SafeGroup

SafeGroup > Publikacje > Testy > RegTest - jak skuteczna jest Twoja ochrona rejestru?
Pełna wersja: RegTest - jak skuteczna jest Twoja ochrona rejestru?
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

ichito

06.09.2010, 11:23
GhostWall - prostą w konfiguracji zaporę zna wielu użytkowników...ale oprócz tego Ghost Securityma do zaoferowania kilka innych produktów (mi.in. bardzo sympatyczny HIPS pod nazwą AppDefend znany również jako GSS - Ghost Security Suite), których lista pod linkiem

[Aby zobaczyć linki, zarejestruj się tutaj]

Chciałbym jednak chwilę zatrzymać się i zaproponować tester ochrony rejestru czyli RegTest . Program przeprowadza 2 testy-symulacje:

Test nr 1- próbuje otrzymać dostęp do niektórych pozycji autostartu w rejestrze, które wczytują się przy każdym uruchomieniu systemu, anastępnie szybko przeprowadzić ich modyfikację zmieniając oryginalną zawartość . Ten test wskazuje jak skuteczna i jak szybka jest ochrona rejestru przy wyłapywaniu takich zmian. Wiele programów, których zadaniem jest ochrona m.in.rejestru potrzebuje jakiejś tam ilości czasu - choćby kilku sekund - na sprawdzenie i zarejestrowanie zmian w rejestrze...te kilka sekund wystarczy, by zostać skutecznie zainfekowanym.

Test nr 2- próbuje otrzymać dostęp do różnych lokacji auto-startu w rejestrze inastępnie zasymulować restart komputera . Ten symulowany restart odbywa się po koniecznym do jego przeprowadzenia planowym restarcie - jeśli ochrona komputera jest skuteczna, mamy tylko 1 restart i drugi ręczny, po którym otrzymamy komunikat. Jeśli test zostanie wykonany (czyli ochrona jest nieszczelna) po drugim automatycznym restarcie otrzymamy odpowiedni komunikat, że nasz system jest podatny na tego typu infekcje. Jeśli otrzymasz komunikat ze strony swoich programówpo restarcie to również oznacza, że twoje programy nie chronią cie przed takim atakiem .

Instrukcja:
1 - zrób kopię rejestru, ponieważ działanie programów zabezpieczających może spowodować niespodziewane i niekorzystne zmiany ...koniecznie!!
2 - włącz wszystkie programy monitorujące zmiany w systemie (sprawdzić czy wszystkie mają włączony start z systemem)
3 - przeprowadź obydwa testy
4 - chyba najlepiej będzie teraz przywrócić rejestr

Test do pobrania tutaj

[Aby zobaczyć linki, zarejestruj się tutaj]

Test nr 1 - tak powinno być

[Aby zobaczyć linki, zarejestruj się tutaj]

Test nr 1 - tak nie powinno być

[Aby zobaczyć linki, zarejestruj się tutaj]

Test nr 2 - tak nie powinno być

[Aby zobaczyć linki, zarejestruj się tutaj]


Jak z testem u mnie?... test nr 1 - Symantec nawet nie jęknął, a SpyShelter zapytał czy uruchomić test (przynajmniej tyle)...potem już poszło gładko czyli żadnej ochrony przed modyfikacjami...test nr 2 - reakcja przed uruchomieniem taka sama jak wyżej...po czym ten drugi zasymulowany przez test restart.
Wniosek pierwszy- moje zabezpieczenia nie bronią przed takimi atakami...
drugi- chyba sobie zainstaluję jakiegoś "prawdziwego" HIPSa.

Eru

06.09.2010, 15:50
Dziwne bo SS u mnie pytał przy każdej próbie modyfikacji przez ten test - w 1 teście Tongue

[Aby zobaczyć linki, zarejestruj się tutaj]

ichito

06.09.2010, 18:56
U Ciebie Eru przeszedł pomyślnie? To jak masz ustawionego SS? Smile Na gorąco jeszcze kilka uwag...
- Dynamic Security Agent tylko spytał czy uruchomić test...2 razy bo uruchamiane są dwa pliki (podobnie było u SS)
- Malware Defender 2.7.1 (ostatnia darmowa wersja z wiosny tego roku) nawet nie spytał...i w jego przypadku przydała się kopia rejestru, o której wspominałem...jego deinstalacja odbyła się z kłopotami tzn. zostawił po sobie kilka plików (sterowników), które stale się uruchamiały...nawet usunięcia ich odwołań w Autoruns nie dało się przeprowadzić, bo odnawiały się po starcie systemu
- jak dam radę, to jutro spróbuję z System Safety Monitor i AppDefend oraz RegDefend (te 2 ostatnie od Ghost Security właśnie).

Eru

06.09.2010, 19:00
Ja mam SS na standardowych ustawieniach Tongue

[Aby zobaczyć linki, zarejestruj się tutaj]

ichito

06.09.2010, 19:43
Kurna...to co jest z SS u mnie? Ale OK...w takim razie, co z testem nr 2 u Ciebie?

Eru

06.09.2010, 19:52
Posypał się explorer i musiałem się wylogować i zalogować ponownie Tongue

zord

06.09.2010, 19:57
u mnie 1 test zaliczony 2 test robiłem 2 za pierwszym razem SpyShelter wyswietlał monity a potem mnie wylogowało z systemu za 2 razem razem musiałem sam restartnąć bo najpierw były monity SS a potem ekran mrygnoł i zostało tylko okienko ghosta Tongue

ELWIS1

06.09.2010, 20:31
Ja nawet tego testu nie moglem odpalicTongue

AVG IDP go usunal

Meir

06.09.2010, 22:45
Test 1-zaliczony...przy Teście 2-wali się explorer(próbowałem dwa razy)...nie ma żadnych restartów ani wylogowań...musiałem tylko uruchomić explorer.exe.

BTW.Kopii rejestru nie robiłem(wskazówki Ichito doczytałem po testach Grin )

ichito

13.11.2011, 11:36
OK...wiem już czemu SS nie przeszedł u mnie testu... przy pierwszym teście powinienem blokować każdą akcję modyfikacji rejestru w autostarcie- kiedy tak robiłem, żadna modyfikacja się nie dokonała i test nr 1 zaliczono pomyślnie. Przy 2 teście SS pyta 2 razy - i obie operacje zabroniłem...nastąpił pierwszy konieczny restart, a drugi został wymuszony ręcznie - wygląda więc, że wszystko w porządku, choć okna żadnego na koniec nie dostałem...hmmm.
Natomiast Malware Defender i DSA poległy chyba tylko z tej przyczyny, że obydwa HIPSy były w trybie uczenia się- więc po podstawowych zezwoleniach, dalej zezwoliły na wszystko. Nie przyszło mi do głowy, że to błąd z mojej strony Smile Nie będę niestety próbował ponownie z włączonym trybem "pytaj o wszystko", bo to zbyt dużo zabawy, żeby potem system wyczyścić.
Zainstalowałem na koniec AppDefend (Regdefend nie instalowałem osobno bo już jest zaimplementowany jako osobny moduł w AppDefend). Tu było sporo zabawy...
- test 1: AppDefend spytał o uruchomienie testu (1 raz przy zezwoleniu na wszystko i 5 razy przy jednorazowym), potem spytał RegDefend - zezwoliłem obu, potem odezwał się RegDefend i 7 razy (tyle ile prób modyfikacji rejestru) spytał o decyzję...zabroniłem i test nr 1 został zaliczony pozytywnie
- test nr 2: RegDefend spytał o uruchomienie i zabroniłem...potem szybki restart i ukazało się okno z prośbą o oczekiwanie na wykonanie testu...okno było zamrożone przez kilkanaście minut, więc zrobiłem ręczny restart...normalne logowanie i praca systemu, żadnych okienek z komunikatem...zrobiłem drugi restart i też to samo...sam się zastanawiam, czy wszystko poszło OK.
System Safety Monitor nie był testowany, bo nie udało mi się go prawidłowo zainstalować...przy 2-krotnej instalacji od nowa zawsze przy próbie uruchomienia miałem komunikat, że bark sterowników w systemie i prośba o reinstalację.
Ostatnie uwagi...tak sobie myślę, że i widać to było u mnie na samym początku... wirtualizacja dysku systemowego chroni przed takim zagrożeniem , bo po restarcie nic się nie działo (w końcu został uruchomiony czysty system Smile) tak zadziałał Shadow Defender, ale podejrzewam, że każdy program do wirtualizacji dysków da ten sam skutek...czyli żadnej modyfikacji i infekcji. Ciekaw jestem, jak poradziłyby sobie programy bazujące na polityce piaskownicy...może ktoś z GeSWall lub DefenseWall spróbuje tego testu?
Na koniec wniosek ostatni...mam teraz sporo zabawy z ręcznym czyszczeniem rejestru, ale czego nie robi się dla "nauki" Smile
SafeGroup > Publikacje > Testy > RegTest - jak skuteczna jest Twoja ochrona rejestru?