Wracając do testu sprzed kilku dni...Trudno mi skomentować zachowanie SS, bo jak widać u niektórych testu nie przechodzi, a u innych tak...widać zależy to od ustawień, bo chyba każdy ma jakieś swoje własne. Na pewno jednak da się wzmocnić oferowana przez program ochronę włączając do folderów z objętych restrykcjami wszystkie te, które są z góry zdefiniowane przez producenta (menu myszki)...można na pewno również dołączyć te, które domyślnie służą jako lokalizacje pobieranych plików (pul[pit czy folder w Moich dokumentach) oraz rzeczywiste własne lokalizacje, do których ściągamy pliki z sieci. Takie rozwiązanie mam u siebie
- folder "Download" na dysku D (moje własne dane) jest na liście objętych restrykcjami, co uniemożliwia uruchomienie się żadnego pliku stamtąd bez ostrzeżenia
- równocześnie ten folder jest na liście folderów z dostępem do zapisu (zakładka następna w opcjach restrykcji), bo bez tego nie dałoby się zapisać w nim żadnego pliku
- daje to w efekcie jakby "bezpieczny kontener", z którego raczej nic nie powinno wyjść bez naszej zgody, ale może swobodnie wchodzić, a my mamy to pod kontrolą w jednym miejscu i co jakiś czas zawsze całą zawartość przeskanować
- do uruchamiania plików służy inny folder bez restrykcji, do którego przenoszę dane/pliki po sprawdzeniu ich jakości.
Na koniec o SS...nie należy zapominać, że to program nie pracujący na sygnaturach...ma swoją wewnętrzna listę zaufanych aplikacji, co pozwala na automatyczne zezwolenia dla pewnych programów...znakomita większość akcji (bez ingerencji w ustawienia) pozostawiona jest do decyzji użytkownika. Mam dlatego wątpliwość do pierwszego screenu z tzw. "drugiego" ręcznego podejścia...w opcjach alertu jest zaznaczona opcja "current component cant execute any aplication", co mimo (tak mi się wydaje) zablokowania tego jednego procesu pozwala na uruchomienie kolejnych przez niego wywołanych...do tego opcja "zapamiętaj te nieustawienia" i właściwie wszystko potem może się dowolnie (i pewnie bez ostrzeżenia) uruchamiać.
Co innych programów:
- ERP to anti-exe, więc można się spodziewać, że jeśli jest w trybie "lockdown" zablokuje szkodnika, bo nie jest on na liście dozwolonych...w opcjach dozwolone są tylko pliki z lokalizacji Program Files i zaufane z Windows (tak jakoś pamiętam)
- VoodooShield poza możliwościami podobnymi jak ERP ma dodatkowo własny system reputacji połączony z chmurą i skanuje wszystkie nieznane procesy...powinien więc zablokować i to zrobił skutecznie
- ApGuard to program nakładający restrykcje na tzw. user space" czyli strefę użytkownika (określone lokalizacjezwiązane z pewnymi folderami systemowymi m.in. temp-y, pulpit, moje dokumenty) plus lista zaufanych, więc zrobił to, czego należało oczekiwać czyli zablokował coś nieznanego z lokalizacji objętej restrykcjami
- AVG i TF to programy bazujące w podstawowych możliwościach/ustawieniach na analizie behawioralnej i jak widać skutecznie blokują podejrzane akcje tylko na tej podstawie...TF ponadto może mieć funkcje HIPSa/firewalla dyskowego służącego do ochrony określonych obszarów czy zachowań (modyfikacje rejestru, nawiązywanie połączeń, nasłuchiwanie portów), które można konfigurować w bardzo elastyczny sposób. Słusznie Zord powiedział, że program ma wciąz genialne możliwości mimo porzucenia rozwoju.
Filmików na YT jeszcze nie oglądałem, ale być może tam będzie można coś ciekawego dojrzeć
-----------
edit:
na Wildersach jest krótki, ale interesujący wątek na temat dodatkowej ochrony przed cryptlokerami napisany przez Keesa, który często i rzetelnie wypowiada się w kwestii ochrony proaktywnej (SS również)
[Aby zobaczyć linki, zarejestruj się tutaj]