03.09.2015, 16:31
(Ten post był ostatnio modyfikowany: 03.09.2015, 21:58 przez nikita.
Powód edycji: Ortografia, interpunkcja...
)
Tak tachion zgadza widzę, że koledzy zrobił nam tu małe fiku miku na czacie wiec podsumuje to.
Rozchodzi się o to, że kolega nie wierzy, że solidny HIPS, czy też aplikacje bazujące na tej metodzie mogą przepuścić szkodnika...
Otóż tak - mogą przepuścić.. nawet na najostrzejszych ustawieniach, ale to są skrajne przypadki, ale jednak mogą wystąpić (na tym filmie SS na "ostrych" ustawieniach nie przepuszcza tego szkodnika)
Filmik kolegi pokazuje że
1) Na automatycznych zezwoleniach (wysokich) może zostać zainfekowany z racji też że pewne procesy "potomne" explorer.exe zostały dodane do zaufanych akcji w skutek czego ten szkodnik nie może zostać poprawnie zablokowany i widać, że SS walczy ze szkodnikiem, ale szkodnik posługuje się lukami procesu explorer, które zostały dodane do zaufanych.
FAQ Dlaczego nie ufać explorer.exe
2) W drugiej metodzie użytkownik ustawił, żeby SS pytało o wszystko; dodatkowo nie ufa procesowi explorer dzięki czemu wychwytuje wszystkie jego akcje potomne i przez to również całkowicie szkodnika blokuje.
3) To dodatkowy moduł, który całkowicie odizoluje wybrane foldery/pliki, dzięki czemu pomimo zaufanych procesów nie zezwala na dostęp, czy też manipulowanie chronionym plikom, przez co nie dochodzi do zaszyfrowania w tym wypadku. Przez co znakomicie usprawnia ochronę wrażliwych plików - pod warunkiem że zostały dodane do listy
VT to serwis skanujący niemal wszystkimi dostępniejszymi antywirusami na rynku, tak jak mówisz anty-wirusy zawsze zostają z tyłu i nie zawsze mogą wszystko wykryć, bo po prostu nie nadążają z identyfikacją/weryfikacją danego wirusa. Druga sprawa - nie da się napisać szczepionki na nieistniejący wirus, bo skąd ma wiedzieć co ma wyczyścić i gdzie.
VT jedynie zwiększa szanse na skasowanie szkodnika korzystając z kilkunastu baz danych antywirusowych a nie tylko 1.
Więc skanowanie VT nie da Ci nigdy tej 100% pewności, poza tym też stosowanie kilkunastu skanerów zwiększa szanse na wystąpienie FP (false positive), czyli kumulacja wszystkich fałszywych alarmów i też należy o tym pamiętać.
Rozchodzi się o to, że kolega nie wierzy, że solidny HIPS, czy też aplikacje bazujące na tej metodzie mogą przepuścić szkodnika...
Otóż tak - mogą przepuścić.. nawet na najostrzejszych ustawieniach, ale to są skrajne przypadki, ale jednak mogą wystąpić (na tym filmie SS na "ostrych" ustawieniach nie przepuszcza tego szkodnika)
Filmik kolegi pokazuje że
1) Na automatycznych zezwoleniach (wysokich) może zostać zainfekowany z racji też że pewne procesy "potomne" explorer.exe zostały dodane do zaufanych akcji w skutek czego ten szkodnik nie może zostać poprawnie zablokowany i widać, że SS walczy ze szkodnikiem, ale szkodnik posługuje się lukami procesu explorer, które zostały dodane do zaufanych.
FAQ Dlaczego nie ufać explorer.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
2) W drugiej metodzie użytkownik ustawił, żeby SS pytało o wszystko; dodatkowo nie ufa procesowi explorer dzięki czemu wychwytuje wszystkie jego akcje potomne i przez to również całkowicie szkodnika blokuje.
3) To dodatkowy moduł, który całkowicie odizoluje wybrane foldery/pliki, dzięki czemu pomimo zaufanych procesów nie zezwala na dostęp, czy też manipulowanie chronionym plikom, przez co nie dochodzi do zaszyfrowania w tym wypadku. Przez co znakomicie usprawnia ochronę wrażliwych plików - pod warunkiem że zostały dodane do listy
VT to serwis skanujący niemal wszystkimi dostępniejszymi antywirusami na rynku, tak jak mówisz anty-wirusy zawsze zostają z tyłu i nie zawsze mogą wszystko wykryć, bo po prostu nie nadążają z identyfikacją/weryfikacją danego wirusa. Druga sprawa - nie da się napisać szczepionki na nieistniejący wirus, bo skąd ma wiedzieć co ma wyczyścić i gdzie.
VT jedynie zwiększa szanse na skasowanie szkodnika korzystając z kilkunastu baz danych antywirusowych a nie tylko 1.
Więc skanowanie VT nie da Ci nigdy tej 100% pewności, poza tym też stosowanie kilkunastu skanerów zwiększa szanse na wystąpienie FP (false positive), czyli kumulacja wszystkich fałszywych alarmów i też należy o tym pamiętać.
Notatka od nikita, 03.09.2015 21:59: Znowu poprawiam jakieś podstawowe błędy w pisowni. Quassar, skup się, bo moja cierpliwość ma granice, a przeglądarki mają słowniki... |
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.