58 ответов в этой теме

[SHIELD]

Здравствуйте.

У меня предложение к разработчикам Dr.WEB:

Вкратце:
Предлагаю создать в DrWeb дополнительную компоненту защиты - внутренняя безопасность ОС. Цель которой проверка и защита программ/файлов от изменений.

Подробно:
Наверное это предложение больше относиться к разработчикам ОС, но я все же предлагаю разработчикам DrWeb. Предлагаю создать в DrWeb дополнительную компоненту защиты ОС, которая будет считать различные хеши(CRC, MD5, SHA###) по запросу пользователя/системы проверять либо все, либо только системные, либо только выборочные файлы и хранить их в таблице. В системе должна быть возможность либо обновить значения в таблице, либо проверить изменения хеша файла. Желательно это помечать (автоматически из внутреннего списка и в ручную) различным цветом (доверенные, доверенные-изменившиеся, не изменившиеся, изменившиеся-обычные, изменившиеся-подозрительные). То, что подозрительно, можно либо скопировать/переместить в карантин, а затем из карантина в DrWeb для анализа, либо заблокировать с помощью блокировки папок/файлов в родительском контроле DrWeb и отправить на анализ в DrWeb. После анализа, в случае «чистый файл», либо восстановить из карантина, либо разблокировать родительским контролем. А в случае «файл заражен» - обновить DrWeb и запустить полную проверку сканером DrWeb.
Такая система позволит пользователю ОС увидеть какие файлы и когда изменились и понять, что из этого допустимо, а что подозрительно.

p.s. Похожая система была реализована в программе ADinf, которая разрабатывалась в студенческие годы Игоря Анатольевича, в компании единомышленников. А затем появился продукт DrWeb. Жаль, что Игорь Анатольевич не взял эту идею в свой продукт. Может быть потому, что тот продукт(ADinf) еще был «жив». Но теперь никто не помнить программу ADinf и по этому все хорошие идеи того продукта можно использовать во благо общества

[Konstantin Yudin]

Такая система подойдет например доя банкоматов, военных ведомств, но не для хоум юзеров, слишком беспорядочная у них жизнь ))

[SHIELD]

Такая система подойдет например доя банкоматов, военных ведомств, но не для хоум юзеров, слишком беспорядочная у них жизнь ))

Несогласен. В банкоматах и т.п. есть свои "штучки" и они с еще различными функциями, например удаленное управление. А вот для пользователей мое предложение как раз подойдет! И они не запутаются, так как я предусмотрел возможность "доверенные", эта функция остеит обычные процессы ОС. Эта функциональность уже внедряется во многих антивирусных решениях именно для пользователей. Но по моему, у всех, что-то не доделано - то неудобно читать, то неудобно расположено в центре управления, то еще что-то неудобно или не доделано. А мое предложение продумано с точки зрения ресурс-затрат и скорости обработки (они минимальны), удобства использования (все, что необходимо отражено) и целесообразности (этот функционал необходим для безопасности ОС).
Проще говоря:
Эти функции работают в разовом режиме (как сканер), по этому нагружать работой ЦП будут только во время сканирования (в будущем можно сделать переключатель в режим реального времени, для тех кто хочет постоянно следить за изменениями, у кого хватает ресурсов и желания). И в таблицу желательно добавить информацию - какое приложение (пид, имя и путь) изменило файл, тогда будет понятно - нормально это или нет. Программировать этот функционал не сложно. А результат - наглядное представление, что происходит в ОС. Это полезно пользователям для изучения работы ОС. Думаю каждый пользователь мечтает узнать, что за "ерунда" твориться у него в ОС. Что за "мракобесики" бегают по рабочему столу И какая "зараза" изменила файл "iexplorer.exe" И каким образом получилось, что в аське, по всему листу контактов, от его имени летят сообщения

p.s. Под линукс я себе сделал такой функционал, но если этот функционал внесут в линукс версию DrWeb то это будет хорошо! Под виндовс хочется чтобы безопасность была в одном "флаконе" (как в рекламе шампуня "три в одном")

[DoC]

ADINF вроде так и делал? не?

[mrbelyash]

ADINF вроде так и делал? не?

хеш мог быть быстрый, а мог быть медленный, но надежней....
Кто из АВ сейчас использует ревизоры?
Они трансформировались в нечто обособленное в связке со своими технологиями.

Но получать фолсы на стандартных виндовых файлах,которым сто лет в обед-грустно

[SHIELD]

хеш мог быть быстрый, а мог быть медленный, но надежней....
Кто из АВ сейчас использует ревизоры?
Они трансформировались в нечто обособленное в связке со своими технологиями.

ADinf делал хеш файлов. Тот что сложнее очевидно, что медленнее, а тот что проще - быстрее. В моем предложении я пошел дальше - шесть вариантов хешей.
Из АВ (популярные и не очень) сейчас почти все используют компоненту которая похожа на мое предложение - которая отслеживает изменения в структуре файлов/приложений и сообщает пользователю. Но, в моем предложении, я учел их "минусы".

Но получать фолсы на стандартных виндовых файлах,которым сто лет в обед-грустно

Речь не идет о сигнатурном поиске или еще о каком-то поиске по списку. Предложение - это система информирующая о изменившихся файлах и о том кто и когда изменил их, чтобы пользователь был уведомлен об этом и сам делал выводы. В случае заражения ОС, такая система даст возможность понять от куда и когда попала "зараза" в ОС и что она заразила. А затем эти файлы можно попробовать вернуть в исходное состояние, с помощью установочного диска (есть кнопочка "восстановить файл"), ну по крайней мере будет понятно, какие файлы являются подозрительными, что бы не отправлять в лабораторию на анализ все, что попало под руку. А те кому не интересно - кто и что заразил у них в ОС, могут не включать эту систему, так же как и фаирволл со сторожем.

[SHIELD]

По стелс-вирусам (руткитам) это ощутимый удар! Так как руткит не может спрятать системный файл, так как он нужен системе для ее работы, по этому он может только модифицировать его или встраиваться в уже запущенное приложение. А вот тут то он и становиться заметен для сообразительного пользователя, который посмотрит в таблицу и увидит изменившиеся файлы, которые не должны были меняться и увидит кто изменил, а если руткит не покажет себя (если будет стоять неизвестно кто изменил), то сразу станет ясно то, что в системе руткит! И тогда пользователь начнет целенаправленно искать руткита (того кто изменил файл)! Вообщем считаю эту систему такойже важной как фаирволл и антивирус!

[GEV]

Аналог system watcher касперов?

[SHIELD]

Аналог system watcher касперов?

Да у них похожая система. И у многих других АВ есть такая система как у АВ Касперского. Но у них есть ощутимые "минусы" - нет отображения для пользователя нужной информации, о том кто изменился и кем.

p.s. Пырвыми в этом направлении были разработчики ADinf. Они как раз реализовали систему без сигнатурного поиска, которая может противостоять практически любому вирусу. Только тот вирус, который сможет поломать/модифицировать эту систему, сможет дальше жить в ОС. Но, на этот случай, в DrWeb уже есть система собственной защиты, цель которой - не дать "заразе" поломать компоненты DrWeb.

[SHIELD]

Аналог system watcher касперов?

Из всех АВ, кого я знаю с похожей системой, занял ПЕРВОЕ место COMODO. Мне понравилось как у них это реализовано - понятно кто пытается изменить или кто изменил приложение/файл. Но, все же хочется, чтобы было больше настроек - так, чтобы можно было самостоятельно просканировать на предмет изменения файлов и при этом отключить постоянный мониторинг файлов. На втором месте немецкая фирма Avira. У них тоже хорошо и информативно реализован перехват изменений файлов в системе. Но опять же - нет возможности настроить так как нужно пользователю. Например - я не хочу постоянно мониторить все файлы, а хочу только раз в неделю делать проверку. Или - хочу чтобы в таблице были отображены изменившиеся файлы/программы, чтобы я, когда захотел, тогда и смотрел, а не в момент модификации файла. Вообщем в этих сравнениях отличим является (в основном) только удобство использования системы.

[mrbelyash]

>Пырвыми в этом направлении были разработчики ADinf.

В чем именно?

Нет!

[pig]

Comodo уже в разряд антивирусов перешёл? Суров...

[SHIELD]

>Так как руткит не может спрятать системный файл

Так и думал, что кто-то улыбнется
Подумайте - если руткит спрячит от системы нужный ей файл, она что сообщит пользователю?
И даже если руткит реализует схему заменяющую функцию этого файла, что бы ОС продолжила свою работу, но файл будет скрыт, то, мною предложенная система, не найдет этот файл и тогда пользователь подумает - каким же образом работает ОС?! например без ntdll.dll Короче - из-за пропажи системного файла будет ОЧЕВИДНО, что какая-то "зараза" тут в ОС "ковыряется"! И тогда уже этому руткиту не уйти на "дно"

[SHIELD]

>Пырвыми в этом направлении были разработчики ADinf.

В чем именно?

В программировании системы которая отслеживает модификацию/изменения файлов в ОС. Путем подсчета CRC файлов и сверкой с предыдущей таблицой подсчета CRC.

Нет!

Тогда еще небыло антивирусов, точнее они были на начальном уровне. И компьютеры были не распространены, а сетей вообще почти не было. Но если кто-то придумал раньше, то пожалуйста просветите меня

[SHIELD]

Comodo уже в разряд антивирусов перешёл? Суров...

COMODO стал не только программировать антивирус, но и сделал хороший "комбаин" - COMODO Internet Security Premium.
Их фаирволл часто показывал хорошие результаты на тестированиях.
А вот для их антивируса стоит желать лучшего
Но зато они хорошо реализовали систему отслеживания изменений в ОС и это отлично помогает в противостоянии вирусам
У них еще есть разные хорошие идеи - например свой безопасный броузер, который может использовать (а может не использовать) COMODO DNS-Security и плюс еще разные "наворты" типа сертификатов. Вобщем ребята хорошо задумались как зделать хороший продукт в области безопасности.
А Касперский занял первое место (в моих тестированиях) по виртуализации (еще ее называют "песочницей"). У них очень класно реализовано - можно отдельно виртуализировать работу приложения, работу с раб.столом, работу с IE. И вообще у них для IE есть переконфигурация/модификация. Вообщем АВ Касперского в виртуалке на первом месте.
А COMODO и AVAST! на втором. В AVAST! тоже как в АВ Касперского очень хорошо реализована "песочница".
Но у AVAST! не очень фаирволл, да и вирусы он не так хорошо ловит как DrWeb, KAV и Avira.

Сообщение было изменено mail311: 27 Ноябрь 2011 - 23:11

[SHIELD]

Кто-нибудь может предполижить - а если стелс-вирус(руткит) будет делать только перехваты в ОС и не будет изменять системные и другие файлы на диске. Перехваченную инфу будет складывать в свою секретную папочку, а потом, когда появиться доступ в интернет, отправлять хозяину. Ну тогда, с такой "заразой", должна бороться компонента "анти-руткит", которая покажет таблицу - кто делает перехваты на уровне ядра и на уровне пользователя. Ведь сразу станет очевидно, что если есть перехват, но не удолось определить кто его сделал или удалось, но этот файл(руткит) не имеет коментария кем он создан, то сразу станет понятно, что в ОС чужой руткит (не от антивирусной компании). И тогда нужно загрузиться с LiveCD, найти этот файл(руткит) и отправить его в лабораторию для анализа. Думаю для пользователя не так уж сложно все это проделать, при наличии необходимого программного функционала и желания выличиться от "заразы"

[SHIELD]

Кстати, уже есть dwshark , просто его нужно хорошо "отшлифовать" и "прикрутить" туда куда надо

[mrbelyash]

Кто-нибудь может предполижить - а если стелс-вирус(руткит) будет делать только перехваты в ОС и не будет изменять системные и другие файлы на диске. Перехваченную инфу будет складывать в свою секретную папочку, а потом, когда появиться доступ в интернет, отправлять хозяину. Ну тогда, с такой "заразой", должна бороться компонента "анти-руткит", которая покажет таблицу - кто делает перехваты на уровне ядра и на уровне пользователя. Ведь сразу станет очевидно, что если есть перехват, но не удолось определить кто его сделал или удалось, но этот файл(руткит) не имеет коментария кем он создан, то сразу станет понятно, что в ОС чужой руткит (не от антивирусной компании). И тогда нужно загрузиться с LiveCD, найти этот файл(руткит) и отправить его в лабораторию для анализа. Думаю для пользователя не так уж сложно все это проделать, при наличии необходимого программного функционала и желания выличиться от "заразы"

Вы подписались на журнал Хакер?

[Пол Банки]

что делать домохозяйке со списком изменных файлов и кто их изменил?
стелс не может подменять файл при запросе?

[sda]

При нынешнем объеме информации, отслеживать изменения, как делал ADinf смешно
Кстати, стоял у меня лет 8 тому назад, каждый раз при загрузке "Ахтунг, ваши файлы изменились"