Размещено 30.11.2012 19:28:44
говориться, как защитить важные параметры реестра, от вирусов-винлоков. Если полазить по форуму, то можно найти ещё похожие темы про правила в HIPS. Например, что бы защитить загрузочную область жёсткого диска. НО...
К сожалению с ходу не нашёл, но на ютубе точно есть видео, как выводят из строя NOD с помощью программы СOMODO Autoruner. Удаляют ключи реестра, завершают его процессы. Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить? Хотя бы монитора и файервола.
И, почему по умолчанию не включены параметры HIPS (по первой ссылке) в дистрибьютивах NOD'а? Это же очень важно. Большинство людей никогда не будут читать специализированные форумы по их антивирусу. Покажите тему по первой ссылке обычному человеку, у которого компьютер только для игр, фильмов, музыки, фотографий... Они ставят антивирус по принципу "поставил и забыл". Так же, имхо, операцию по вводу пароля надо сделать добровольно обязательной. Хоть одну цифру, но надо ставить. Повышается живучесть антивируса в разы. Но не от удаления параметров из реестра...
Видео не нашёл. Но если найду, вставлю сюда...
---------------
Как защитить и какие зищитить, жизненно важные для ESS параметры реестра в HIPS? Как защитить от завершения извне его процессы?
Ситуация, когда выключенный принудительно модуль снова запускается - не выход. За то время что он выключенный, даже секунда, вирус сможет сделать всё, что ему нужно. Как добиться не убиваемости процессов даже на миг?
----------------
ESS 6 Стоял под паролём. Правила на внесение изменений в реестр были введены в HIPS как по первой ссылке. Так же, с этого же форума, из темы где прописывалось правило запрещающее доступ без запроса к загрузочной области диска.
Из Киллсвитча удалил egui.exe, запросило перезагрузку. Перегрузился. В трее значка нода уже не было: В процессах тоже:
При попытке запустить нод из программ получал такое окно:
Почему удалось вырубить вообще весь нод удалением одного файла?
При попытки восстановления, нод выдал это:
---
Так же, обнаружил такие ключи реестра, которые поддавались безоговорочному отключению. Их не отключал. При снятии галки с этих параметров, возвращал галку на место. Не знаю насколько они важны, но тем не менее:
--------------------------------------
Эта ветка с точно таким же названием, но из разных строчек которые были в Киллсвитче. После удаления egui.exe они перестали существовать в списке процессов в Киллсвитче
.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ESET Smart Security - Context Menu Shell Extension]
@="{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000023
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,45,00,70,00,66,00,77,00,4c,00,57,\
00,46,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="Epfw NDIS LightWeight Filter"
"Group"="NDIS"
"Description"="Epfw NDIS LightWeight Filter"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Enu
"0"="Root\\LEGACY_EPFWLWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Adapterparam for lwf"
"default"="10"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Driverparam for lwf"
"default"="5"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"DriverParam"="5"
"DefaultFilterSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"AdapterParam"="10"
"InterfaceGuid"=hex:cd,3c,56,ca,66,39,e2,11,b0,ef,00,22,15,40,e1,d5
----------------------------
Как защититься ?
К сожалению с ходу не нашёл, но на ютубе точно есть видео, как выводят из строя NOD с помощью программы СOMODO Autoruner. Удаляют ключи реестра, завершают его процессы. Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить? Хотя бы монитора и файервола.
И, почему по умолчанию не включены параметры HIPS (по первой ссылке) в дистрибьютивах NOD'а? Это же очень важно. Большинство людей никогда не будут читать специализированные форумы по их антивирусу. Покажите тему по первой ссылке обычному человеку, у которого компьютер только для игр, фильмов, музыки, фотографий... Они ставят антивирус по принципу "поставил и забыл". Так же, имхо, операцию по вводу пароля надо сделать добровольно обязательной. Хоть одну цифру, но надо ставить. Повышается живучесть антивируса в разы. Но не от удаления параметров из реестра...
Видео не нашёл. Но если найду, вставлю сюда...
---------------
Как защитить и какие зищитить, жизненно важные для ESS параметры реестра в HIPS? Как защитить от завершения извне его процессы?
Ситуация, когда выключенный принудительно модуль снова запускается - не выход. За то время что он выключенный, даже секунда, вирус сможет сделать всё, что ему нужно. Как добиться не убиваемости процессов даже на миг?
----------------
ESS 6 Стоял под паролём. Правила на внесение изменений в реестр были введены в HIPS как по первой ссылке. Так же, с этого же форума, из темы где прописывалось правило запрещающее доступ без запроса к загрузочной области диска.
Из Киллсвитча удалил egui.exe, запросило перезагрузку. Перегрузился. В трее значка нода уже не было: В процессах тоже:
При попытке запустить нод из программ получал такое окно:
Почему удалось вырубить вообще весь нод удалением одного файла?
При попытки восстановления, нод выдал это:
---
Так же, обнаружил такие ключи реестра, которые поддавались безоговорочному отключению. Их не отключал. При снятии галки с этих параметров, возвращал галку на место. Не знаю насколько они важны, но тем не менее:
--------------------------------------
Эта ветка с точно таким же названием, но из разных строчек которые были в Киллсвитче. После удаления egui.exe они перестали существовать в списке процессов в Киллсвитче
.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ESET Smart Security - Context Menu Shell Extension]
@="{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000023
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,45,00,70,00,66,00,77,00,4c,00,57,\
00,46,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="Epfw NDIS LightWeight Filter"
"Group"="NDIS"
"Description"="Epfw NDIS LightWeight Filter"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Enu
"0"="Root\\LEGACY_EPFWLWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Adapterparam for lwf"
"default"="10"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Driverparam for lwf"
"default"="5"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"DriverParam"="5"
"DefaultFilterSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"AdapterParam"="10"
"InterfaceGuid"=hex:cd,3c,56,ca,66,39,e2,11,b0,ef,00,22,15,40,e1,d5
----------------------------
Как защититься ?
Изменено: Loner - 01.12.2012 02:28:01
