+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Monitorowanie systemu (https://safegroup.pl/forum-12.html)
+--- Wątek: DefenseWall HIPS (/thread-470.html)
Re: DefenseWall HIPS - Creer - 15.05.2009
zord napisał(a):WinUtilities zresztą to już nie pierwszy raz po ściągnięciu zainstalowałem jako niezaufany ale nie działał wtedy najlepiej to usunąłem go z listy niezaufanych ale nic to nie dało odinstalowałem i zainstalowałem jako zaufany ale nadal uruchamia się jako niezaufany
Po odinstalowaniu WinUtilities przeczysciles rejestr np CCleanerem aby miec pewnosc ze wszystko zostalo usuniete oraz ze zadne foldery na dysku po odinstalownaiu programu nie zostaly?
Re: DefenseWall HIPS - zord - 15.05.2009
nic nie zostało ale dziwne to jest kilka dni temu to samo było z defraglerem usuwanie z listy niezaufanych nic nie dało pomogło dopiero przeinstalowanie wcześniej tez z jeszcze z jakimiś programami tak było
Re: DefenseWall HIPS - Creer - 15.05.2009
Istalujac jakis program jako niezaufany wszystkie jego katalogi i pliki beda oznaczone jako niezaufane i tak sie zainstaluja. To znaczy ze gdy bedziesz chcial zmienic atrybuty pliku wczesniej zainstalowanego jako niezaufany na zaufany - proces ten moze sie nie udac. Wyobraz sobie ze instalujesz jakis program tworzy on kilka katalogow w Program Files, Users/Data application/ oraz dodaje kilka wpisow w rejestrze, ktore sa wirutualizowane przez DW.
Teraz chcesz zmienic ten program na zaufany usuwasz wszystkie zapisane przez program foldery z listy niezaufanych aplikacji, jednak sa tez wpisy w rejestrze ktore usunac moze tylko deinstalacja programu oraz w niektorych przypadkach uzycie dodatkowego narzedzia np CCleaner, w celu pozbycia sie ich z systemu.
BTW instalujac jakikolwiek program wystarczy spojrzec na jego okno czy jest oznaczone przez DefenseWall - wtedy masz pewnosc czy uruchamiany instalator dziala w trybie Niezaufanym czy Zaufanym.
Przyklad:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: DefenseWall HIPS - zord - 15.05.2009
przydało by się żeby Ilyia jakoś to rozwiązał bo po paru razach człowiek zaczyna się zastanawiać czy z programu jest więcej szkody niż pożytku jak i tak musi uruchamiać pliki jako zaufane
Re: DefenseWall HIPS - Creer - 15.05.2009
zord napisał(a):przydało by się żeby Ilyia jakoś to rozwiązał bo po paru razach człowiek zaczyna się zastanawiać czy z programu jest więcej szkody niż pożytku jak i tak musi uruchamiać pliki jako zaufane
Vide post #66
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: DefenseWall HIPS - zord - 15.05.2009
Creer ja nie rozumiem mam program który z założenia ma chronić mnie przed zagrożeniami ale z tego co piszesz wynika że lepiej z niego nie korzystać lub diametralnie zmienić sposób korzystania z komputera i dostosować się do programu tylko że jak dostosuje się do tego co piszesz to wtedy dw jest zbędny bo już nie ma mnie przed czym chronić
Re: DefenseWall HIPS - Creer - 15.05.2009
zord napisał(a):Creer ja nie rozumiem mam program który z założenia ma chronić mnie przed zagrożeniami ale z tego co piszesz wynika że lepiej z niego nie korzystać lub diametralnie zmienić sposób korzystania z komputera i dostosować się do programu tylko że jak dostosuje się do tego co piszesz to wtedy dw jest zbędny bo już nie ma mnie przed czym chronić
Czego nie rozumiesz w moim poscie do ktorego dalem odsylacz, wszystko wyjasnilem. Cos musi byc nie tak skoro nie masz zaufania do programow ktore instalujesz, albo sa to wersje typu crack (ktore wiadomo - czyste nie sa) albo pobierasz je z niepewnych zrodel bo wolisz je pobierac stamtad niz ze strony producenta (np. skype tez mozna sciagnac z torrent''a tylko po co?). Jesli masz watpliwosci co do takiego programu mozesz zainstalowac go w trybie Niezaufanym w celu sprawdzenia (przesledzenienia) jego dzialalnosci i zmian ktore moze spowodowac w systemie, na podstawie tego jesli masz wiedze w tym kierunku mozesz rowniez ocenic czy taki program jest szkodliwy czy nie (np modyfikuje pliki systemowe svchost.exe, etc).
Na mojej prezentacji DefenseWall VS MSAS2009.exe, pokazalem na jakiej zasadzie takie rozpoznanie moze wygladac, podczas instalacji msas2009.exe plik ten probowal dokonywac modyfikacji waznych plikow systemowych, etc (vide
[Aby zobaczyć linki, zarejestruj się tutaj]
)Re: DefenseWall HIPS - zord - 15.05.2009
no to sobie prześledziłem tylko potem jak okaże się że plik jest czysty to nie tak łatwo zrobić z powrotem z niego zaufany odinstalowanie przez total uninstall nie pomogło czyszczenie rejestru też nie zadziałał dopiero wtedy jak w dw przywróciłem do momentu z przed instalacji
a destrukcyjnego działania niektórych programów nie da się stwierdzić przed uruchomieniem jako zaufany bo inaczej się nawet nie zainstalują
Re: DefenseWall HIPS - Creer - 15.05.2009
zord napisał(a):no to sobie prześledziłem tylko potem jak okaże się że plik jest czysty to nie tak łatwo zrobić z powrotem z niego zaufany odinstalowanie przez total uninstall nie pomogło czyszczenie rejestru też nie zadziałał dopiero wtedy jak w dw przywróciłem do momentu z przed instalacji
a destrukcyjnego działania niektórych programów nie da się stwierdzić przed uruchomieniem jako zaufany bo inaczej się nawet nie zainstalują
Dziwny przypadek jak dotad chyba pierwszy mi znany aby po odinstalowaniu programu zainstalowanego wczesniej jako niezaufany i ponownym jego zainstalowaniu w systemie w trybie zaufanym program ten byl nadal niezaufanym.
Zord chyba lubisz robic sobie smietnik na dysku, ciagle instalujesz jakies programy w dotatku nie jestes pewien czy sa to pliki wiarygodne czy nie. Jesli zadajesz sobie tyle trudu by znalezc dany program z niepewnego zrodla, to powinienes rowniez poswiecic troche czasu na sprawdzenie go innymi sposobami (google, virustotal, laby av, etc). Lub jesli lubisz testowac programy to poprostu postaw sobie maszyne wirtualna, lub zainteresuj sie programami typu Shadow Defender lub Returnil, ktore pozwalaja na wirtualizacje partycji i przywrocenie jej po kazdym restecie komputera.
Program dobiera sie pod siebie, nie na odwrot, jesli Twoja charakterystyka korzystania z komputera jest taka a nie inna powinienes uwzglednic mozliwosc skorzystania z innych programow, ktorych zasada dzialania bedzie bardziej dopasowana do Twojego profilu.
Re: DefenseWall HIPS - saper1972 - 18.05.2009
@Creer --Czyli jeżeli dobrze zrozumiałem jeżeli jestem pewny swoich instalek ,mogę np winampa instalować jako zaufany czy też jeżeli jestem pewny ,że system jest czysty zmienić status WMP na zaufany ?
Druga sprawa to raczej prośba,dałbyś radę zmontować kolejny filmik z dokładnym wyjaśnieniem usuwania zmianw rejestrze dokonanych przez różnego rodzaju "wynalazki" ?nalezy uzyć opcji "przywróć do.." czy "skasuj" ?
Zauważyłem jeszcze jedną ciekawą rzecz ,mianowicie nikt tu nie wspomina jak zachowa sie DW przy aplikacjach portable ,np. komunikator tlen portable uruchamia jako aplikację zaufaną ,po przeczytaniu 12 stron wypowiedzi jeżeli dobrze zrozumiałem przy normalnej instalacji potraktowałby ją jako niezaufanąa tak przydałoby się samemu uruchamiać ją jako niezaufaną,choć ze strony komunikatorów nie zauwazyłem wielkiego zagrożenia jak do tej pory.
Dodam tylko ,że DW jest "zjawiskowy" a cena 100zł ,wręcz śmieszna za spokój jaki DW jest w stanie zapewnić do tego licencja lifetime ,ja tam kupuję
Re: DefenseWall HIPS - polak900 - 18.05.2009
co do DW właśnie zrobiłem skan mojego systemu po ponad miesięcznym bawieniem się różnego typu badziewiem internetowym
uruchamiałem co popadnie
oraz usuwałem funkcją rollback
wszystkie testy na wirtualnej maszynie, system chroniony DW + outpost (przez jaki czas)win 7 fw , obecnie od paru dni Comodo 3.9 bez defence +
anywirusy: avira , nod, kaspersky, gdata, norton, i jeszcze parę innych
nic podejrzanego nie wykywają
podobnie MBAM, spybot, superantyspyware, asquared antymalware
co tu mówić DW jest zjawiskowe
Re: DefenseWall HIPS - Creer - 19.05.2009
@saper1972, tak zaufane programy powinnno sie instalowac jako Zaufane.
W przypadku niektorych programow, po zainstalowaniu ich jako Zaufane, sa one automatycznie umieszczane przez DefenseWall na liscie aplikacji Niezaufanych. Wynika to z tego ze DW posiada wbudowana liste aplikacji Niezaufanych, ktore automatycznie oznacza jako Niezaufane w przypadku wykrycia ich w Twoim systemie. Sa to przewaznie aplikacje laczace sie bezposrednio z Internetem.
I tak np. Winamp po instalacji w trybie Zaufanym, pojawia sie jako winamp.exe na liscie aplikacji Niezaufanych, Windows Media Player rowniez automatycznie oznaczany jest jako Niezaufany, tak samo inne programy ktore znajduja sie na tej wbudowanej liscie (Skype, Windows Live Mail, Outlook, przegladarki internetowe, klienci sieci Torrent, etc, etc.)
Rowniez nie powinienes zmieniac tych ustawien poniewaz w przypadku Twojego pytania o WMP - istnieja pliki z rozszerzeniami muzycznymi, ktore po uruchomieniu lacza sie z zewnetrznym serwerem w celu pobrania zagrozen infekujacych system (infekcje typu drive-by). Nie bez przyczyny zatem WMP zostal dodany do tej listy i nie nalezy tego zmieniac.
Jesli chodzi o usuwanie zmian w rejestrze - jest to opcja dla zaawansowanych uzytkownikow, wiaze sie to z faktem, ze przez przypadek mozesz usunac wazny klucz rejestru z listy Przywróć, myslac ze np. byl to slad wirusa. Zauwaz rowniez ze majac DW, program ten nie zezwala Niezaufanym procesom na modyfikacjewpisow w rejestrze, aplikacje te moga dodawac wlasne wpisy ktore sa czesciowo wirtualizowane - oddzielane poprzez bardzo silne ograniczenie ich praw do jakichkolwiek czynnosci w systemie - zatem nawet gdy nie usuniesz ''pozostalosci'', ktore zostawil np jakis szkodliwy program z listy Przywróć - nic sie nie stanie, Twoj system nadal bedzie czysty.
Codzienne korzystanie z programu DefenseWall sprowadza sie tak naprawde do pamietania o tym aby np. przed korzystaniem z bankowosci internetowej/zakupow - uzywac Trybu Bank/Zakupy, a w przypadku gdy jakies nieznane okienka zaatakuja nasz pulpit, pamietac o wcisnieciu kombinacji klawiszy CTRL+WIN+A, lub skorzystanie z przycisku w DW Przerwij Atak - czynnosci te zamykaja bezwarunkowo wszystkie Niezaufane aplikacje uruchomione w systemie.
Ergo, nie trzeba nic kasowac, nie trzeba zagladac ciagle do listy Przywróć.
Jesli nadal interesuje Cie dzialanie tej funkcji: obejrzyj filmik
[Aby zobaczyć linki, zarejestruj się tutaj]
(5:20) > zaznaczenie wpisu na liscie i klikniecie na przycisk Przywróć, skutkuje usunieciem wszystkich wpisow, ktore zostaly dodane powyzej wpisu, ktory zaznaczylismy przed wcisnieciem przycisku Przywróć.Zaznaczenie tego samego wpisu i klikniecie na przycisk Skasuj - skutkuje usunieciem tylko tego zaznaczonego przez nas wpisu.
Apropos aplikacji portable, niektore z tego typu aplikacji sa umieszczone w wbudowanej liscie aplikacji Niezaufanych. Inna sprawa jest fakt ze aplikacje portable, uruchamiane sa glownie z dyskow wymiennych typu Pendrive, co oznacza ze zaznaczenie opcji w programie DefenseWall (screen):
[Aby zobaczyć linki, zarejestruj się tutaj]
Rozwiazuje kwestie uruchamiania programow portable.
Komunikator Tlen nie jest znanym komunikatorem na zachodzie, stad nie zostal on dodany do wbudowanej listy aplikacji Niezaufanych. Wyjscia sa dwa - albo zaznaczysz w/w funkcje w opcjach DW, albo dodasz plik Tlen.exe do listy aplikacji Niezaufanych w oknie programu DefenseWall w zakladce Aplikacje Niezaufane > Dodaj.
Re: DefenseWall HIPS - saper1972 - 19.05.2009
Creer napisał(a):@saper1972, tak zaufane programy powinnno sie instalowac jako Zaufane.
W przypadku niektorych programow, po zainstalowaniu ich jako Zaufane, sa one automatycznie umieszczane przez DefenseWall na liscie aplikacji Niezaufanych. Wynika to z tego ze DW posiada wbudowana liste aplikacji Niezaufanych, ktore automatycznie oznacza jako Niezaufane w przypadku wykrycia ich w Twoim systemie. Sa to przewaznie aplikacje laczace sie bezposrednio z Internetem.
I tak np. Winamp po instalacji w trybie Zaufanym, pojawia sie jako winamp.exe na liscie aplikacji Niezaufanych, Windows Media Player rowniez automatycznie oznaczany jest jako Niezaufany, tak samo inne programy ktore znajduja sie na tej wbudowanej liscie (Skype, Windows Live Mail, Outlook, przegladarki internetowe, klienci sieci Torrent, etc, etc.)
Rowniez nie powinienes zmieniac tych ustawien poniewaz w przypadku Twojego pytania o WMP - istnieja pliki z rozszerzeniami muzycznymi, ktore po uruchomieniu lacza sie z zewnetrznym serwerem w celu pobrania zagrozen infekujacych system (infekcje typu drive-by). Nie bez przyczyny zatem WMP zostal dodany do tej listy i nie nalezy tego zmieniac.
Jesli chodzi o usuwanie zmian w rejestrze - jest to opcja dla zaawansowanych uzytkownikow, wiaze sie to z faktem, ze przez przypadek mozesz usunac wazny klucz rejestru z listy Przywróć, myslac ze np. byl to slad wirusa. Zauwaz rowniez ze majac DW, program ten nie zezwala Niezaufanym procesom na modyfikacjewpisow w rejestrze, aplikacje te moga dodawac wlasne wpisy ktore sa czesciowo wirtualizowane - oddzielane poprzez bardzo silne ograniczenie ich praw do jakichkolwiek czynnosci w systemie - zatem nawet gdy nie usuniesz ''pozostalosci'', ktore zostawil np jakis szkodliwy program z listy Przywróć - nic sie nie stanie, Twoj system nadal bedzie czysty.
Codzienne korzystanie z programu DefenseWall sprowadza sie tak naprawde do pamietania o tym aby np. przed korzystaniem z bankowosci internetowej/zakupow - uzywac Trybu Bank/Zakupy, a w przypadku gdy jakies nieznane okienka zaatakuja nasz pulpit, pamietac o wcisnieciu kombinacji klawiszy CTRL+WIN+A, lub skorzystanie z przycisku w DW Przerwij Atak - czynnosci te zamykaja bezwarunkowo wszystkie Niezaufane aplikacje uruchomione w systemie.
Ergo, nie trzeba nic kasowac, nie trzeba zagladac ciagle do listy Przywróć.
Jesli nadal interesuje Cie dzialanie tej funkcji: obejrzyj filmik
[Aby zobaczyć linki, zarejestruj się tutaj]
(5:20) > zaznaczenie wpisu na liscie i klikniecie na przycisk Przywróć, skutkuje usunieciem wszystkich wpisow, ktore zostaly dodane powyzej wpisu, ktory zaznaczylismy przed wcisnieciem przycisku Przywróć.
Zaznaczenie tego samego wpisu i klikniecie na przycisk Skasuj - skutkuje usunieciem tylko tego zaznaczonego przez nas wpisu.
Apropos aplikacji portable, niektore z tego typu aplikacji sa umieszczone w wbudowanej liscie aplikacji Niezaufanych. Inna sprawa jest fakt ze aplikacje portable, uruchamiane sa glownie z dyskow wymiennych typu Pendrive, co oznacza ze zaznaczenie opcji w programie DefenseWall (screen):
[Aby zobaczyć linki, zarejestruj się tutaj]
Rozwiazuje kwestie uruchamiania programow portable.
Komunikator Tlen nie jest znanym komunikatorem na zachodzie, stad nie zostal on dodany do wbudowanej listy aplikacji Niezaufanych. Wyjscia sa dwa - albo zaznaczysz w/w funkcje w opcjach DW, albo dodasz plik Tlen.exe do listy aplikacji Niezaufanych w oknie programu DefenseWall w zakladce Aplikacje Niezaufane > Dodaj.
Dziękuję za wyczerpującą odpowiedź na nurtujące mnie pytania w sprawie playerów,co do rejestru nie jestem zółtodziobem,pracuję w branży IT,znam się na edycji rejestru więc nie powinienem niczego ważnego usunąć choć skoro piszesz ,że nie jest to konieczne to moze i posłucham ,choć chciałbym poznać wszystkie możliwe zalety tego programu a nie tylko używać go po łebkach,a pozostawiając takie wpisy nie istnieje możliwość ,że dany szkodnik dociągnie się znowu ????bo przerwij atak jak rozumiem zabija tylko szkodliwy proces a co stanie się po restarcie kompa ?????zagrożenie nie powróci? dlatego właśnie pytałem o różnicę między przywróć a skasuj i za dokładne wytłumaczenie serdecznie dziękuje
Re: DefenseWall HIPS - zord - 19.05.2009
szkodnik po restarcie nie będzie aktywny bo DW przy jego uruchomieniu nie pozwala dodać się do autostartu czy usług tak że jak go znowu sam nie uruchomisz to będzie tylko zwykły plik zajmujący miejsce na dysku
Re: DefenseWall HIPS - Creer - 19.05.2009
@saper1972, nie ma za co. Apropos kolejnego Twojego zapytania - nie ma takiej mozliwosci aby szkodnik zostal uruchomiony samoistniew systemie. Ochrona oferowana przez DefenseWall opiera sie na bardzo silnej polityce restrykcji, ktora egzekwuje okreslone zachowania softow instalowanych w systemie i nie pozwalaja im na wiecej niz jest to okreslone. DW tym samym chroni m.in. klucze rejestru HKCU, przez co np. dostep do sekcji Autostartu jest calkowicie zablokowany dla aplikacji dzialajacych w trybie Niezaufanym.
Przyznam ze sam od jakiegos czasu dalem sobie spokoj z usuwaniem wpisow z listy Przywróć i prawie w ogole tam nie zagladam.
Re: DefenseWall HIPS - saper1972 - 19.05.2009
Creer napisał(a):@saper1972, nie ma za co. Apropos kolejnego Twojego zapytania - nie ma takiej mozliwosci aby szkodnik zostal uruchomiony samoistniew systemie. Ochrona oferowana przez DefenseWall opiera sie na bardzo silnej polityce restrykcji, ktora egzekwuje okreslone zachowania softow instalowanych w systemie i nie pozwalaja im na wiecej niz jest to okreslone. DW tym samym chroni m.in. klucze rejestru HKCU, przez co np. dostep do sekcji Autostartu jest calkowicie zablokowany dla aplikacji dzialajacych w trybie Niezaufanym.
Przyznam ze sam od jakiegos czasu dalem sobie spokoj z usuwaniem wpisow z listy Przywróć i prawie w ogole tam nie zagladam.
I po raz kolejny dziękuję za rozwianie wątpliwości
rówież Zordowi
Re: DefenseWall HIPS - polak900 - 21.05.2009
pojawiła się nowa wersja DW 2.55. update w końcu bez problemu do wersji polskiej, przynajmniej u mnie
nowa wersja poprawia wsparcie do win 7
Re: DefenseWall HIPS - lunaticdreams - 24.05.2009
Mam pytanko dziś zainstalowałem u kumpal DW 2.55 PL i o dziwo przy włączonej ochronie na górnym pasku nie jest napisane że przeglądarka jest chroniona,podobnie w thunderbirdzie i td,aczkolwiek w trayu Ikonka defenswalla pokazuje ilość izolowanych app,na oknie głownym defensewalla z kolei po otwarciu przeglądarki że działa jako proces niezaufany.
Więc czy jest to bug,czy może producent zrezygnował z poisu na górnym pasku przeglądarki,klienta poczty i td
Re: DefenseWall HIPS - polak900 - 24.05.2009
u mnie jest napisane
Re: DefenseWall HIPS - adam_993 - 24.05.2009
Czy Defensewall zadziała z aplikacjami pełnoekranowymi?