Размещено 30.11.2012 19:28:44
[url=http://forum.esetnod32.ru/forum9/topic3141/]Вот по этой теме[/url] говориться, как защитить важные параметры реестра, от вирусов-винлоков. Если полазить по форуму, то можно найти ещё похожие темы про правила в HIPS. Например, что бы защитить загрузочную область жёсткого диска. НО...
К сожалению с ходу не нашёл, но на ютубе точно есть видео, как выводят из строя NOD с помощью программы СOMODO Autoruner. Удаляют ключи реестра, завершают его процессы. Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить? Хотя бы монитора и файервола.
И, почему по умолчанию не включены параметры HIPS (по первой ссылке) в дистрибьютивах NOD'а? Это же очень важно. Большинство людей никогда не будут читать специализированные форумы по их антивирусу. Покажите тему по первой ссылке обычному человеку, у которого компьютер только для игр, фильмов, музыки, фотографий... Они ставят антивирус по принципу "поставил и забыл". Так же, имхо, операцию по вводу пароля надо сделать добровольно обязательной. Хоть одну цифру, но надо ставить. Повышается живучесть антивируса в разы. Но не от удаления параметров из реестра...
Видео не нашёл. Но если найду, вставлю сюда...
---------------
Как защитить и какие зищитить, жизненно важные для ESS параметры реестра в HIPS? Как защитить от завершения извне его процессы?
Ситуация, когда выключенный принудительно модуль снова запускается - не выход. За то время что он выключенный, даже секунда, вирус сможет сделать всё, что ему нужно. Как добиться не убиваемости процессов даже на миг?
----------------
ESS 6 Стоял под паролём. Правила на внесение изменений в реестр были введены в HIPS как по первой ссылке. Так же, с этого же форума, из темы где прописывалось правило запрещающее доступ без запроса к загрузочной области диска.
Из Киллсвитча удалил egui.exe, запросило перезагрузку. Перегрузился. В трее значка нода уже не было: [url=http://radikal.ru/F/s48.radikal.ru/i119/1211/a0/3f683e4b4e75.png.html][IMG]http://s48.radikal.ru/i119/1211/a0/3f683e4b4e75t.jpg[/IMG][/url] В процессах тоже: [url=http://radikal.ru/F/s005.radikal.ru/i210/1211/59/c06e2b01e830.png.html][IMG]http://s005.radikal.ru/i210/1211/59/c06e2b01e830t.jpg[/IMG][/url] [url=http://radikal.ru/F/s017.radikal.ru/i439/1211/de/339c9b1e9195.png.html][IMG]http://s017.radikal.ru/i439/1211/de/339c9b1e9195t.jpg[/IMG][/url]
При попытке запустить нод из программ получал такое окно: [url=http://radikal.ru/F/s019.radikal.ru/i631/1211/0a/8dbf55389ad8.png.html] [IMG]http://s019.radikal.ru/i631/1211/0a/8dbf55389ad8t.jpg[/IMG][/url]
Почему удалось вырубить вообще весь нод удалением одного файла?
При попытки восстановления, нод выдал это: [url=http://radikal.ru/F/s018.radikal.ru/i505/1211/24/ea32c5bc1a33.png.html] Такие же проблемы с правами получил при попытки удалить из Установка и удаление программ.
[IMG]http://s018.radikal.ru/i505/1211/24/ea32c5bc1a33t.jpg[/IMG][/url]
---
Так же, обнаружил такие ключи реестра, которые поддавались безоговорочному отключению. Их не отключал. При снятии галки с этих параметров, возвращал галку на место. Не знаю насколько они важны, но тем не менее:
--------------------------------------
Эта ветка с точно таким же названием, но из разных строчек которые были в Киллсвитче. После удаления egui.exe они перестали существовать в списке процессов в Киллсвитче
.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ESET Smart Security - Context Menu Shell Extension]
@="{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000023
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,45,00,70,00,66,00,77,00,4c,00,57,\
00,46,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="Epfw NDIS LightWeight Filter"
"Group"="NDIS"
"Description"="Epfw NDIS LightWeight Filter"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Enu
"0"="Root\\LEGACY_EPFWLWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Adapterparam for lwf"
"default"="10"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Driverparam for lwf"
"default"="5"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"DriverParam"="5"
"DefaultFilterSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"AdapterParam"="10"
"InterfaceGuid"=hex:cd,3c,56,ca,66,39,e2,11,b0,ef,00,22,15,40,e1,d5
----------------------------
Как защититься ?
К сожалению с ходу не нашёл, но на ютубе точно есть видео, как выводят из строя NOD с помощью программы СOMODO Autoruner. Удаляют ключи реестра, завершают его процессы. Такой вопрос. Как и какие параметры реестра прописать в HIPS, что бы NOD был защищён от их удаления, изменения. Тоже самое по процессам. Как процессы защитить? Хотя бы монитора и файервола.
И, почему по умолчанию не включены параметры HIPS (по первой ссылке) в дистрибьютивах NOD'а? Это же очень важно. Большинство людей никогда не будут читать специализированные форумы по их антивирусу. Покажите тему по первой ссылке обычному человеку, у которого компьютер только для игр, фильмов, музыки, фотографий... Они ставят антивирус по принципу "поставил и забыл". Так же, имхо, операцию по вводу пароля надо сделать добровольно обязательной. Хоть одну цифру, но надо ставить. Повышается живучесть антивируса в разы. Но не от удаления параметров из реестра...
Видео не нашёл. Но если найду, вставлю сюда...
---------------
Как защитить и какие зищитить, жизненно важные для ESS параметры реестра в HIPS? Как защитить от завершения извне его процессы?
Ситуация, когда выключенный принудительно модуль снова запускается - не выход. За то время что он выключенный, даже секунда, вирус сможет сделать всё, что ему нужно. Как добиться не убиваемости процессов даже на миг?
----------------
ESS 6 Стоял под паролём. Правила на внесение изменений в реестр были введены в HIPS как по первой ссылке. Так же, с этого же форума, из темы где прописывалось правило запрещающее доступ без запроса к загрузочной области диска.
Из Киллсвитча удалил egui.exe, запросило перезагрузку. Перегрузился. В трее значка нода уже не было: [url=http://radikal.ru/F/s48.radikal.ru/i119/1211/a0/3f683e4b4e75.png.html][IMG]http://s48.radikal.ru/i119/1211/a0/3f683e4b4e75t.jpg[/IMG][/url] В процессах тоже: [url=http://radikal.ru/F/s005.radikal.ru/i210/1211/59/c06e2b01e830.png.html][IMG]http://s005.radikal.ru/i210/1211/59/c06e2b01e830t.jpg[/IMG][/url] [url=http://radikal.ru/F/s017.radikal.ru/i439/1211/de/339c9b1e9195.png.html][IMG]http://s017.radikal.ru/i439/1211/de/339c9b1e9195t.jpg[/IMG][/url]
При попытке запустить нод из программ получал такое окно: [url=http://radikal.ru/F/s019.radikal.ru/i631/1211/0a/8dbf55389ad8.png.html] [IMG]http://s019.radikal.ru/i631/1211/0a/8dbf55389ad8t.jpg[/IMG][/url]
Почему удалось вырубить вообще весь нод удалением одного файла?
При попытки восстановления, нод выдал это: [url=http://radikal.ru/F/s018.radikal.ru/i505/1211/24/ea32c5bc1a33.png.html] Такие же проблемы с правами получил при попытки удалить из Установка и удаление программ.
[IMG]http://s018.radikal.ru/i505/1211/24/ea32c5bc1a33t.jpg[/IMG][/url]
---
Так же, обнаружил такие ключи реестра, которые поддавались безоговорочному отключению. Их не отключал. При снятии галки с этих параметров, возвращал галку на место. Не знаю насколько они важны, но тем не менее:
--------------------------------------
Эта ветка с точно таким же названием, но из разных строчек которые были в Киллсвитче. После удаления egui.exe они перестали существовать в списке процессов в Киллсвитче
.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ESET Smart Security - Context Menu Shell Extension]
@="{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000023
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,45,00,70,00,66,00,77,00,4c,00,57,\
00,46,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="Epfw NDIS LightWeight Filter"
"Group"="NDIS"
"Description"="Epfw NDIS LightWeight Filter"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Enu
"0"="Root\\LEGACY_EPFWLWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Adapterparam for lwf"
"default"="10"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Fil
"ParamDesc"="Driverparam for lwf"
"default"="5"
"type"="int"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"DriverParam"="5"
"DefaultFilterSettings"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\EpfwLWF\Par
"AdapterParam"="10"
"InterfaceGuid"=hex:cd,3c,56,ca,66,39,e2,11,b0,ef,00,22,15,40,e1,d5
----------------------------
Как защититься ?
Изменено: Loner - 01.12.2012 02:28:01