по идее можно реализовать. но страшно.Может запретить при включенной самозащите читать ini-файл/ветку реестра сторонними/не drWeb-овскими процессами?
Помогите понять логику опций
Автор
U-S-T
, янв 04 2010 09:20
61 ответов в этой теме
#61
Отправлено 16 Февраль 2010 - 16:47
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#62
Отправлено 17 Март 2010 - 14:07
> Eugeny Gladkih & Konstantin Yudin
Спасибо за ответы.
В отношении [Exclude/Processes]:
очень хотелось бы, чтобы данная возможность была реализована в ES.
Т.к. централизованно вносить данные изменения "сторонними" средствами (GPO, psexec и т.п., вариации на тему remote registry и т.д.) далеко не всегда возможно и еще более не всегда просто и надежно (да, способы мне известны, но все они несколько через ж).
В части технической стороны вопроса - согласен с:
И работоспособность ее не зависит от способа добавления.
Нюансы:
1.) Насколько я понимаю, реализация, к примеру, "лобового" способа вида
"если путь открывающего процесса, открывающего файл, совпадает с элементом списка Exclude/Processes, проверять совпадение Md5 исполняемого файла процеса на предемет подмены файла"
не решит вопроса ввиду того, что :
-- 1.1) следующей просьбой админов (и моей, в частности) будет добавить флаг "не проверять изменение exe", т.к. множество "капризных\тяжелых" программ, для которых и предназначено данное исключение, имеют склонность обновляться ,
и придется своевременно реагировать на изменения исполн. файла.
-- 1.2) способ в приведенном "лобовом" виде неприемлем из соображений быстродействия.
Возможно, более приемлемым (в плане быстродействия) вариантом (но тоже оставляющим простор для обхода : ) является что-то вроде:
- "шифровать список исключений в реестре" и т.п.
Спасибо за ответы.
В отношении [Exclude/Processes]:
Konstantin,...вот поэтому в гуи и нет. а если сами добавили руками, осознавали что делали.
очень хотелось бы, чтобы данная возможность была реализована в ES.
Т.к. централизованно вносить данные изменения "сторонними" средствами (GPO, psexec и т.п., вариации на тему remote registry и т.д.) далеко не всегда возможно и еще более не всегда просто и надежно (да, способы мне известны, но все они несколько через ж).
В части технической стороны вопроса - согласен с:
написание тулзы, реализущей подмену исполняемого файла (или извращения с PEB и т.п., например, - в зависимости от реализации механизмов проверки таких "исключений") подобного "trusted"-процесса и т.п. - дело, не требуещее особых навыков.И какая разница в методе добавления - через GUI или через реестр?
И работоспособность ее не зависит от способа добавления.
Нюансы:
1.) Насколько я понимаю, реализация, к примеру, "лобового" способа вида
"если путь открывающего процесса, открывающего файл, совпадает с элементом списка Exclude/Processes, проверять совпадение Md5 исполняемого файла процеса на предемет подмены файла"
не решит вопроса ввиду того, что :
-- 1.1) следующей просьбой админов (и моей, в частности) будет добавить флаг "не проверять изменение exe", т.к. множество "капризных\тяжелых" программ, для которых и предназначено данное исключение, имеют склонность обновляться ,
и придется своевременно реагировать на изменения исполн. файла.
-- 1.2) способ в приведенном "лобовом" виде неприемлем из соображений быстродействия.
Возможно, более приемлемым (в плане быстродействия) вариантом (но тоже оставляющим простор для обхода : ) является что-то вроде:
- "шифровать список исключений в реестре" и т.п.
imho, ага: начнет отваливаться достаточно большое число тулзов (+ возможно, ряд функций самой ОС), не допускающих, что им дадут "отлуп" на попытку открытия ключа даже с KEY_QUERY_VALUEпо идее можно реализовать. но страшно.Может запретить при включенной самозащите читать ini-файл/ветку реестра сторонними/не drWeb-овскими процессами?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых