28.06.2012, 14:09
Tak się złożyło, że aktualnie na jednej maszynie na WinXP SP3 mam zainstalowane równolegle Shadow Defender oraz System Safety Monitor. SD jest raczej znany, SSM już może nie tak bardzo, choć kiedyś był jednym z topowych klasycznych HIPSów. Nie będę opisywał szczegółów SSM - powiem tylko tyle, że niestety nie działa na Windows Vista i wyżej i na 64-bitowych i jest już nierozwijany...ale i tak to, co prezentuje i oferuje wciąż jest godne najwyższej uwagi i jak się okazuje szacunku...aha...no i opcjonalnie jest całkowicie po polsku 
Do rzeczy...SSM oferuje tryb nauki i niedawno dzięki temu trybowi pracy udało mi się zaobserwować coś do tej pory dla mnie niebywałego...a jak się okazało również zaskakującego dla starych wyjadaczy na Wildersach...i właśnie dla takich chwil warto czasem eksperymentować...huehue
- OK...włączyłem więc tryb uczenia, a potem jak zwykle w przypadku testów - tryb wirtualizacji w SD
- następnie uruchomiłem instalator testowanego programu...wtedy był to ThreatFire, ale na potrzeby tego wątku wybrałem nowy AV w chmurze od Kingsoft
- po instalacji, aktualizacji i szybkim skanowaniu i sprawdzeniu tego, co mnie interesowało zwyczajnie zrestartowałem system, bo tak ustawione było wyjście z trybu wirtualizacji
- po restarcie miałem już rzeczywisty system - bez TF (czy ogólnie bez testowanego programu), ale SSM wciąż był w trybie wirtualizacji
- przy wyłączaniu trybu wirtualizacjizgodnie z włączona opcją "Alertuj przy zmianach i plikach tymczasowych w trybie uczenia" pokazało się okienko (zwyczajowe dla tej opcji) z...wszystkimi uruchamianymi procesami w trybie wirtualizacji, które SSM proponowało usunąć lub zachować!!
- SSM zapisał..."wyciągnął"...podejrzał...zdarzenia, które nie powinny się przecież nigdzie zapisać, bo dokonane były na nierzeczywistym systemie !!
I z takim właśnie "stanem" własnego zdziwienia...zaintrygowania...zwróciłem się na forum WS z prośbą o próbę wyjaśnienia tej zaskakującej obserwacji. Podejrzewałem, że albo SSM daje radę w jakiś sposób obejść wirtualizację...albo może mieć to związek z położeniem pliku z konfiguracją programu w położeniu "niedomyślnym" - czyli na dysku D, a nie "normalnie" na dysku systemowym ©. Były różne domysły i jak widać było, opisane zjawisko było nieco zaskakujące...w końcu stanęło na stwierdzeniu/podejrzeniu, że chodzi faktycznie o miejsce zapisu pliku konfiguracyjnego...nie tylko o to, gdzie jest jego kopia, ale także to, że ten plik zastępuje domyślnyz lokalizacji C:\Program Files\System Safety Monitor\Global.cfg .
Postanowiłem to zweryfikować jeszcze - jeśli wejdę najpierw w tryb wirtualizacji, a potem w tryb uczenia, to również powinienem po restarcie powinienem mieć SSM w trybie uczenia, a przy wyjściu z niego dostać okno z propozycją usunięcia/zachowania reguł dla procesów z trybu uczenia:
- zrobiłem więc tak, a potem na próbę zainstalowałem Kingsoft Coud AV
- wyszedłem przez restart z wirtualizacji
- po restarcie miałem rzeczywisty system...i SSM w trybie nauki wciąż...czyli jak się spodziewałem
- przy wychodzeniu z trybu uczenia dostałem reguły do akceptacji
- na liście stworzonych reguł pojawiły się uruchamiane instalatory
Całe to zjawisko nie zadziała, kiedy w tryb wirtualizacji wchodzi także dysk z plikiem konfiguracyjnym.
No dobra..."ale co z tego wynika?" zapytacie. Powiem tak...wynika tyle, że
- udało mi się zaobserwować (może nawet odkryć) nieznane i zaskakujące zachowanie dwóch znanych, współpracujących ze sobą programów zabezpieczających
- dzięki temu mogę powiedzieć, że nie znam innego programu poza SSM, który w podobny sposób mógłby "zajrzeć" do trybu wirtualizacjiSD i wyciągnąć z niego jakieś informacje
- jest wg mnie unikalna możliwość dla SSM i wydaje się, że może okazać się czasem przydatna
- no i oczywiście mam w ten sposób niewątpliwą satysfakcję.
Jeśli komuś się zechce sprawdzić w podobny sposób inne monitory/HIPSy we współpracy z SD lub innym wirtualizerem...będzie to na pewno ciekawe i pożyteczne Malware Defender również oferuje możliwość zapisu pliku konfiguracyjnego na innym dysku, niż systemowy, ale nie znalazłem nigdzie informacji o podobnym zachowaniu wobec SD, jak opisany w SSM.
Dla bardziej ciekawskich - wątek na forum WS
Do rzeczy...SSM oferuje tryb nauki i niedawno dzięki temu trybowi pracy udało mi się zaobserwować coś do tej pory dla mnie niebywałego...a jak się okazało również zaskakującego dla starych wyjadaczy na Wildersach...i właśnie dla takich chwil warto czasem eksperymentować...huehue
- OK...włączyłem więc tryb uczenia, a potem jak zwykle w przypadku testów - tryb wirtualizacji w SD
- następnie uruchomiłem instalator testowanego programu...wtedy był to ThreatFire, ale na potrzeby tego wątku wybrałem nowy AV w chmurze od Kingsoft
- po instalacji, aktualizacji i szybkim skanowaniu i sprawdzeniu tego, co mnie interesowało zwyczajnie zrestartowałem system, bo tak ustawione było wyjście z trybu wirtualizacji
- po restarcie miałem już rzeczywisty system - bez TF (czy ogólnie bez testowanego programu), ale SSM wciąż był w trybie wirtualizacji
- przy wyłączaniu trybu wirtualizacjizgodnie z włączona opcją "Alertuj przy zmianach i plikach tymczasowych w trybie uczenia" pokazało się okienko (zwyczajowe dla tej opcji) z...wszystkimi uruchamianymi procesami w trybie wirtualizacji, które SSM proponowało usunąć lub zachować!!
- SSM zapisał..."wyciągnął"...podejrzał...zdarzenia, które nie powinny się przecież nigdzie zapisać, bo dokonane były na nierzeczywistym systemie !!
I z takim właśnie "stanem" własnego zdziwienia...zaintrygowania...zwróciłem się na forum WS z prośbą o próbę wyjaśnienia tej zaskakującej obserwacji. Podejrzewałem, że albo SSM daje radę w jakiś sposób obejść wirtualizację...albo może mieć to związek z położeniem pliku z konfiguracją programu w położeniu "niedomyślnym" - czyli na dysku D, a nie "normalnie" na dysku systemowym ©. Były różne domysły i jak widać było, opisane zjawisko było nieco zaskakujące...w końcu stanęło na stwierdzeniu/podejrzeniu, że chodzi faktycznie o miejsce zapisu pliku konfiguracyjnego...nie tylko o to, gdzie jest jego kopia, ale także to, że ten plik zastępuje domyślnyz lokalizacji C:\Program Files\System Safety Monitor\Global.cfg .
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Postanowiłem to zweryfikować jeszcze - jeśli wejdę najpierw w tryb wirtualizacji, a potem w tryb uczenia, to również powinienem po restarcie powinienem mieć SSM w trybie uczenia, a przy wyjściu z niego dostać okno z propozycją usunięcia/zachowania reguł dla procesów z trybu uczenia:
- zrobiłem więc tak, a potem na próbę zainstalowałem Kingsoft Coud AV
- wyszedłem przez restart z wirtualizacji
- po restarcie miałem rzeczywisty system...i SSM w trybie nauki wciąż...czyli jak się spodziewałem
- przy wychodzeniu z trybu uczenia dostałem reguły do akceptacji
- na liście stworzonych reguł pojawiły się uruchamiane instalatory
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Całe to zjawisko nie zadziała, kiedy w tryb wirtualizacji wchodzi także dysk z plikiem konfiguracyjnym.
No dobra..."ale co z tego wynika?" zapytacie. Powiem tak...wynika tyle, że
- udało mi się zaobserwować (może nawet odkryć) nieznane i zaskakujące zachowanie dwóch znanych, współpracujących ze sobą programów zabezpieczających
- dzięki temu mogę powiedzieć, że nie znam innego programu poza SSM, który w podobny sposób mógłby "zajrzeć" do trybu wirtualizacjiSD i wyciągnąć z niego jakieś informacje
- jest wg mnie unikalna możliwość dla SSM i wydaje się, że może okazać się czasem przydatna
- no i oczywiście mam w ten sposób niewątpliwą satysfakcję.
Jeśli komuś się zechce sprawdzić w podobny sposób inne monitory/HIPSy we współpracy z SD lub innym wirtualizerem...będzie to na pewno ciekawe i pożyteczne
Malware Defender również oferuje możliwość zapisu pliku konfiguracyjnego na innym dysku, niż systemowy, ale nie znalazłem nigdzie informacji o podobnym zachowaniu wobec SD, jak opisany w SSM.Dla bardziej ciekawskich - wątek na forum WS
[Aby zobaczyć linki, zarejestruj się tutaj]