PatchGuard w Windows 8 x64

[Konto usunięte]

Z racji ostatnich nowości dotyczących zmian w mechanizmie ochrony kernela (PatchGuard) w Windows 8 i

[Aby zobaczyć linki, zarejestruj się tutaj]

nieco zainteresowałem się tematem.

Nieco podążyłem, sprawdzając też kilka rzeczy na maszynach wirtualnych.
Problem istnieje i nie jest mały, z moich obserwacji wynika jednak, że dotyczy "jedynie" wydania 64-bitowego.
Kilka faktów:

• SpyShelter wprowadził w wersji beta częściową obsługę Windows 8 32bit, nie ma póki co wsparcia dla wersji 64-bitowej.
  
• Zemana Antilogger (wersja pełna) obsługuje dobrze 32bit, w wypadku wersji 64bit w zasadzie milczy dla testów Spysheltera .
  
• HIPS z Comodo (wyłączony sandbox/bloker, konfiguracja proactive) na 32bit monitoruje o wszystkim, na 64bit milczy przy hooku na klawiaturę i schowek systemowy .

OA nie sprawdzałem z powodu niekompatybilności z VirtualBoxem którego używam i którego nie chcę usuwać. Miałem przez jakiś czas Privatefirewall, ale on również nie monitował testów. Wniosek jest dla mnie taki, że na Windows 8 w wersji 64-bitowej jest póki co poważny problem z ochroną tego typu. Więcej, z ochroną chyba najlepszego rodzaju, bo dającą nam naprawdę dużą kontrolę nad tym co się dzieje i nieobarczoną wadami zwykłych antywirusów. Nieco lepiej jest w wypadku Comodo, ale dwa najważniejsze miejsca i tak nie są monitorowane - ja o wiele bardziej obawiałbym się właśnie keyloggera aniżeli screenloogera.

Żadna z tych przypadłości nie występuje na Windows 7 x64.
Ja wiem, testowałem na jednym testerze i tak naprawdę tylko 2 programy, ale są one bardzo popularne i zbudowały już spore zaufanie swoich klientów, które teraz przez nowości w systemie MS może zostać poważnie nadwyrężone.

[artoor]

Trochę poza tematem... acz nie do końca. Prawdą jest, że korzystanie z Windows 8 w wersji 32b raczej mija się z celem, podczas gdy obecnie można by rzec, minimalna sensowna ilość pamięci RAM to 4GB, często w nowe maszyny pcha się 8GB, albo i więcej (wiem, bo zamawiałem siostrze laptopa niedawno). Wymusza to w pewnym sensie wersję x64, która jak widać jest znacznie mocniej narażona na przedstawione przez Ciebie niebezpieczeństwo. Więc pcha się na myśl pytanie - jaki cel w instalacji najnowszego systemu ze stajni MS? Zdecydowanie polecam osobom, które pytają mnie, jaki system postawić na swoim PC właśnie Windows 7. Ósemka do mnie nie przemawia w swojej innowacyjności... być może jestem zbyt przyzwyczajony? Swoją droga, czemu MS tak bardzo reklamuje Win 8? Czyżby spodziewał się przed jego wydaniem większych zysków, a rzeczywistość okazała się inna? Hmmm... tak czy inaczej, kwestia zabezpieczeń systemu Win 8 również pozostawia wiele do życzenia. Kiedy to się zmieni, może zmieni się moje podejście do tematu. Teraz na pewno nie biorę tej opcji pod uwagę - przede wszystkim zważywszy na kwestie bezpieczeństwa tegoż OS

[Konto usunięte]

Co do reklamy Windows 8 to jest to raczej na

[Aby zobaczyć linki, zarejestruj się tutaj]

, ale w kwestii bezpieczeństwa jest póki co dosyć spory problem. Było nieco wersji testowych, od czasu wypuszczenia finalnej niebawem będą 3 miesiące, a jak widać, nadal oprogramowanie nie zostało dostosowane do niego (o ile w ogóle istnieje taka możliwość). Oczywiście możliwe, że malware również będzie miało z tego tytułu problemy, no ale skoro test SpySheltera nie ma żadnych problemów z użyciem odpowiednich hooków... poza tym, twórcy malware nie będą się przecież bawić w to, aby "legalnie obejść" mechanizmy ochronne. Sam korzystam z Windows 8, ale w obliczu tego o czym przekonałem się w ostatnie 2-3 dni poważnie zastanawiam się nad powrotem do Windows 7. Zalety nowego systemu w moim wypadku nie rekompensują takich problemów z bezpieczeństwem.

[Houdini]

Wygląda na to że w widows 8 patchguard pozwala na jeszcze mniej.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dlatego siedzę na windows7 32bit + PAE. Ten cały patchguard to jedno wielkie nieporozumienie.

[Ambient]

Z ciekawości na virtualboxie sprawdziłem różne pakiety i powiem, że CIS u mnie zablokował zarówno schowek jak i monitorowanie klawiatury po zablokowaniu alertu "dostęp do klawiatury". Jeżeli chodzi o CLT to Comodo monitoruje i blokuje instalacje hook(a). Wnioskuję więc, że test Spysheltera może nie instalować globalnego przechwytywania na W8 x64.

[Konto usunięte]

Możliwe, ale to powinno wyjść w praktyce.
Tymczasem o ile nie ma pytania o akcję, o tyle spyshelter bezproblemowo przechwytuje zarówno dane ze schowka, jak i klepane na klawiaturze.

[Ambient]

Sprawdziłem nowy P-Firewall, na testy Spysheltera zero reakcji. Mogę dodać jeszcze, że żaden z pakietów nie wykrywa żądań DNS. Jakimś wyjściem z tej systuacji może być wyłączenie usługi systemowej DNS Client. Jeżeli MS dalej będzie kontynuował swoją politykę i zaostrzał PG nadejdzie dzień, gdzie skończy się zabawa w hipsy i piaskownice, a twórcy programów alternatywnych stracą w pewnym sensie pracę. Totalna głupota, może to celowe działanie...

[Konto usunięte]

Tylko w jakim celu? Gdy o tym zrobi się głośniej, powstanie kolejny powód aby przekonywać ludzi do mówienia "nie" ósemce, a przecież to system jak każdy inny, posiadający swoje wady i zalety. Ja nie widzę sensu w takim postępowaniu MS. Widziałbym, gdyby Windows Defender / MSE czuwało nad takimi rzeczami. No a jak jest? Jest tak, że z użyciem hooka nie ma żadnego problemu wcale niezbyt mocno znany test spyshelera bez podnoszenia uprawnień.

[Konto usunięte]

HIPS z Comodo (wyłączony sandbox/bloker, konfiguracja proactive) na 32bit monitoruje o wszystkim, na 64bit milczy przy hooku na klawiaturę i schowek systemowy.

Dzisiaj wrzuciłem sobie Comodo FW i wynik na najnowszej wersji jest diametralnie inny.
HIPS z Comodo przy wyłączonym sandboxie reaguje na wszystkie testy. Przy włączonym sandboxie ustawionym na "restricted" również wszystko jest blokowane.
Chciałem przetestować też aplikacjami Zemany, ale tą od keyloggera i schowka wywala, pomimo wyłączenia wszystkiego co się da. Przy module od kamery sypie komunikatami.