Cамозащита NOD'а , Защита модулей и параметров реестра

1
RSS
Вот по этой теме говориться, как защитить важные параметры реестра, от вирусов-винлоков. Если полазить по форуму, то можно найти ещё похожие темы про правила в HIPS. Например, что бы защитить загрузочную область жёсткого диска. НО...
К сожалению с ходу не нашёл, но на ютубе точно есть видео, как выводят из строя NOD с помощью программы СOMODO Autoruner. Удаляют ключи реестра, завершают его процессы. Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить? Хотя бы монитора и файервола.
И, почему по умолчанию не включены параметры HIPS (по первой ссылке) в дистрибьютивах NOD'а? Это же очень важно. Большинство людей никогда не будут читать специализированные форумы по их антивирусу. Покажите тему по первой ссылке обычному человеку, у которого компьютер только для игр, фильмов, музыки, фотографий... Они ставят антивирус по принципу "поставил и забыл". Так же, имхо, операцию по вводу пароля надо сделать добровольно обязательной. Хоть одну цифру, но надо ставить. Повышается живучесть антивируса в разы. Но не от удаления параметров из реестра...
Видео не нашёл. Но если найду, вставлю сюда...
---------------
Как защитить и какие зищитить, жизненно важные для ESS параметры реестра в HIPS? Как защитить от завершения извне его процессы?
Ситуация, когда выключенный принудительно модуль снова запускается - не выход. За то время что он выключенный, даже секунда, вирус сможет сделать всё, что ему нужно. Как добиться не убиваемости процессов даже на миг?
----------------
ESS 6 Стоял под паролём. Правила на внесение изменений в реестр были введены в HIPS как по первой ссылке. Так же, с этого же форума, из темы где прописывалось правило запрещающее доступ без запроса к загрузочной области диска.

Из Киллсвитча удалил egui.exe, запросило перезагрузку. Перегрузился. В трее значка нода уже не было: В процессах тоже:
При попытке запустить нод из программ получал такое окно:
Почему удалось вырубить вообще весь нод удалением одного файла?
При попытки восстановления, нод выдал это: Такие же проблемы с правами получил при попытки удалить из Установка и удаление программ.

---
Так же, обнаружил такие ключи реестра, которые поддавались безоговорочному отключению. Их не отключал. При снятии галки с этих параметров, возвращал галку на место. Не знаю насколько они важны, но тем не менее:
--------------------------------------
Эта ветка с точно таким же названием, но из разных строчек которые были в Киллсвитче. После удаления egui.exe они перестали существовать в списке процессов в Киллсвитче
.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ESET Smart Security - Context Menu Shell Extension]
@="{B089FE88-FB52-11D3-BDF1-0050DA34150D}"


---------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000023
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,45,00,70,00,66,00,77,00,4c,00,57,\
00,46,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="Epfw NDIS LightWeight Filter"
"Group"="NDIS"
"Description"="Epfw NDIS LightWeight Filter"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Enu­m]
"0"="Root\\LEGACY_EPFWLWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil­terAdapterParams]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil­terAdapterParams\AdapterParam]
"ParamDesc"="Adapterparam for lwf"
"default"="10"
"type"="int"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil­terDriverParams]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil­terDriverParams\DriverParam]
"ParamDesc"="Driverparam for lwf"
"default"="5"
"type"="int"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters]
"DriverParam"="5"
"DefaultFilterSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{088E683D-1664-4745-B2D6-912381E3C704}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{088E683D-1664-4745-B2D6-912381E3C704}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{50484ED9-EB06-43E8-BF10-B7D806411FBD}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{50484ED9-EB06-43E8-BF10-B7D806411FBD}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{5301B3C2-0587-4066-904C-F3F16130F914}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{5301B3C2-0587-4066-904C-F3F16130F914}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{74CAFCDF-6DE8-4C9B-8CF6-E6660C65647C}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{74CAFCDF-6DE8-4C9B-8CF6-E6660C65647C}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{93ADC27D-1242-4C0C-B78F-1452C492F493}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{93ADC27D-1242-4C0C-B78F-1452C492F493}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{98AC099A-CF5C-4B61-8918-4330FBA28242}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{98AC099A-CF5C-4B61-8918-4330FBA28242}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{9EAE4650-B67A-4485-AC9B-28A61580DF9D}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{9EAE4650-B67A-4485-AC9B-28A61580DF9D}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{A33D3DD5-7742-4A78-9425-3C4BE42236CC}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{A33D3DD5-7742-4A78-9425-3C4BE42236CC}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{B048A8B0-DEC7-4CDA-BD78-D64D722A13C5}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{B048A8B0-DEC7-4CDA-BD78-D64D722A13C5}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{F340CAF2-269D-464C-B8B1-3798D507A531}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\Adapters\{F340CAF2-269D-464C-B8B1-3798D507A531}\{F7A0C547-B619-442B-8E5C-FD7D0E1B069D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\NdisAdapters]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par­ameters\NdisAdapters\{9EAE4650-B67A-4485-AC9B-28A61580DF9D}]
"AdapterParam"="10"
"InterfaceGuid"=hex:cd,3c,56,ca,66,39,e2,11,b0,ef,00,22,15,40,e1,d5
----------------------------
Как защититься ?
Изменено: Loner - 01.12.2012 02:28:01
Я как-то обещал к новому году создать отдельную тему по этим делам. Надеюсь, удастся выкроить время.
Что же касается всего остального.
Нашел такие видео:
http://www.youtube.com/watch?v=78ea7XodDMs
http://www.youtube.com/watch?v=TYqrsc45fUo
Нужно их будет внимательно изучить.
А пока могу посоветовать пересмотреть видео самим, и закрывать дыры, на которые указывает автор.
Что же касается "поставил и забыл", то если такие продукты и есть, то вряд ли они предоставляют необходимый уровень безопасности.
Я же очень много раз писал: компьютер изначально был задуман как средство научных изысканий. А это изначально подразумевало достаточно высокий уровень интеллектуального мышления пользователя, требовавший неустанного выполнения лозунга "учиться, учиться и еще раз учиться". Последние тенденции, конечно, связаны с массовым потребительством, и любую электронику (а уж тем более ПО) стараются упростить, образно говоря, до уровня макаки. На мой взгляд, это тупиковый путь, последствия которого могут быть самыми серьезными. Поэтому требования упростить и без того несложный интерфейс ESET, мне лично кажутся из той оперы, что "ой, сложно, каша сама вариться не хочет"...
Цитата
Поэтому требования упростить и без того несложный интерфейс ESET, мне лично кажутся из той оперы, что "ой, сложно, каша сама вариться не хочет"...
Это для нас. А что делать с тётями из социальных сетей. Других людей, которые из другого поколения, мышление другое. За всю жизнь - одна прочитанная книга. Любимая передача - Дом 2. Таких большинство. Рынок под них делается. У кого продукт проще, дешевле, надёжнее, и лучше поставлена реклама - возьмут рынок.
C одной стороны - не против того, что бы обыватель оставался обывателем. Ибо чем больше юзверей хватает вирусы, тем чаще вызывают более продвинутых юзверей. Платят деньги за то, хотя бы, что сами не удосужились хоть что-то захотеть знать, про то, что стоит у них на компьютере.
А с другой стороны... Ведь будут тесты. Если завалят нода в тесте на самозащиту, то опять по углам интернета будут орать, что нод "плохой". Соответственно покупателей будет меньше.
Шустрый движок. Удобный интерфейс. Остальное бы до ума довести...
----
А, да. Я не упростить просил интерфейс нода. А настройки и правила для HIPS, важные для целостности нода, и целостности системного реестра, хотя бы в случае с винлоками, уже включенными по умолчанию в дистрибьютив сделать. И так же надо что-то сделать с самозащитой процессов нода и его параметров в реестре. Правила HIPS пусть уже будут настроены.  Хотя бы при установке пусть задаёт вопрос, мол: "Включить правила защиты от Winlock для важных параметров реестра? В последствии вы это можете изменить в расширенных настройках". Или как-то так. Тут разрабам полный вперёд для фантазии.
Изменено: Loner - 01.12.2012 03:11:49
Цитата
Loner пишет:
Рынок под них делается. У кого продукт проще, дешевле, надёжнее, и лучше поставлена реклама - возьмут рынок.
Знаете, еще Адам Смит доказал, что капитализм конечен, и до сих пор никто не доказал обратное. И кто решает делать недолговечные проекты, тот и сам раствориться в истории. Несмотря на тупые потребленческие идеи нужно гнуть идею, что при работе с IT-технологиями нужно постоянно самообразовываться, независимо ли ты, какой-то офисный работник или высокотитулованный профессор.
В конце концов, никто не мешает делать упрощенные версии для таких целей, только не в ущерб основным продуктам.
Я думаю, ESET уже обладает достаточным весом и авторитетом, чтобы идти своим путем, не сильно растрачиваясь на мелочные идеи. Посмотрим...
Цитата
Loner пишет:
А, да. Я не упростить просил интерфейс нода. А настройки и правила
Это я понял.
С разработчиками связываться пока что себе дороже. А вот самим создать те или иные мануалы вполне можно и нужно.
Цитата
Знаете, еще Адам Смит доказал, что капитализм конечен
Эт да. Только...
Цитата
Вынесет всё — и широкую, ясную Грудью дорогу проложит себе. Жаль только — жить в эту пору прекрасную Уж не придется — ни мне, ни тебе
:D
del
Изменено: EVE N - 02.12.2012 05:54:22
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Цитата
Loner пишет:

Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить?

Цитата
Арвид пишет:
Можете использовать мой конфиг для HIPS
http://rghost.ru/users/Angel-iz-Ada/releases/HIPS-for-ESET5
Перед импортом удалите все свои правила чтоб не было конфликтов.

http://forum.esetnod32.ru/messages/forum9/topic7415/message55174/#message55174
А можно ли сделать с последующими обновлениями программы, самотестирование работы модулей нода (всех), ключей реестра нода (всех), процессов нода (всех). С самовосстановлением. В идеале - тут же, сей же миг, так сказать. Ну, или хотя бы после перезагрузки. Типа, вот я через киллсвитч попытался завершить процессы, они самовосстанавливались. Но при удалении, после перезагрузке они уже ушли в мир иной. Почему бы при старте компа ноду не проверять свои компоненты (все) и не уметь их восстанавливать тут же, если что, грузясь ранее всех процессов насколько это только возможно. Восстановление через Установка и удаление программ не работает часто. Как показывает видео на ютубе, и в моём случае. Прав не хватать стало. Я в первом посте не написал, что сходу вырубить монитор не получилось. Только удалением egui.exe, и только после перезагрузки. Что странно... Получается, киллсвитч не смог удалить это сразу, процесс не давал этого делать. Но при загрузке компьютера он загрузился раньше нода, и удалил всё что хотел ещё до того как стартовал нод. Так получается. И ещё. Файла egui.exe в папке куда был установлен нод вообще не оказалось. Он был удалён с машины физически. Что тоже странно, ибо был поставлен пароль. Например, у доктора веба при включенной самозащите вообще из папки удалить что-либо нельзя. Даже без пароля. Убить процесс, ещё можно понять. Но реально затереть файл, из стоящего под паролём антивируса...
----------
В общем, самотестирование и самовосстановление всего и вся что прописывает и ставить при установке нод должно быть. Железное.
Цитата
Yung пишет:
Цитата
Арвид пишет:
Можете использовать мой конфиг для HIPS
http://rghost.ru/users/Angel-iz-Ada/releases/HIPS-for-ESET5
Перед импортом удалите все свои правила чтоб не было конфликтов.

http://forum.esetnod32.ru/messages/forum9/topic7415/message55174/#message55174
Спасибо. Попробую. Удалю не только все настройки, но и нод начисто переустановлю. На всякий пожарный.
А, да, спросить хочу. Там вроде для восьмой винды, а у меня семёрка 64 бит. Это ничего?
Изменено: Loner - 02.12.2012 16:58:13
Loner,
там для всех
Правильно заданный вопрос - это уже половина ответа
1
Читают тему (гостей: 1)