DefenseWall от Ильи Рабиновича

[Umnik 997]

Поставил на пару минут Ваш DW. На всякий случай сразу включил Expert mode, оставив остальные настройки по умолчанию. Могу сказать свое резюме. Ваш продукт не может противостоять простым угрозам, не может заменить антивирус, не дотягивает до уровня HIPS в KIS 2009 и значительно уступает ему в гибкости.

Если желаете, я могу выложить простейшие лик-тесты, написанные Маратом, которые DW провалил. Не все, конечно. Думаю, хватит парочки.

DW вообще знаком с понятием самозащита?

Отредактировал Апрель 28, 2009 Umnik

[Илья Рабинович 521]

1. Export mode вообще-то не рекомендуется новичкам. Expert mode в DW это не тоже самое, что в других продуктах. Я сам его не использую и в v3 вообще он будет переделан.

2. Давайте лики, погоняем их вместе.

3. Самозащита в DW стоит только от недоверенных прицессов. От доверенных защиты нет и не будет, я не продаю snake oil.

[Umnik 997]

Илья, я предоставлю Вам утилиты. Но скажите прежде, как с Вашим продуктом работает неподготовленный пользователь? Он должен любое новое приложение запускать как недоверенное руками?

Отключил Expert mode. Результаты не изменились.

[Илья Рабинович 521]

Илья, я предоставлю Вам утилиты.

Добро, жду.

Но скажите прежде, как с Вашим продуктом работает неподготовленный пользователь? Он должен любое новое приложение запускать как недоверенное руками?

нет, конечно. Это всё от того, что переключение в Expert mode выключает наследование недоверенного статуса для файлов, созданных недоверенными. Скорее, наоборот- скачанные доверенные установщики приложений он вынужден выносить из недоверенной зоны руками, что, безусловно, не очень удобно и будет улучшено в v3.

Отключил Expert mode. Результаты не изменились.

Тесты стартуют недоверенными?

[Umnik 997]

Отравил. Можете прокомментировать, почему DW разрешает проинвайдится в explorer и почему он пропускает запись в автозагрузку в реестре, копирование тела в system32 и принудительную перезагрузку?

Тесты стартуют недоверенными?

Тесты просто стартуют. Я - домохозяйка. Мне подружка дала классный скринсейвер, но не знала, что он склеен с трояном.

Отредактировал Апрель 28, 2009 Umnik

[Илья Рабинович 521]

Ну, по порядку.

1. Да, вижу попытки открыть процесс explorer.exe. Проблема в том, что тест, по-моему, написан не очень правильно, поскольку я возвращаю STATUS_ACCESS_DENIED на ZwOpenProcess, а оно продолжает работать дальше. Более того, у меня стоит полный блок в ZwWriteVirtualMemory, но туда управление, несмотря на уверения теста, даже не долетает.

2. Да, вижу попытку записи в автозагрузку в реестр, которая успешно блокируется. Да, вижу файлик в system32 (вот только зачем его блокировать я так и не понял, валяется и валяется, какая разница где). Перезагрузка пока что не контролируется, будет в v3 как потенциальный источник потери данных пользователем.

[Umnik 997]

возвращаю STATUS_ACCESS_DENIED на ZwOpenProcess, а оно продолжает работать дальше

Ну, так это не ошибка теста. Хотя сам тест написан на коленке от нечего делать, никто не спорит.

2. После перезагрузки вылазиет окно, значит запись в реестр прошла успешно. У Вас не воспроизводится?

99-й

Это Вы можете обсудить в другой теме.

[Илья Рабинович 521]

Ну, так это не ошибка теста. Хотя сам тест написан на коленке от нечего делать, никто не спорит.

Это именно ошибка теста. Не стоит такие вещи писать на Visual Basic.

2. После перезагрузки вылазиет окно, значит запись в реестр прошла успешно. У Вас не воспроизводится?

У меня всё работает как надо, никаких окошек после перезагрузки не вылезает.

[Umnik 997]

Это именно ошибка теста. Не стоит такие вещи писать на Visual Basic.

Какая разница в итоге? Оболочка упала, перезапустилась? Значит тест отработал. Вы не забудьте вирьмейкерам сказать, чтобы никто из них не использовал VB.

меня всё работает как надо, никаких окошек после перезагрузки не вылезает.

Что же у меня не так? Скопировал себе этот тест и запустил его без подготовок, без правокликов-антрастед. Комп ребутнулся, окошко вылезло, в реестре есть запись, в system32 есть файл.

[Deja_Vu 366]

Что же у меня не так? Скопировал себе этот тест и запустил его без подготовок, без правокликов-антрастед. Комп ребутнулся, окошко вылезло, в реестре есть запись, в system32 есть файл.

Думаю ошибка в том, как на PC попал этот файлик

Скорее всего он не отслеживался, если вы просто по через smb его скопировали.

или же скопировали в режиме эксперта, а потом отключиле его.. в результате семпл не отслеживается ((-

[Илья Рабинович 521]

Какая разница в итоге? Оболочка упала, перезапустилась? Значит тест отработал. Вы не забудьте вирьмейкерам сказать, чтобы никто из них не использовал VB.

Ничего никуда не упало.

Что же у меня не так? Скопировал себе этот тест и запустил его без подготовок, без правокликов-антрастед. Комп ребутнулся, окошко вылезло, в реестре есть запись, в system32 есть файл.

Значит, запускалось всё как доверенное. Копировалось оно из доверенного источника? Или, другой вариант- кто-то снял мои хуки. Но тут уж я бессилен.

[Umnik 997]

Deja_Vu

Попал неважно как, но до DW. При этом DW был установлен на чистенькую машину. Вот, мне сын только что "переустановил программу на компьютере" (установил Винды), а скринсейвер давно лежал.

Ничего никуда не упало.

У меня иначе

Копировалось оно из доверенного источника?

Из моей машины в виртуальную, драг-энд-дропом. Но до вашего DW

Или, другой вариант- кто-то снял мои хуки.

Стоит только DW

[Deja_Vu 366]

но до DW

Вот и все DW - это хипс, а не антивирус.

Попало на машину до HIPS- значит извиняйте.

UPD

Это как тема с установленным в ручную QIP в автозагрузку, который раньше KISa грузится.

[Илья Рабинович 521]

Кажется, я начинаю понимать, в чём дело. DefenseWall- это не замена антивируса. Он работает иначе. И задачи у него совсем иные.

Из моей машины в виртуальную, драг-энд-дропом. Но до вашего DW

Ну, всё логично. Программа из довереного источника, стартует как доверенная.

[Umnik 997]

Deja_Vu

Т.е. обычную ОС он защитить не может, только если установить его в магазине. Ну, я следую твоей логике.

Илья Рабинович

Вот, тоже к Вам относится

DefenseWall- это не замена антивируса. Он работает иначе. И задачи у него совсем иные.

Знаю, что не антивирус. Он может защитить меня от вирусных угроз?

[Deja_Vu 366]

Deja_Vu

Т.е. обычную ОС он защитить не может, только если установить его в магазине. Ну, я следую твоей логике.

эм ... не надо мыслить как автор топика http://forum.kaspersky.com/index.php?showt...st&p=958329

UPD

Покупая автомобиль, вы же не требуете, что бы он плавал.

UPD

Защитить может. Если будет установлен до того как зараза попадет на машину.

[Umnik 997]

Deja_Vu

Не, ну я смоделировал ситуацию такую. У меня действительно на рабочем столе появилась тулза. ОС была чиста. Установил DW, запустил тулзу, которая уже была и ни разу не запускалась. Результат - DW провалил тест.

Защитить может. Если будет установлен до зараза попадет на машину.

не дотягивает до уровня HIPS в KIS 2009 и значительно уступает ему в гибкости.

Как-то так

[Deja_Vu 366]

Deja_Vu

Не, ну я смоделировал ситуацию такую. У меня действительно на рабочем столе появилась тулза. ОС была чиста. Установил DW, запустил тулзу, которая уже была и ни разу не запускалась. Результат - DW провалил тест.

Методология тестирования продукта не верна - что я могу еще сказать.

Если перенести на жизнь, то я пользователь, купил комп, поставил DW, затем начал лазить по интернету, друзья приносят флешки, а DW работает и защищает от опасностей которые пытаются проникнуть из вне.

Отредактировал Апрель 28, 2009 Umnik

[p2u 824]

@ Umnik

А если наоборот? Заново начинать эксперимент. ОС чистая. Потом установить DW и потом только притаскать тест в систему с внешнего носителя. При установке DW предполагается, что система - чистая, и что ВСЁ, что на ней находится - чисто.

Paul

[Umnik 997]

Если перенести на жизнь, то я пользователь, купил комп, поставил DW, затем начал лазить по интернету, друзья приносят флешки, а DW работает и защищает от опасностей которые пытаются проникнуть из вне.

Deja_Vu

Т.е. обычную ОС он защитить не может, только если установить его в магазине. smile.gif Ну, я следую твоей логике.

эм ... не надо мыслить как автор топика http://forum.kaspersky.com/index.php?showt...st&p=958329

А если наоборот? Заново начинать эксперимент. ОС чистая. Потом установить DW и потом только притаскать тест в систему с внешнего носителя.

Значит миллионам пользователям DW не подходит. У них то кряки заражены, то еще дрянь какая-то.

[Deja_Vu 366]

ни каких противоречий я не вижу.

Т.е. обычную ОС он защитить не может, только если установить его в магазине.

т.е. обычную ОС KIS защитить не может, если только его установить в магазине?

А то если простой кейлогер раньше KIS'a загрузится, то он ничего сделать не может.

[p2u 824]

Значит миллионам пользователям DW не подходит. У них то кряки заражены, то еще дрянь какая-то.

Ммм... Никакая программа, повторяю - НИКАКАЯ программа не может гарантировать защиту если система не чиста. Комодо тоже об этом предупреждает при установке и предлагает сначала сканировать комп. Причём - программа Ильи в первую очередь песочница (это я так воспринимаю). Не входит в её задачи проверять, что там именно уже стоит. Всё, что в песочнице подразумевается чистым. То, что добавляется - инородные тела, которые автоматом получают ограниченные права. Я считаю, что это хороший принцип.

Paul

[Deja_Vu 366]

Значит миллионам пользователям DW не подходит. У них то кряки заражены, то еще дрянь какая-то.

А продукт и не расчитан на миллионы

По крайне мере в таком виде.

НО свою задачу он решает очень хорошо.

или давайте критиковать KIS, что он мне сгоревший монитор не может починить.

UPD

Я бы несомненно воспользовался бы DW, если бы он был под Win7 x64 - при чем без вариантов.

[Umnik 997]

Зашел из-под этого же стенда на сетевую шару к Марату и оттуда запустил оба теста. Первый - "инвайдер" - выполнился успешно. Второй - на запись в реестр и др." не до конца. Запись в реестр прошла успешно, а дальше ничего не произошло. Возможно, недоработка самого теста. Или это тоже неправильный подход и нужно запускать совершенно другие лик-тесты, а не те же, пусть и из шары?

[Deja_Vu 366]

Зашел из-под этого же стенда на сетевую шару к Марату и оттуда запустил оба теста. Первый - "инвайдер" - выполнился успешно. Второй - на запись в реестр и др." не до конца. Запись в реестр прошла успешно, а дальше ничего не произошло. Возможно, недоработка самого теста. Или это тоже неправильный подход и нужно запускать совершенно другие лик-тесты, а не те же, пусть и из шары?

Вы поправили 1вый лик-тест?

Илья же написал, что он не верно отрабатывает.

p.s.

можно мне эти тестики... я у себя прогоню

т.к. на счет записи в реестр ничего конкретного сказать не могу.