Dziś miało premierę nowe narzędzie od NoVirusThanks - nosi nazwę NVT OSArmor i jak wynika z opisu oraz analizy funkcjonalności mamy do czynienia właściwie z blokerem behawioralnym To tyle interesujące, że poza Kataną od DrWeb nie było właściwie nic nowego od lat w tej kategorii oprogramowania zabezpieczającego i przynosi nadzieję, że ten gatunek aplikacji jednak nie umiera
Wg opisu autora i listy monitorowanych akcji OSArmor dzięki zastosowaniu 30 specjalnych restrykcji potraf m.in.:
- blokować uruchamianie podejrzanych procesów potomnych, co pozwala na blokowanie uruchamiania exploitów
- blokować podejrzane procesy przez aplikacje wrażliwe, jak np. MS Word, Excel czy czytniki PDF
- blokować procesy uruchamiane poprzez autostart z napędów USB
- blokowanie pewnych typowych szkodliwych procesów uruchamianych z linii komend
- blokuje działanie ransomware polegające na kasowaniu plików powstałych dzięki usłudze kopiowania woluminów shadow copies - (vssadmin.exe)
- blokuje pobieranie plików zalnych (tzw. remote downlaod)
- kontroluje zachowanie pewnych procesów systemowych)
- blokuje uruchamiane plików z podwójnym rozszerzeniem
- blokuje działanie podejrzanych skryptów.
Lista akcji na screenach poniżej...obrazki własne
Program jest darmowy, działa od Windows XP wzwyż...i chwała autorom za to
Może być doskonałą dodatkową i wszechstronną warstwą ochrony i możemy mieć tylko nadzieję, że to dopiero początek jego świetlanej przyszłości. Program po instalacji uruchamia na stałe w systemie 2 procesy i jak widać poniżej na screenie zużycie zasobów jest na bardzo przyzwoitym poziomie
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.
Hmm ten program nie wygląda mi na pełnoprawny bloker behawioralny, po krótkim teście widzę że posiada jakiś ułamek funkcjonalności ThreatFire czy AVG Identity Protection/Norton AntiBot.
Patrząc na program i podobieństwo do Mamutu na przykład, to
- mamy na pewno podobieństwo w wykazie monitorowanych akcji, choć OSA nie daje możliwości konfiguracji odpowiedzi na nią - jest blokuj albo nie blokuj
- nie mamy na pewno możliwości podpowiedzi z bazy danych na serwerach dostawcy, co od razu wprowadza wskazówki dla użytkownika czy akcja jest zaufana czy podejrzana...nie ma też podpowiedzi społeczności, co było opcją w ThreatFire...nie ma też lokalnej listy zaufanych dostawców, jak było w DSA i wciąż jest w Privatefirewall
- mamy na pewno wykaz zdefiniowanych i wbudowanych zachowań, które są automatycznie blokowane, co nasuwa podobieństwo do zasad SRP...ale SRP ze względu na różne właściwości ochronne systemów Windows w zależności od jego wersji, nie działają wszędzie tak samo, co widać na przykład w aplikacji
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Autor mocno pracuje nad programem wprowadzając poprawki i sugerowane przez użytkowników zmiany...mamy więc nową wersję 1.1
Cytat:This is the changelog:
[18-Dec-2017] v1.1.0.0
+ Block any process executed from java.exe and javaw.exe (unchecked by default)
+ Block any process executed from mmc.exe (unchecked by default)
+ Block any process executed from wmiprvse.exe (unchecked by default)
+ Block any process executed from mstsc.exe (Remote Desktop) (unchecked by default)
+ Block unknown processes executed from TeamViewer (unchecked by default)
+ Block execution of any process related to TeamViewer (unchecked by default)
+ Block execution of .wsf scripts
+ Improved detection of suspicious processes
+ Improved detection of suspicious svchost.exe behaviors
+ Fixed hiding of the GUI window on PC reboot
+ Fixed some false positives
To update just uninstall the old version and install the new one.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
+ Block processes named like *keygen* or *crack* (unchecked by default)
+ Block execution of schtasks.exe is now unchecked by default
+ Prevent Regsvr32.exe from using /i: powershell
+ Fixed some false positives
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Spokojnie, za miesiąc czy dwa soft przestanie być rozwijany.
Poczułem gorzką nutę sarkazmu i ciężki bagaż doświadczeń weterana. Odrobina prawdy w tym jest, a obawiam się że z czasem może okazać się duuużo więcej niż odrobina...
Ależ macie krytyczne podejście...krytykanckie wręcz!.
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Ależ macie krytyczne podejście...krytykanckie wręcz!.
Owszem facet...jego firma, inżynierowie czy kto tak za tym stoi...jest płodny i projekty, które rozwija/-ł już trudno zliczyć na palcach obu rąk, ale nie mam mu tego za złe. To są niewielkie samodzielne narzędzia, które stara się dopracować wspólnie ze społecznością, reagując na jej odzew i sugestie...dochodzi do pewnego momentu i kończy, bo z samego pomysłu i jego realizacji już więcej wycisnąć się nie da. To może nie są wyjątkowe "brylanty", o których mówią szeroko w mediach...choć ERP bym za taki uznał...ale bardziej "diamenciki" które dodają unikalnego uroku...wszystkie są wartościowe, choć nie wszystkie dla każdego klienta.
Ich oferta jest na tyle szeroka, że w zależności od potrzeb można dobrać sobie jakiś jeden czy dwa do kożucha
Dobra, dobra.... Lepiej powiedz @ichito (jako utajniony zamknięty betatester ), kiedy się doczekam obiecanej publicznej bety NoVirusThanks EXE Radar Pro. Czekam już.. bodajże od lipca... A miał być...
No faktycznie gościu ma ża dużo na głowie, a robi kolejne projekty bez dodatkowych ludzi przywali go nadmiar roboty jak u mnie i może sie skończyć zawaleniem kilku projektów przynajmniej.....
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Nie wiem Zeno...nie dostałem nowej bety do testów.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
+ Block processes with known fake extensions (i.e .pdf.exe) + Prevent WMIC from using "process call create" via cmdline + Block command-lines that match *\Start Menu\Programs\Startup\* + Block command-lines that match shellcode-like patterns + Block execution of any process related to UltraVNC (unchecked by default) + Block execution of any process related to RealVNC (unchecked by default) + Block execution of any process related to Nir Sofer (unchecked by default) + Block execution of any process related to LogMeIn (unchecked by default) + Block known Bitcoin miners command-lines + Prevent wbadmin.exe from deleting backup catalog + Block unsigned processes located on root folder (i.e C:\) (unchecked by default) + Block SOAP WSDL requests via command-line + Block execution of syskey.exe + Block execution of cipher.exe + Number of pre-defined rules increased to 60 + Do not delete the settings when the program is uninstalled + Improved showing of main window from tray icon + Fixed many false positives + Improved internal rules
All reported FPs should be fixed.
On the next version we will add support for exclusions.