05.02.2010, 08:32
Pora odświeżyć wątek 
Zainstalowałem EdgeGuard Solo, bo to dość ciekawa alternatywa dla programów działających na zasadzie piaskownicy i wirtualizacji. Program jest trochę dziwny i według słów Picasso na forum Searchengines.pl, która zakwalifikowała go do działu "programy HIPS-blokery behawioralne"
"Trudno trochę tę aplikację sklasyfikować, w uproszczeniu jest to podobne do mutacji blokera behawioralnego z sandboxem, rodzaj sterownikowej "ściany". Metoda opiera się na tworzeniu tarczy wokół programu wskazanego do ochrony, podprogramy wywoływane przez ten program również automatycznie wejdą w tarczę. Program poddany tej operacji ma zakaz zapisu do podatnych na ataki lokalizacji systemowych (katalogi systemowe, klucze HKLM, niektóre z kluczy bieżącego użytkownika np. Run), a przy takiej próbie jest formowany alert ostrzeżeniowy. Jest jednak tylko strażnikiem aplikacji trybu użytkownika, lecz nie usług. (...) Set-it-forget-it. Zaletą jest bardzo proste GUI oraz obsługa, na tle transparentnej ochrony nie wymagającej szczególnych reakcji użytkownika."
- trochę jak Sandboxie, bo izoluje tylko poszczególne, wybrane aplikacje
- trochę jak Returnil, bo...jak wydaje mi się...przechowuje to wszystko w pamięci - to pamięć zużywana przez jeden tylko proces BrnTokenGuardTray.exe
- trochę jak VirtualProtect, bo działa niemal tak samo tajemniczo jak ten chiński soft i nie tworzy żadnych dodatkowych folderów na dysku w przeciwieństwie do poprzednich programów (Sandboxie i RVS)
Pisałem o procesie BrnTokenGuardTray.exe - to jeden z dwóch procesów uruchamianych z systemem (drugi to EgaSecSvc.exe, który ma niemal niezmienne zużycie pamięci i pliku wymiany - różnice w trakcie działania na poziomie kilkudziesięciu KB). Dlaczego o nim piszę - bo konfiguracja programu polega na dodawaniu do listy chronionych kolejnych aplikacji i właśnie ten proces zwiększa swoje zużycie zasobów w miarę dodawania kolejnych aplikacji o kilka MB w przypadku pamięci RAM i kilkuset KB w przypadku pliku wymiany - widać to screenach. Pierwszy jest po dodaniu predefiniowanych już w programie aplikacji MS (Excell, Word, PowePoint, Access oraz dodatkowo WMP) [attachment=1067]
drugi po dodaniu Firefoxa, 7zip i Foxita [attachment=1068]
Obsługa jest banalnie prosta - po instalacji dodaje się wybrane aplikacje i...zapomina o programie
Zainstalowałem EdgeGuard Solo, bo to dość ciekawa alternatywa dla programów działających na zasadzie piaskownicy i wirtualizacji. Program jest trochę dziwny i według słów Picasso na forum Searchengines.pl, która zakwalifikowała go do działu "programy HIPS-blokery behawioralne" "Trudno trochę tę aplikację sklasyfikować, w uproszczeniu jest to podobne do mutacji blokera behawioralnego z sandboxem, rodzaj sterownikowej "ściany". Metoda opiera się na tworzeniu tarczy wokół programu wskazanego do ochrony, podprogramy wywoływane przez ten program również automatycznie wejdą w tarczę. Program poddany tej operacji ma zakaz zapisu do podatnych na ataki lokalizacji systemowych (katalogi systemowe, klucze HKLM, niektóre z kluczy bieżącego użytkownika np. Run), a przy takiej próbie jest formowany alert ostrzeżeniowy. Jest jednak tylko strażnikiem aplikacji trybu użytkownika, lecz nie usług. (...) Set-it-forget-it. Zaletą jest bardzo proste GUI oraz obsługa, na tle transparentnej ochrony nie wymagającej szczególnych reakcji użytkownika."
[Aby zobaczyć linki, zarejestruj się tutaj]
Jakbym chciał przyrównać działanie EGS do jakiegoś programu, to powiedziałbym tak:- trochę jak Sandboxie, bo izoluje tylko poszczególne, wybrane aplikacje
- trochę jak Returnil, bo...jak wydaje mi się...przechowuje to wszystko w pamięci - to pamięć zużywana przez jeden tylko proces BrnTokenGuardTray.exe
- trochę jak VirtualProtect, bo działa niemal tak samo tajemniczo jak ten chiński soft i nie tworzy żadnych dodatkowych folderów na dysku w przeciwieństwie do poprzednich programów (Sandboxie i RVS)
Pisałem o procesie BrnTokenGuardTray.exe - to jeden z dwóch procesów uruchamianych z systemem (drugi to EgaSecSvc.exe, który ma niemal niezmienne zużycie pamięci i pliku wymiany - różnice w trakcie działania na poziomie kilkudziesięciu KB). Dlaczego o nim piszę - bo konfiguracja programu polega na dodawaniu do listy chronionych kolejnych aplikacji i właśnie ten proces zwiększa swoje zużycie zasobów w miarę dodawania kolejnych aplikacji o kilka MB w przypadku pamięci RAM i kilkuset KB w przypadku pliku wymiany - widać to screenach. Pierwszy jest po dodaniu predefiniowanych już w programie aplikacji MS (Excell, Word, PowePoint, Access oraz dodatkowo WMP) [attachment=1067]
drugi po dodaniu Firefoxa, 7zip i Foxita [attachment=1068]
Obsługa jest banalnie prosta - po instalacji dodaje się wybrane aplikacje i...zapomina o programie
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"