драйвер не правильно загружен переустановите кароче программу и так каждый рас одно и тоже.

Еще хотел спросить про безопасный режим. Допустим на моем компьютере находятся новейшие угрозы и HIPS меня защищает а как обстоят дела в безопасном режиме веть там HIPS работать не будит или я ошибаюсь?

[kvit 85]

Как и с любой HIPS-системой, её можно использовать для заменя антивируса только в случае достаточных знаний о том, как использовать данный инструмент. Обычному пользователю я всегда советую использование многоуровневый подход к защите, где антивирус является дополнением к песочнице, защищая её доверенную зону.

хорошая тема... а в планах есть превратить DW в корпоративный инструмент? в этом случае ведь управление будет централизованным. за "штурвалом" настроек находится не просто пользователь, а админ (или спец по ИБ), а во многих случаях его знания могут позволить обойтись и одним инструментом.

[Илья Рабинович 521]

Решил попробывать DefenseWall_HIPS_v2_56 на Windows 7 x86 после установки попросил перезагрузить, после перезагрузки написал ошибку что драйвер не правильно загружен переустановите кароче программу и так каждый рас одно и тоже.

Два варианта:

1. W7 64 битная.

2. Что-то заблокировало драйвер при установке. Это может быть как антивирус, так и проактивная защита.

Что нужно сделать, если Windows действительно 32-х битная:

1. Проверить наличие dwall.sys в папке "c:\windows\syste32\drivers"

2. Проверить наличие ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dwall и что параметр ImagePath=System32\Drivers\dwall.sys, TYpe=1, Start=1.

Еще хотел спросить про безопасный режим. Допустим на моем компьютере находятся новейшие угрозы и HIPS меня защищает а как обстоят дела в безопасном режиме веть там HIPS работать не будит или я ошибаюсь?

Да, в безопасном режиме драйвер не работает. Это сделано для специально для возможности удалить программу в случае, если в процессе загрузки в нормальном режиме происходят технические сбои.

а в планах есть превратить DW в корпоративный инструмент? в этом случае ведь управление будет централизованным. за "штурвалом" настроек находится не просто пользователь, а админ (или спец по ИБ), а во многих случаях его знания могут позволить обойтись и одним инструментом.

Да, такие планы существуют. Единственное, что мне так никто и не смог сказать из тех сисадминов, с кторыми я общался- что именно им нужно при централизованном управлении. Поскольку настроек много, большпая часть из них машинозависима.

[kvit 85]

Да, такие планы существуют. Единственное, что мне так никто и не смог сказать из тех сисадминов, с кторыми я общался- что именно им нужно при централизованном управлении. Поскольку настроек много, большпая часть из них машинозависима.

к сожалению я пока тоже ничего сказать не могу, так как знаю, что надо мне, но не знаю, что может DW ... Вот освоюсь возможно появиться тема для разговора.

по поводу "машинозависимости" не всё так страшно. основной парк компьютеров легко объединять в группы (задачи часто схожие, софт установленный на них тоже в основном один и тот же)...

[Илья Рабинович 521]

по поводу "машинозависимости" не всё так страшно. основной парк компьютеров легко объединять в группы (задачи часто схожие, софт установленный на них тоже в основном один и тот же)...

Если по-хорошему, то значительно проще добавить соответствующие строчки в инициализационные файлы, чтобы при инсталляции всё сразу подхватилось автоматически. И вообще, чем больше автоматических настроек, тем лучше с точки зрения оптимизации работы с программой. Собственно, DW есть средство увеличения свободного времени для админов (нет заражений- не нужно тратить своё время на вычистку), я так вижу свою задачу в данном случае.

[kvit 85]

Если по-хорошему, то значительно проще добавить соответствующие строчки в инициализационные файлы, чтобы при инсталляции всё сразу подхватилось автоматически. И вообще, чем больше автоматических настроек, тем лучше с точки зрения оптимизации работы с программой. Собственно, DW есть средство увеличения свободного времени для админов (нет заражений- не нужно тратить своё время на вычистку), я так вижу свою задачу в данном случае.

в любом случае нужно центральное звено... удаленная инсталляция, внесение необходимых изменений в настройки, перенос компьютера из одной группы правил в другую, обновление новой версии итд... это еще без шашечек в виде получения различной информации (отчётов) с клиентских мест...