SpyShelter Firewall
(07.01.2017, 22:37)weirdo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Podpowie ktoś, jak poradzić sobie z niekompatybilnością SSFW z StartIsBack++ na Windows 10 AU x64?
Przy zainstalowanym SSFW i SIB po ponownym uruchomieniu komputera eksplorator restartuje się samoczynnie co kilka sekund i pomaga jedynie deinstalacja jednego z programów.
Widziałem już opis tego problemu na kilku zagranicznych forach ale nigdzie nie znalazłem rozwiązania.

a wystarczy napisać tutaj: 

[Aby zobaczyć linki, zarejestruj się tutaj]


Przełącz Szyfrowanie klawiszy(zaawansowane ustawienia) w tryb lepszej zgodności dodaj do wyjątków następujący wpis (nazwa procesu wejściowego)
{C:\Windows\explorer.exe}

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Od wczoraj nowa wersja z niewielkimi zmianami...przynajmniej tak się wydaje po króciutkiej liście zmian

Cytat:SpyShelter 10.9.2 Changelog (17/May/2017):
– Security issue fixed
– Minor updates

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Ciekawe jak radzi sobie SSFW ze sławnym/niesławnym ostatnio ransomem. Próbował ktoś?
Odpowiedz
(19.05.2017, 21:24)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawe jak radzi sobie SSFW ze sławnym/niesławnym ostatnio ransomem. Próbował ktoś?

Myślę, że SS nie chroni przed programami typu ransomware. Nie ma tam takiego modułu. Choć byłby pożądany - bo właśnie tego typu zagrożenia są na topie.
Odpowiedz
(20.05.2017, 20:35)wortax napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Myślę, że SS nie chroni przed programami typu ransomware. Nie ma tam takiego modułu. Choć byłby pożądany - bo właśnie tego typu zagrożenia są na topie.

Spyshelter nie ma specjalnego modułu do ochrony przeciwko ransomware ale to wcale nie oznacza, że nie chroni przed tymi zagrożeniami. Dużo tutaj zależy od tego jak Ss zostanie skonfigurowany. Tutaj 

[Aby zobaczyć linki, zarejestruj się tutaj]

ładnie to widać na przykładzie programu RanSim imitującego działanie ransomware. Ss przy odpowiedniej konfiguracji potrafił zdać wszytkie testy.
It's better to keep your mouth shut and give the impression that you're stupid than to open it and remove all doubt.
Odpowiedz
(19.05.2017, 21:24)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawe jak radzi sobie SSFW ze sławnym/niesławnym ostatnio ransomem. Próbował ktoś?

Tak na szybko przetestowałem. Win 10 SSFW na ustawieniach takie jakie daje producent.
SSFW wywala mnóstwo komunikatów np, że plik (b00-coś tam dalej) chce uzyskać dostęp do chronionych folderów także można czytając komunikaty jego zweryfikować że coś jest nie halo. Ale poszedłem dalej zezwoliłem na wszystko i doszło do uruchomienia procesu WANNACRY i w tedy zaczęło się mnóstwo alertów z jego strony. W końcu po iluś zezwoleniach dalej pozwoliłem na zamkniecie danego procesu i jego pokrewnych i tutaj wiadomo SSFW zamkną proces lecz wiadomo już doszło do infekcji, ale podejrzewam uchroniło by to rozpowszechnianie dalej go w sieci.

Tak dodatkowo, na W10 Windows Defender go już wykrywa i po uruchomieniu WANNACRY pokazał komunikat i usunął plik.
Odpowiedz
Dolar444 dzięki za test. A jakbyś jeszcze mógł powtórzyć test tym razem dając cały czas blokowanie/zamykanie.
Odpowiedz
(20.05.2017, 20:35)wortax napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(19.05.2017, 21:24)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawe jak radzi sobie SSFW ze sławnym/niesławnym ostatnio ransomem. Próbował ktoś?

Myślę, że SS nie chroni przed programami typu ransomware. Nie ma tam takiego modułu. Choć byłby pożądany - bo właśnie tego typu zagrożenia są na topie.
SS poza funkcjami anty-logera posiada funkcje, które w starciu z tym czy innym ransomware powinny dać radę:
- pierwszy i zasadniczy to bardzo dobry moduł HIPS czyli monitorowania nietypowych zdarzeń w systemie...mowa tu o ingerencji w określone obszary i ustawienia systemu oraz kontrola zachowań pracujących czy uruchamianych procesów...listę takich akcji znajdziesz bądź w ustawieniach bądź klikając na dowolny proces na liście i otwierając w ten sposób okno zaawansowanych reguł. Ten moduł odpowiedzialny jest za wykrywanie tzw. zagrożeń 0-day czyli nieznanych i nieopisanych, których akcje i działanie nie są rozpoznawane przez np. sygnatury.
- kolejne to lista chronionych plików i folderów, w do której dopisujesz lokalizacje z danymi, które ty chcesz chronić dodatkowo przed odczytem lub modyfikacją...jeśli jakiś proces np. szkodnik próbuje uzyskać tam dostęp lub dokonać akcji SS pokaże odpowiedni do ostawień komunikat
Programy do ochrony przed ransomware bazują zasadniczo na trzech mechanizmach: na sygnaturach czyli posiadanych opisach szkodników, na kontroli/blokadzie określonych lokalizacji w systemie (pliki, rejestr) wykorzystywanych przez ransomy oraz kontroli określonych zachowań charakterystycznych dla takich szkodników. Najczęściej aplikacje wykorzystują mieszankę tych technologii.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Wracamy do starej dyskusji. SS nie chroni przed programami typu ransomware. Plik nawet nie podpisany cyfrowo zaszyfrował pliki, co widać w linku poniżej. Był tam nawet filmik na youtube to pokazujący.

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Tylko ten post świadczy o niczym bo osoba która go napisała zezwoliła na akcje danego wirusa w wyniku czego wirus zainfekował system a potem marudzi że SS go nie wykrywa..

Przeczytaj uważnie dalsze posty a nie subuj 1 lepszy post...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
(22.05.2017, 18:13)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tylko ten post świadczy o niczym bo osoba która go napisała zezwoliła na akcje danego wirusa w wyniku czego wirus zainfekował  system a potem marudzi że SS go nie wykrywa..

Przeczytaj uważnie dalsze posty a nie subuj 1 lepszy post...

Ustawiła tryb na Auto:Zezwól - Wysoki poziom ochrony (ten tryb z automata blokuje niepodpisane pliki, nie działa jednak gdy chodzi o operacje na plikach). Poza tym pliki niepodpisane cyfrowo powinny być z automata blokowane. Nawet jeśli chodzi tu o operacje na plikach - powinien być jakiś mechanizm, który odróżnia kiedy my sami wykonujemy operacje na plikach, czy też robi to np. niepodpisany plik exe. Jest różnica jeśli chcemy sami coś skopiować z dysku na dysk w systemie (czy usunąć), czy np. jakąś operacje na plikach zrobi plik exe i która także nie jest blokowana. To powinno być rozróżniane przez program.

(02.09.2015, 23:13)F4z napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(02.09.2015, 20:20)gravity1287 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

F4z, a możesz sprawdzić czy SS zapyta, jeśli zamiast Auto. zezwól-Wysoki poziom ochrony ustawi się Pytaj użytkownika? Czy na pewno zapyta?

To jest dobre pytanie, bo to zależy od pewnych ustawień. Załóżmy, że zainstalowaliśmy SpySheltera i przez jakiś czas jest ustawiony w trybie "Auto. zezwól-Wysoki poziom ochrony", potem uruchomiliśmy sobie przeglądarkę czy eksplorator plików. Jak już to zrobiliśmy, dodaje się nam automatycznie reguła explorera w kontroli startu aplikacji:

[Aby zobaczyć linki, zarejestruj się tutaj]



W takim przypadku nawet jak przełączymy na tryb "Pytaj użytkownika" i uruchomimy tego ransoma to i tak nic nie da, pliki zostaną zaszyfrowane.
Ale gdyby usunąć tę regułę, to wtedy dostaniemy odpowiedni komunikat przy uruchamianiu tej szkodliwej aplikacji:

 

[Aby zobaczyć linki, zarejestruj się tutaj]



Tylko to ma jedną ogromną wadę, tych komunikatów będzie mnóstwo i będą dotyczyć w zasadzie każdego uruchamianego pliku, więc takie rozwiązanie nie jest dobrym pomysłem. Teoretycznie można by najpierw uruchomić znane i zaufane aplikacje w trybie "Auto. zezwól-Wysoki poziom ochrony", a potem dopiero usunąć regułę explorera z kontroli startu aplikacji, wtedy część reguł byłaby wcześniej utworzona automatycznie, dostawalibyśmy jedynie komunikaty tego typu:

[Aby zobaczyć linki, zarejestruj się tutaj]

 


czyli tylko przy uruchamianiu aplikacji, na pewno byłoby to pracochłonne i niewygodne, ale możliwe.
A tak przy okazji, kombinacja ustawień "Blokuj automatycznie podejrzane aplikacje" z "Pytaj użytkownika" w momencie, gdy usunie się regułę explorera z kontroli startu aplikacji nie ma całkowicie sensu, bo każda aplikacja będzie z automatu blokowana (łącznie z systemowymi takimi jak notatnik czy paint)  Lol.

(02.09.2015, 20:20)gravity1287 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

PS. Może głupie pytanie, ale nie wiem dokładnie jak to działa. Czy jeśli Zdefiniowania przez użytkownika lista plików chronionych w ustawieniu Personal tak pomaga, to czy nie zaszkodzi systemowi dodać np. cały dysk z systemem, jeśli jesteśmy pewni że system jest czysty? Czy może SS z automatu doda do listy chronionych nowo ściągnięte pliki, bo potraktuje dysk systemowy jako bezpieczny? Albo ograniczyć bezpieczne foldery do folderu Windows i Program Files, a nie cały dysk?

To raczej nie jest dobry pomysł, bo np. w przypadku uruchomienia tego ransoma z testu dostanę taki komunikat:

[Aby zobaczyć linki, zarejestruj się tutaj]

 

i szczerze mówiąc niewiele mi on daje, bo z tego co widzę to uruchomiony program chce zmodyfikować dane z tej lokalizacji  "C:\Users\Adam\AppData\Local\VirtualStore". Nie trzymam tam żadnych ważnych danych, więc czemu mam nie zezwolić? A jak już zezwolę, to pliki zostaną zaszyfrowane.
Tych komunikatów będzie więcej, bo dostanę je od przeglądarki:

 

[Aby zobaczyć linki, zarejestruj się tutaj]

 

WinRARa:

 

[Aby zobaczyć linki, zarejestruj się tutaj]

 

rundll32.exe:

 

[Aby zobaczyć linki, zarejestruj się tutaj]


jak widać od każdego programu, który będzie dokonywał jakichś operacji na pliku, no za dużo tego, jest to po prostu upierdliwe i w wielu przypadkach się nie sprawdzi.

Jedynym dobrym rozwiązaniem jest dodanie tylko ważnych folderów/plików do "strefy" chronionej.

(02.09.2015, 22:47)Kot_Pocztowy napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejny już film o ransomware, ktory niczego na niekorzyść Spysheltera nie pokazuje, tym bardziej "szokującego".

Bo i niczego szokującego tutaj nie miało być, ot tyle, chciałem pokazać, że przy ustawieniach opisanych przez wortaxa nie jest tak idealnie jak myślał.
Proszę mnie poprawić jeśli gdziekolwiek coś źle napisałem Kocie_Pocztowy.
Odpowiedz
Dokładnie Quassar, dlatego prosiłem Dolara żeby zrobił test dając cały czas opcję blokowania/zamykania, bo tylko wtedy jeśli dojdzie do infekcji będzie wiadomo, że SSFW oblał test.

Wortax --> SS potrafi chronić i to bardzo skutecznie przed ransomami, a to za sprawą świetnego HIPS'a, o którym pisał wyżej ichito. Taka funkcjonalność pozwala np. takiemu COMODO FireWall wciągać ransomy nosem vide 

[Aby zobaczyć linki, zarejestruj się tutaj]

. Oczywiście bezmyślne zezwalanie na wszystko przed niczym Cię nie uchroni - tak jak napisał Quassar.
Odpowiedz
(22.05.2017, 19:55)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dokładnie Quassar, dlatego prosiłem Dolara żeby zrobił test dając cały czas opcję blokowania/zamykania, bo tylko wtedy jeśli dojdzie do infekcji będzie wiadomo, że SSFW oblał test.

Wortax --> SS potrafi chronić i to bardzo skutecznie przed ransomami, a to za sprawą świetnego HIPS'a, o którym pisał wyżej ichito. Taka funkcjonalność pozwala np. takiemu COMODO FireWall wciągać ransomy nosem vide 

[Aby zobaczyć linki, zarejestruj się tutaj]

. Oczywiście bezmyślne zezwalanie na wszystko przed niczym Cię nie uchroni - tak jak napisał Quassar.

Nie potrafi zablokować gdy są wykonywane operacje na plikach. Pisał o tym Kot Pocztowy. 

[Aby zobaczyć linki, zarejestruj się tutaj]


Poza tym przeczytaj mój poprzedni post.

Cytat:Nawet jeśli chodzi tu o operacje na plikach - powinien być jakiś mechanizm, który odróżnia kiedy my sami wykonujemy operacje na plikach, czy też robi to np. niepodpisany plik exe. Jest różnica jeśli chcemy sami coś skopiować z dysku na dysk w systemie (czy usunąć), czy np. jakąś operacje na plikach zrobi plik exe i która także nie jest blokowana. To powinno być rozróżniane przez program.

Skończmy już temat ransomów. Ten program po prostu nie służy do tego, ale fajnie by było gdyby wbudowali specjalny moduł do tego.
Odpowiedz
(21.05.2017, 16:40)Buli napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dolar444 dzięki za test. A jakbyś jeszcze mógł powtórzyć test tym razem dając cały czas blokowanie/zamykanie.

Tak na szybkości bo miałem dzisiaj chwilkę. Nie mam screen ani filmiku, ale wykonam jeszcze raz i nagram coś, tym bardziej ze mam jeszcze coś dla kogoś do sprawdzenia.
Ale odpowiadając na to o co prosiłeś.
Tak samo W10 i SSFW zainstalowany jak nakazuje producent nic nie zmieniane.
Pierwsze co to zablokuj nie zdało egzaminu WANNACRY udało się pokazać ładnie na pulpicie.
Jeżeli chodzi o zamykanie to powiem tak. Po pierwszym komunikacie, nie dopuścił już do uruchomienia WANNACRY
Pozwoliłem sobie powtórzyć i zezwolić na pierwsze 2 po czym dopiero w następnym że chce uruchomić plik o nazwie taskdl pozwoliłem zamknąć i by zamkną pokrewne, z tego co widziałem uchroniło to też komputer przed przed infekcją. Jak wspomniałem pozwolę sobie nagrać filmiki jak to robiłem, by mi zarzucić najwyżej ze nie tak lub czy mógł bym jeszcze inaczej.

Od siebie dodam, że mając głowę na karku i wczytując się w komunikat i po zastanowieniu SSFW mógł by uchronić przed ransomem z racji swojego HIPS-a. Zaznaczę mógł by, ale jak wspomniałem trzeba podjąć kroki, do zabicia procesu. A sądzę że większość z nas i zapewne sam zanim podjął bym krok zakończ wpierw bym próbował zablokować, ten plik.
Odpowiedz
Zablokuj to jak dla procesu potomnego jak na przykład Firefox gdy dziwna strona chce dostępu do kamery pomimo tego że jej nie masz Craze a chcesz aby sam firefox nadal działał.
Zaś gdy pojawia sie nowy główny nieznany proces który próbuje ingerować to zalecam zakończyć całkiem jego wszystkie procesy.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
@wortax
Ta dyskusja, którą co jakiś czas wszczynasz jest bez sensu...nie można oczekiwać czy żądać, jak ty, żeby program miał funkcje które Ci odpowiadają tylko w określonej postaci, bo inaczej nazwiesz go kiepskim...to podejście niemal dziecinne i wskazujące na to, że absolutnie nie bierzesz pod uwagę tego, że to tylko program , który został stworzony do pewnego zakresu ochrony, a nie do wszystkiego, co sobie zamarzysz.
Owszem rozwój programu polega na dodawaniu nowych i rozbudowywaniu istniejących funkcji, ale nie oznacza to ma mieć wszystko, co dostępne u innych. W swojej klasie SS nie ma właściwie konkurencji i to co robi, robi lepiej niż inni, a umiejętne korzystanie z jakiejś aplikacji nie polega tylko na maksymalnym wykorzystaniu tego, co jest ale tez na świadomości tego, czego brak. I tylko tak jest sensownie budować zabezpieczenia dla swojego systemu.
Brakuje Ci opcji kontroli dostępu/modyfikacji plików o konkretnym rozszerzeniu?...gdybyś używał starszych systemów, to pewnie mógłbyś skorzystać np. z SensiveGuard, CoreForce czy ThreatFire bo kiedyś mozliwośc takiej kontroli była dostępna w sporej ilości programów do monitorowania systemu/aplikacji/zasobów...ale te czasy odeszły, bo budowanie takich reguł to upierdliwe czasem, a dla większości za trudne i nudne...bo obecnie użytkownik nie ma za bardzo ochoty myśleć i oczekuje, że program zrobi to automatycznie za niego...że nie będzie wiele opcji, które powinien zmienić czy ustawić...
Chcesz takiej kontroli...spróbuj Secure Folders na przykład

[Aby zobaczyć linki, zarejestruj się tutaj]

albo Crystal Security bo tam tez jak pamiętam jest opcja kontroli plików określonego typu

[Aby zobaczyć linki, zarejestruj się tutaj]

możesz też sobie coś wybrać z tej listy

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Myśle że równie bezpieczne co wygodniej dla mniej obytych użytkowników którzy chcą zastąpić moduł restrykcji dla plików w SS będzie Sandboxie opcjonalnie AppGuard.

[Aby zobaczyć linki, zarejestruj się tutaj]

- Strona 28

[Aby zobaczyć linki, zarejestruj się tutaj]


Lepszym wyborem będzie Sandboxie licencja dożywotnia i po za ograniczeniem zapisu/odczytu potrafi izolować folder lub też program. Gdzie AppGuard organiczna sie tylko do restrykcji czyli od górne zezwól albo blokuj.
Możesz też całkiem zastąpić SS z Sandboxie na rzecz ReHIPS ale dla osób mało obytych może być to program trudny w obyciu jak widać ze wortax'i sprawia sam SS.

Niestety HIPS to nie zabawka użytkownik musi być obyty w systemie aby znać z grubsza procesy systemowe i czytać ze zrozumieniem komunikaty aby potem nie klikać jak małpa zezwól albo dawać automatycznie zezwolenie na wszystko danej aplikacji a potem szerzyć herezje że SS przepuszcza albo jak na DP spotkałem sie ze śmiechowym komentarzem że Sandboxie gubi pliki.

[Aby zobaczyć linki, zarejestruj się tutaj]

Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
(23.05.2017, 11:52)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

@wortax
Ta dyskusja, którą co jakiś czas wszczynasz jest bez sensu...nie można oczekiwać czy żądać, jak ty, żeby program miał funkcje które Ci odpowiadają tylko w określonej postaci, bo inaczej nazwiesz go kiepskim...to podejście niemal dziecinne i wskazujące na to, że absolutnie nie bierzesz pod uwagę tego, że to tylko program , który został stworzony do pewnego zakresu ochrony, a nie do wszystkiego, co sobie zamarzysz.
Owszem rozwój programu polega na dodawaniu nowych i rozbudowywaniu istniejących funkcji, ale nie oznacza to ma mieć wszystko, co dostępne u innych. W swojej klasie SS nie ma właściwie konkurencji i to co robi, robi lepiej niż inni, a umiejętne korzystanie z jakiejś aplikacji nie polega tylko na maksymalnym wykorzystaniu tego, co jest ale tez na świadomości tego, czego brak. I tylko tak jest sensownie budować zabezpieczenia dla swojego systemu.
Brakuje Ci opcji kontroli dostępu/modyfikacji plików o konkretnym rozszerzeniu?...gdybyś używał starszych systemów, to pewnie mógłbyś skorzystać np. z SensiveGuard, CoreForce czy ThreatFire bo kiedyś mozliwośc takiej kontroli była dostępna w sporej ilości programów do monitorowania systemu/aplikacji/zasobów...ale te czasy odeszły, bo budowanie takich reguł to upierdliwe czasem, a dla większości za trudne i nudne...bo obecnie użytkownik nie ma za bardzo ochoty myśleć i oczekuje, że program zrobi to automatycznie za niego...że nie będzie wiele opcji, które powinien zmienić czy ustawić...
Chcesz takiej kontroli...spróbuj Secure Folders na przykład

[Aby zobaczyć linki, zarejestruj się tutaj]

albo Crystal Security bo tam tez jak pamiętam jest opcja kontroli plików określonego typu

[Aby zobaczyć linki, zarejestruj się tutaj]

możesz też sobie coś wybrać z tej listy

[Aby zobaczyć linki, zarejestruj się tutaj]


Zgadzam się, że SS jest dobry w swojej klasie (i że docelowo nie był to program do tego), ale niestety zagrożenia ewoluują. Z programami zabezpieczającymi bywa różnie, raczej zawsze są w tyle za zagrożeniami.  Chodziło mi jedynie o to, że fajnie by było gdyby dodali dodatkowy moduł do tego. Wiem, że nie można mieć programu do wszystkiego i SS np. nigdy antywirusem nie będzie, ale dobry HIPS mógłby wzbogacić się o dodatkowy moduł.
Odpowiedz
(23.05.2017, 10:55)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Zablokuj to jak dla procesu potomnego jak na przykład Firefox gdy dziwna strona chce dostępu do kamery pomimo tego że jej nie masz Craze a chcesz aby sam firefox nadal działał.
Zaś gdy pojawia sie nowy główny nieznany proces który próbuje ingerować to zalecam zakończyć całkiem jego wszystkie procesy.

Nie no zgadza się jak najbardziej. Szkoda tylko że przy pierwszym komunikacie i próbie zablokowania, plikowi udało się dalej działać Smile
Ale jak piszesz w drugiej części, wiadomo nowy proces, który jest dziwny i chce ingerować gdzieś w chronione foldery, a nie jesteśmy pewni do końca co, to lepiej zakończyć i sprawdzić to chociażby na VT czy to co jest w SS. Smile



(23.05.2017, 19:54)wortax napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Zgadzam się, że SS jest dobry w swojej klasie (i że docelowo nie był to program do tego), ale niestety zagrożenia ewoluują. Z programami zabezpieczającymi bywa różnie, raczej zawsze są w tyle za zagrożeniami.  Chodziło mi jedynie o to, że fajnie by było gdyby dodali dodatkowy moduł do tego. Wiem, że nie można mieć programu do wszystkiego i SS np. nigdy antywirusem nie będzie, ale dobry HIPS mógłby wzbogacić się o dodatkowy moduł.

Ichito opisał jak są tworzone programy przed ransomware albo jak wyglądają dodatkowe moduły w AV.
SS jest programem ukierunkowanym trochę w innym kierunku. Nie po to też producenci zabezpieczeń robią osobne rozwiązania do ochrony przed ransomware.
Przeważnie ochrona przed tymi szkodnikami polega na analizie tego jak ten szkodnik się zachowuje i porównaniu go do innych tego typu szkodników. Co się wiąże z jakąś bazą.
Czyli w tym przypadku musiało by być sporo dorzucone do SS co by było sprzeczne trochę z jego ideologia i ideologią firmy Datpol.
I jak napisał @Quassar piaskownica, uruchamiam to w od izolowanym środowisko jeżeli nie wiem co jest. Inna sprawa i chyba najważniejsza backup Smile
Producenci zabezpieczeń zawsze będą o jeden krok wstecz przed atakującymi, inaczej byśmy nie mieli tej branży Smile
Odpowiedz
(23.05.2017, 20:10)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Producenci zabezpieczeń zawsze będą o jeden krok wstecz przed atakującymi, inaczej byśmy nie mieli tej branży Smile
No tu przewrotnie nie do końca się z Tobą zgodzę...owszem sygnatury dla szkodników to właściwie zawsze opis stanu, który już był czyli szkodnika wykryto i zanalizowano, aczkolwiek AV potrafią dzięki nim wskazać też nowe szkodniki, które zawierają podobne fragmenty kodu. Z drugiej jednak strony są pewne realne rozwiązania, które pozwalają nam być "przed", bo
- albo ograniczają z góry możliwości zadziałania szkodnika i tym samym blokują szkodliwe modyfikacje systemu/danych - tu choćby systemowe ograniczenia konta zwykłego użytkownika, mechanizm UAC, programy bazujące na restrykcjach
- pozwalają na pewne lub wszystkie modyfikacje, ale w kontrolowanym środowisku czyli piaskownice i wirtualizacje, które to modyfikacje są kasowane w określonym momencie
- są na tyle sprytne i czułe, że dają radę wykryć próby dokonywania modyfikacji systemu/danych nawet przez nieznane i nieopisane sygnaturami szkodniki - ostrzegają odpowiednim komunikatem lub działają od razu automatycznie...i tu oczywiście wszystkie aplikacje typu HIPS/bloker/monitor
Problem tu widzę jeden...właściwie każda z takich aplikacji jest dla przeciętnego użytkownika nietypowa, obca i 'niezjadliwa" w codziennym użytkowaniu, a to z tej przyczyny, że wymagają one prawidłowej obsługi i tym samym czasem więcej wiedzy, cierpliwości czy choćby chęci zdobywania doświadczenia, a o to niestety coraz trudniej.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości