Шансон Плюс
Лаборатория => Подсобка (Помощь и Консультации) => Тема начата: uuu99950 от Декабря 02, 2008, 18:18:19
-
Введение ;) :P
Ваш компьютер должен содержать достаточно надежный "софт" против вирусов и подобной гадости. Бояться осуществлять навигацию по инету - глупо. Все равно, если вас будут пытаться "заразить" вирусами, то вы голыми руками ничего не сможете предпринять.
Защищать вас будут не ваши "голые руки", а те специализированные программы, которые нужно заблаговременно поставить на ваш комп. Если набор таких программ окажется достаточно хорошим - то вам никто ничего удаленно не сделает.
Абсолютную гарантию дает, как известно, только страховой полис Но даже по нему вам могут отказать в выплате, в случае наступления "страхового события".
Вы не можете быть корифеем на все 100 % в деле защиты от вирусов. Но что приятно - это сознание факта, что атакующий - тоже не бог, и тоже знает и умеет далеко не все... Иначе щас был-бы уже Биллом Гейтсом - а он до сих пор фигней страдает...
Я например, с некоторых пор безбоязненно тыкаюсь в подобные ссылки (про которые пишут что они распространяют вирус). Потому что хочу научиться защищаться от атак, а не избегать их не понимая сути. И почти всегда уверен, что ничего серьезного мне не смогут сделать. А желающих "положить" мой круглосуточно раздающий HTTP-сервер достаточно. Давно уже положили бы, если бы смогли.
*****************************************************************
Как Вас заражают вирусом через интернет ? Как это происходит ? (излагаю как сам это понял в результате экспериментов)
1. Вы заходите при помощи вашего браузера: Internet Explorer, или Mozilla, или Opera и т.п. - на какую-нибудь страницу какого-нибудь сайта. Или при помощи другой программы.
2. Эта страница (как и остальные) - реализована у них в виде кода. Этот код содержит текст страницы, указания какими цветами и шрифтами все выводить, информацию о разметке страницы, как правило, ссылки на другие IP-адреса для скачивания картинок, для счетчиков числа посещений...
3. В текст кода страницы можно напихать и "вредоносных скриптов". Пользователь их не видит. Насколько я понимаю, чаще всего страницы кодируются с использованием языка программирования Java-script, или более мощного: JAVA Чтобы вредоносный код выполнился на вашем компьютере - нужно сперва его каким-то образом передать на ваш комп.
4. Код страницы загружается с IP того сайта, где вы открыли страницу. На ваш компьютер "прилетает из интернета" в виде файла обычно с расширением .htm и целой группы мелких файлов к нему (графические файлики и не только). Можно эти "прилетающие к вам на комп" файлы просмотреть - они записываются к вам на комп в папку:
Documents and Settings > Имя Вас - как пользователя >
Local Settings > Temporary Internet Files.
Последние две папки - скрытые, их видно в программе "FAR"например, или в проводнике Windows, если поставить флажок чтоб было их видно.
Итак, помимо файлов с расширением .htm к вам на комп могут прилетать файлы и с другими, самыми разными расширениями.
Далее, некоторые из этих файлов начинают "выполняться" уже у вас на компе.
Например, самостоятельно "распаковываться из архива", или например, копировать какой-нибудь файлик из этой временной папки в папку
WINDOWS\system32. Вирус можно так замаскировать в этих "прилетевших к вам файлах" - что ни один антивирус не обнаружит. Например, "накрыть белым шумом" - то есть использовать известный прием шифровки "при помощи одноразового блокнота".
*******************************************************************
Что неприятно в этом факте ?
- Неприятно то, что если никак не контролировать действия этих "прилетевших к вам из инета" (с сайта на котором мы открыли страницу) файлов - то щас они вам наделают делов.... Таких делов, что вы ахнете...
На страже обычно стоит антивирус, который пытается проверить эти вредоносные файлы еще в архивах, а если не умеет этого делать - то позволяет им распаковаться, расшифроваться - и после этого проверяет. Если найдет в этих файлах признаки вируса - то прибьет вирус. Если не найдет - то пропустит вирус.
Кроме антивируса, можно в некоторых браузерах запретить скачиваться файлам с определенными расширениями (например, .exe и .com). Что абсолютно бесполезно, так как атакующие уже научились исполнять файлы даже с расширением .tmp или .~ (см. пояснение дальше)
Кроме этого, можно запретить на своем компе (в своей программе-браузере) исполняться скриптам написанным на языках Java-script и Java. И Active-X.
Но на практике, если запретить Java-script хотя-бы - то большая часть сайтов перестает работать, поэтому приходится все разрешать.
*******************************************************************
Что приятно ?
Приятно то, что для нанесения вашему компу вреда, вредоносный код должен сперва успешно "исполниться". И если антивирусы могут поймать только те вирусы, которые им на данный момент известны (добавлены производителем в "антивирусную базу"), то существует еще другой тип программ.
Эти программы могут вас защитить как от известных вирусов, так и от тех, которые еще в природе не написаны.
Программы этого класса применяются в сфере банковской безопасности например. Они действуют по принципу: все что в явном виде не разрешено - то запрещено. Называются "диспетчеры процессов". Диспетчер процессов разрешает выполняться только тем процессам, сигнатуры (характерные последовательности байтов) которых мы ему разрешим.
А точнее, он подсчитывает "защищенную по алгоритму MD5" контрольную сумму всех разрешенных для исполнения файлов. При подсчете контрольной суммы использует и "полный путь" к файлу. Так что тот-же выполнимый файл из другой папки - не выполнишь, пока лично не добавишь разрешение.
*******************************************************************
Запущенный диспетчер процессов "задает пользователю вопросы" вида:
- этому процессу разрешить выполниться ?
- а этому ?
- процесс такой-то хочет выполниться с параметром таким-то. Разрешить ему ?
- однократно разрешить или всегда ?
Вы видите всю логику событий. Что за чем происходит. Ну зашли вы на завирусованную страницу сайта. Ну прилетели к вам файлы с вирусами.
Ну пропустил их антивирус...
Дальше появляется сообщение от программы-диспетчера процессов. Например, вида:
Процесс CMD пытается выполнить процесс
C:\Documents and Settings > Имя вас-пользователя >
Local Settings > Temporary Internet Files\1r.tmp
Разрешить ?
Допустим вы говорите "Да, однократно"
Появляется следующий вопрос:
Процесс
C:\Documents and Settings > Имя вас-пользователя >
Local Settings > Temporary Internet Files\1r.tmp
пытается добавить сервис ....... keylogger_e.exe в ветку системного реестра такую-то. Разрешить ?
И т. д.
***************************************************************
После проверки вашего компа антивирусом со свеже-обновленной базой,
инсталлируем программу-диспетчера процессов. Перезапускаем комп.
Диспетчер процессов начинает задавать вопросы, чего разрешить - а чего нет.
После "обучения" (обычно достаточно подтвердить разрешение на запуск 30-40 программ, которыми вы пользуетесь) - он практически перестает вас спрашивать.
Но когда на вашем компе попытается выполниться что-нибудь не разрешенное вашими руками - то диспетчер процессов перехватит эту попытку, например:
(http://217.117.114.180/%D0%9A%D0%B0%D1%80%D1%82%D0%B8%D0%BD%D0%BA%D0%B0_%D0%B4%D0%B8%D1%81%D0%BF%D0%B5%D1%82%D1%87%D0%B5%D1%80%D0%B0_%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81%D0%BE%D0%B2.JPG)
Программу SSM-2 (System Safety Monitor) можно скачать с фирменного сайта. Она российская. Там есть бесплатная версия. С небольшими глюками - она работает...
Когда я нашел себе приличный диспетчер процессов, с тех пор мне смешно когда кто-нибудь начинает паниковать и зарекаться вообще выходить в инет.
А вы смотрели, кто у вас чего пытается запустить ? Какой процесс чего в каком месте вызывает ?....
-
Спасибо, uuu99950, где-то так я себе это и представлял.
Последние два лютых вируса я подцепил - один по ссылке с Яндекса на сайте Жириновского, другой - на очень известном форуме кавказской направленности. Первый раз вирь меня гуманно информировал, что мой комп инфицирован, и на синем фоне появлялось белое окошко с этим текстом. И ничего не запускалось. Второй раз ещё круче - я заметил, что мой комп начал очень тормозить, и потом выяснил, что от меня в Инет идёт сплошной поток, хотя я ничего при этом не передавал. Сейчас я постоянно вижу, что мои адресаты в Агенте постоянно высылают мне какую-то ссылку, хотя они ничего не высылают. Но эта беда уже не у меня, а у них.
Я не борюсь с вирусами, и никогда не буду покупать Каспера, просто из принципа. Но храню Систему на одном диске, а все данные на других. Переставить Винду со всеми прибамбасами занимает гдё-то полтора часа, при этом я могу заниматься домашними делами.
Вообще, процесс "заражения" я всегда воспринимал как нечто схожее с "внебрачными связями". Вероятность заражения есть всегда, но, не посещая сомнительные ссылки, мы уменьшаем её на порядок.
-
Фирменный сайт:
http://www.syssafety.com/ (http://www.syssafety.com/)
(http://217.117.114.180/%D0%A4%D0%B8%D1%80%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D0%B9%20%D1%81%D0%B0%D0%B9%D1%82%20SSM-2.JPG)
-
Переставить Винду со всеми настроенными программами - занимает 10 минут.
Если программы все поставить например, на один логический диск C.
А все данные - держать на других логических дисках.
При помощи одной из утилит пакета Acronis.
Более того, копия системного диска со всеми настроенными прогами - влезает на DVD-R, и есть возможность восстанавливать с него (или с флэшки) :)
Прогой могу поделиться, и как чего делать - написать. Но там просто все - для юзеров все сделано. :P
-
Такая прога много кому пригодится. Но если это пиратка, то лучше в открытом форуме её не давать. Или дать без лекарства, как пробную версию. А с лекарством потом разберёмся.
-
AnVir Task Manager
AnVir Task Manager - это бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера
* Управление автозагрузкой, запущенными процессами, сервисами и драйверами и замена Диспетчера Задач
* Обнаружение и удаление вирусов и spyware
* Тонкая настройка XP и Vista, включая установку скрытых настроек
* Ускорение загрузки Windows и работы компьютера
(http://s60.radikal.ru/i167/0812/75/4cf99c702f58.jpg) (http://www.radikal.ru)
Сайт программы: http://www.anvir.net/ (http://www.anvir.net/)
-
Скачал прогу "AnVir Task Manager"
Поигрался... М-м-да-ужжжжжжжжжж ! :)
Нас (в данной теме) интересуют конкретно "ДИСПЕТЧЕРЫ ПРОЦЕССОВ".
А где там диспетчер процессов ? Не нашел что-то.
Наворотили какой-то огромный винегрет из всего-всего-всего, кроме того что нужно.
Это следствие того, что у разработчиков в голове был такой-же винегрет :)))
Что было нужно ?
Нужно было: когда запускаем какую-нибудь программу, и при этом вы лично, своими руками, еще не назначили этой программе разрешение - то чтоб спрашивала каждый раз:
"Разрешить выполниться этой проге, или нет ?"
И чтобы эту, единственную функцию - отрабатывала надежно.
А где этот функционал в "AnVir Task Manager" ? Может, я просто не нашел ?
-
Не подскажите, где в "AnVir Task Manager" спрятан диспетчер процессов ? :(
-
В разделе " Процессы" программам можно разрешать и запрещать запускаться. Разве этого недостаточно?
-
Нет, этого не достаточно. Чтобы запретить выполняться какой-нибудь программе, нужно чтобы сначала она оказалась в списке (уже запущенных).
Но когда вредная программа один раз будет запущена - то поздно уже будет воду сливать ! :) Диспетчер процессов должен спрашивать насчет каждой новой программы - можно-ли ее запустить. А не сначала все подряд разрешать запускать, а потом спрашивать "не хотите-ли вы в будущем что-нибудь запретить" :)
Обзор по инету выдал следующие программы-аналоги SSM-2:
Dynamic Security Agent
ProcessGuard
Ghost Security Suite
Process Explorer
Пока скачал и бегло проверил 2 из них. Вот что получилось:
- Dynamic Security Agent; - ставил, пробовал - фигня ! Не считает контр. суммы файлов ! Вообще !
Только имена файлов и пути запоминает. Позволяет редактировать экзешники ! :))) И после этого выполняет их ! И модальное окно очень узенькое, и не растягивается. Это не есть профессиональный продукт :(
ProcessGuard версия 3.410 full version - вроде, хорошая :) (есть уже 3.5)
Правда я не бесплатную версию задействовал, а сразу полную (платную), крякнутую. Контрольные суммы считает и проверяет, изменения файлов обнаруживает, из другой папки тот-же файл не запускает, интерфейс простой :) Правда, только по-английски... Все работает... Это - безусловно, продукт профессиональной программерской фирмы !
За остальные проги пока не могу ничего сказать - не успел попробовать. Но хотя бы еще одну хорошую нашли :)
-
Диспетчер процессов Process Guard v4.3 выдает запрос на разрешение запуска NERO:
(http://217.117.114.180/ProcessGuard%204.3%20%D1%81%D0%BF%D1%80%D0%B0%D1%88%D0%B8%D0%B2%D0%B0%D0%B5%D1%82%20%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B5%20%D0%BD%D0%B0%20%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%20NERO.JPG)
-
копия системного диска со всеми настроенными прогами - влезает на DVD-R
Однако... Может, на Блюрей? У меня "системный диск со всеми настроенными прогами" - больше 11 ГБ, несмотря на то, что постоянно его чищу. Многотомный архив делать?
Держу, конечно, образ, но на внешнем харде.
-
(uuu99950 @ Dec 2 2008, 06:46 PM)Фирменный сайт:
http://www.syssafety.com/ (http://www.syssafety.com/)
Хотел зайти посмотреть, а мне...
(http://i067.radikal.ru/0903/ab/f47f62b136f8.jpg)
-
1. Действительно, сегодня сайт SSM-2 чего-то не хочет открываться. Ну да не беда, Процесс Гард в чем-то даже получше будет.
Получше в том, что он устойчивее работает, а SSM-2 в последнее время иногда самопроизвольно стал вываливаться - конфликтовал с некоторыми из программ на моем компе.
Интересно, что первые их версии - работали лучше, никогда не вываливались.
2.
"Однако... Может, на Блюрей? У меня "системный диск со всеми настроенными прогами" - больше 11 ГБ, несмотря на то, что постоянно его чищу. Многотомный архив делать?"
- Что-то много для софта, 11 Gb. Там если начать изучать - то конечно-же не все софт окажется. Наверняка есть программы, которые по умолчанию сохраняют данные в ту же папку. Хотя путь для сохранения данных можно менять...
Например, если я e-Mule запущу, и начну им скачивать фильмы, и они будут по умолчанию сохраняться в папку e-Mule, а сам e-Mule я поставил на
C:\Program Files
- то я могу через некоторое время получить размер папки Program Files
и 50 Гигабайт...
Надо поизучать, что какой размер занимает. Удобно делать это программой FAR.
В ней по кнопке Ctrl+Q - пишет размер папки.
Осуществляем навигацию по всем корневым папкам диска С - и смотрим их размеры.
Находим самые большие, заходим в них, и смотрим какие из вложенных папок самые большие....
Там можно начиная от 100 лет нечищенной корзины обнаружить, и папки Temp в которую сохраняются страницы из инета, кончая огромными файлами
RAR, фильмами, музыкой и прочим, чего не должно храниться на системном диске.
-
А бесплатная версия программы SSM-2 от августа 2008 г - у меня есть:
Файл удален с сервиса.
Проверил - сохранились у меня на компе и несколько предыдущих версий - с 2006-го года:
563, 564, 565 и 583 - и версии SSM-2
-
Вот еще одна хорошая программка, из этой-же серии. Бесплатная :)
Скачиваем с фирменного сайта. Возможности усеченные, но нам для начала хватит
(http://s50.radikal.ru/i128/0905/8e/9e63abf614b2.jpg)
(http://s42.radikal.ru/i095/0905/1a/cdad46324cde.jpg)
Программа называется Ж-хост секъюрити сюита.
Скачивать нужно ту ее часть, которая называется "AppDefend"
Эта программа хороша еще и тем, что помимо контроля за тем, какие процессы вы разрешаете, а какие запрещаете запускать - она содержит еще свой собственный файерволл !
И если диспетчер процессов/файерволл Ghost Security Suite пишет вам, что например, процесс WINLOGON зачем-то пытается выйти в интернет по IP-адресу, расположенному в Кэмбридже - то одним движением руки запрещаем этой программе дальше так шутить.
-
Восстановил картинку про диспетчер процессов Process Guard:
(http://s44.radikal.ru/i103/0905/6d/36e8613db532.jpg)
-
Российский диспетчер процессов SSM-2 (System Safety Monitor)
- выдает сообщение пользователю:
(http://s49.radikal.ru/i123/0905/d8/cd83d6dbab75.jpg)
Фирменный сайт программы SSM-2 накрылся, наверное в связи с кризисом... Сайт работал более 6 лет, и с него можно было скачать официально бесплатную версию программы:
(http://s49.radikal.ru/i126/0905/76/cf620f16578e.jpg)
Сайт накрылся, но программа осталась Вот ссылка на скачивание версии .583 (их последняя бесплатная версия имела номер .585)
--- Скрытая информация. Для того чтобы получить к ней доступ необходимо зарегистрироваться и поблагодарить автора сообщения нажатием на кнопку "Спасибо" вверху сообщения ---
:)
-
(uuu99950 @ May 29 2009, 10:12 AM)Сайт накрылся, но программа осталась Вот ссылка на скачивание версии .583 (их последняя бесплатная версия имела номер .585) :)
К сожалению: "Файл удален с сервиса"