DefenseWall HIPS - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Monitorowanie systemu (https://safegroup.pl/forum-12.html) +--- Wątek: DefenseWall HIPS (/thread-470.html) |
Re: DefenseWall HIPS - polak900 - 26.10.2009 zord napisał(a):Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją jeżeli nie będzie takiej ochrony to zostaje przy starej wersji plus OA Re: DefenseWall HIPS - Creer - 26.10.2009 zord napisał(a):Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją DW wysyla monit o pol. wychodzacym w przypadku aplikacji ktora ma status niezaufany. Zaufane aplikacje przy polaczeniu z Internetem nie wysylaja zadnego monitu via DW. Jednakze jest mozliwosc ich recznego zablokowania w sposob ktory opisalem wyzej. Ochrone polaczen przychodzacych mozesz sprawdzic za pomoca ogolnodostepnych programow np: [Aby zobaczyć linki, zarejestruj się tutaj] Re: DefenseWall HIPS - zord - 26.10.2009 Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie Re: DefenseWall HIPS - polak900 - 26.10.2009 zord napisał(a):Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne dokładnie chodzi o to żeby DW umiał przechwycić połączenie sieciowe zainfekowanego malware systemu Re: DefenseWall HIPS - Creer - 26.10.2009 zord napisał(a):Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne Dokladnie tak, DW monitoruje polaczenia wychodzace tylko niezaufanych procesow , dlatego tez jego instalacja zarowno w wersji HIPS jak i Personal Firewall, powinna byc przeprowadzona na czysty, niezainfekowanysystem. Re: DefenseWall HIPS - polak900 - 26.10.2009 tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie przydała by się taka opcja w nowym produkcie która by monitorowała od zainstalowania podejrzane procesy i blokowała sama lub manualnie je. czy to będzie w nowej wersji? Re: DefenseWall HIPS - Creer - 26.10.2009 polak900 napisał(a):tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie Analogicznie jak w DW HIPS. Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc. Funkcja monitorowania podejrzanych procesow o ktora pytasz Polak, jest trudna w implementacji, po pierwsze nalezaloby zadac sobie pytanie czym jest i po czym poznac podejrzany proces, ktory byl wczesniej zainstalowany jako zaufany?... to nie takie proste, mogloby to zrodzic mase problemow z kompatybilnoscia DW z innymi programami, ktore slusznie lub nieslusznie ocenial by jako podejrzane - takie dzialanie zmierza w kierunku blacklist, co nie jest dobrym wyjsciem ze wzgledu na duza liczbe mozliwych FP oraz wymaganych aktualizacji baz... nie tedy droga. Re: DefenseWall HIPS - zord - 26.10.2009 Creer napisał(a):Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc. ale wychodzi na to że firewall jest niepełnosprawny jeśli nie potrafi monitorować wszystkich programów jeżeli nie postaramy się żeby znalazły się na jego liście... I czy jest w planach opcja umieszczenia statusu firewalla w centrum akcji/centrum zabezpieczeń czy jednak nie i będziemy widzieć radosne info że firewalla nie ma w systemie ? Re: DefenseWall HIPS - Creer - 26.10.2009 zord napisał(a):Creer napisał(a):Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc. FW wyswietla monit w przypadku pol. wychodzacych od kazdego Niezaufanego procesu - procesy zaufane nie sa monitorowane przez DW poniewaz sa one zaufane tzn pewne - nie ma obawy ze moga byc szkodliwe (oczywiscie sa rozne definicje pliku zaufanego, dla niektorych takim plikiem bedzie np program pobrany z torrentow, lub innych podejrzanych stron, a dla innych - program pobrany ze strony producenta z podpisem cyfrowym, ewentualnie dodatkowa inspekcja pliku poprzez inny program oparty na dzialaniu blacklist). Tak jak napisalem, analogicznie ma sie sprawa z DW HIPS - chroni on tylko przed procesami uruchomionymi w trybie Niezaufanym - zatem, idac Twoim tokiem rozumowania, jest to rowniez niepelnosprawna aplikacja. Apropos info statusu FW w systemie - tego nie wiem, zapytam przy okazji Ilye. Re: DefenseWall HIPS - czullo - 26.10.2009 idac tym tokiem myslenia av ktory nie wylapuje wszystkich wirusow jest niepelnosprawny. DW instaluje sie na czysty i niezainfekowany system. proste. na zawirusowany system instaluje sie dr web Re: DefenseWall HIPS - zord - 26.10.2009 Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów Re: DefenseWall HIPS - adam_993 - 26.10.2009 Taki grymas jego. Re: DefenseWall HIPS - Creer - 26.10.2009 zord napisał(a):Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów Mialbyc innowacyjny i taki wlasnie jest, ostrzegalem Re: DefenseWall HIPS - Jurek - 26.10.2009 To jest trochę inne podejście do ochrony, zarówno jeżeli chodzi o HIPS ja i firewall. Mnie się to podoba, szczególnie, gdy dowiedziałem się o monitoringu wszystkich połączeń przychodzących, czego nie ma w GW. Trzeba zainstalować DW na świeży system lub porządnie go przeskanować (Avira, ESET Online Scanner, MBAM) a potem nie instalować syfu w trybie zaufanym. Monitorowanie bez przerwy wszystkiego, to klasyczne podejście w firewallu, które zwalnia i przerywa połączenia oraz obciąża komputer. Re: DefenseWall HIPS - polak900 - 26.10.2009 zapowiada się ciekawy sofcik, jak cena będzie ok to się skuszę Re: DefenseWall HIPS - zord - 26.10.2009 no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już ) i pierwsza linia obrony HIPS DW ale instalacja nie rusza w trybie niezaufanym instaluje w trybie zaufanym program zawiera paskudę i w tym momencie powinna zadziałać druga linia obrony czyli firewall ale program jest całkowicie poza kontrolą DW i co w tedy ? Re: DefenseWall HIPS - Creer - 26.10.2009 zord napisał(a):no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już ) Plik pobrany przez aplikacje dzialajacą w trybie Niezaufanym dziedziczy atrybuty po procesie matce, w tym przypadku plik pobrany przez Niezaufana aplikacje rowniez bedzie niezaufany. Wyjatek - plik ktory ma status niezaufany uruchomiony zostanie mimo tego jako zaufany w przypadku gdy: - plik ten bedzie podpisany cyfrowo i jego nazwa jak ipodpis cyfrowy bedzie zgadzal sie z wbudowana baza (whitelista) w DW. Innej opcji nie ma - no chyba ze celowo z menu DW wybierzesz uruchom jako zaufany - ale to juz robisz na wlasna odpowiedzialnosc. Od takich zabaw sa inne programy typu np. SD/Returnil, ISR, lub pozwalajace na calkowita wirtualizacje - VM. Re: DefenseWall HIPS - zord - 29.10.2009 Dw jest niekompatybilny z sandboxie przy włączonym dw 3 wszystkie instalatory uruchamiają mi się poza piaskownicą mimo że wybieram uruchom w piaskownicy Niekompatybilny jest też z F-secure działając razem z nim powodował BSOD Re: DefenseWall HIPS - Meir - 29.10.2009 Czyli bieda panie Creer...DW 2.56 spisuje się znakomicie...a ta nowa wersja-czytając recki-na razie słabiutko...z dużej chmury mały deszcz ? Re: DefenseWall HIPS - zord - 29.10.2009 Tak bywa jak nie ma publicznych beta testów na gladiators widzę tylko same zachwyty czy tam w ogóle ktoś testuje czy tylko instalują na czystych systemach gdzie nic nie ma ? |