barsukRed Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 System Safety Monitor-oчень эффективная HIPS. При использовании столкнулся с настройками модулей.Есть модуль защиты INI файлов. Подскажите,друзья,как более грамотно использовать этот модуль? Я запретил изменение файлов win.ini; system.ini. Что еще можно хорошего сделать? У меня windows XP SP2. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Гм... Поскольку с данной программой и её возможностями я пока не знаком, путём логических рассуждений могу посоветовать просто прочесть мануал к ней... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
veiK Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Здорова barsukRed: Я запретил изменение файлов win.ini; system.ini. Что еще можно хорошего сделать? У меня windows XP SP2. А какую цель ты преследуешь ?! Данный софт я не юзал! Так как нет необходимости! Хватает всяких ТВИКЕРОВ А как написано в проге - она много че может System Safety MonitorSystem Safety Monitor (SSM) позволяет отслеживать активность операционной системы Microsoft Windows в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ. Основная задача SSM – не допустить выполнения вредоносных действий со стороны любого приложения. Основные возможности: SSM наблюдает за активностью всех запущенных и запускаемых приложений и позволяет управлять: * какой процесс может быть запущен, а какой нет; * какие дочерние процессы могут быть запущены из данного процесса; * из каких родительских процессов может быть запущен данный процесс; * может быть запущен процесс или нет, если он был изменен/модифицирован/обновлен; * может ли процесс устанавливать в системе драйвер; * может ли процесс выполнять внедрение исполняемого кода (Code-injection) и динамических библиотек (DLL-injection). * создание/удаление процессов; * приостановка работы процесса и продолжение его выполнения; * просмотр динамических библиотек (DLL), используемых процессом. * перехват низкоуровневого доступа к диску * перехват низкоуровневого доступа к клавиатуре так что определись че ты хочешь ! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 22 марта, 2007 Автор Жалоба Поделиться Опубликовано 22 марта, 2007 Здорова barsukRed: А какую цель ты преследуешь ?! Я хочу понять: какую максимальную пользу можно извлечь из модуля защиты ini-файлов. Еще у меня есть кое-какие соображения как можно использовать SSM вместо антивирусных программ. ИМХО все модули хорошо дополняют друг друга. Но у меня мало опыта по защите именно ini-файлов;) а точнее-насколько сильно им может навредить зловред.Есть мнение(и не только у меня) что скоро HIPS полностью заменит АВпроги в нише защиты пк от зловредов... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Есть мнение(и не только у меня) что скоро HIPS полностью заменит АВпроги в нише защиты пк от зловредов... Никогда не заменят Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 Есть мнение(и не только у меня) что скоро HIPS полностью заменит АВпроги в нише защиты пк от зловредов... Никогда не заменят Позвольте поинтересоваться, почему вы так считаете? :) На мой взгляд, программы подобного класса уже сейчас вполне могут заменить обычный антивирус, при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 22 марта, 2007 Жалоба Поделиться Опубликовано 22 марта, 2007 при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером. Категорически согласен!Другое дело, что относительно "дружбы" с машинкой как железом + дружбой с ОСью... Это как бы пожелание совсем мечтательное... Увы, слишком многое надо знать буквально на уровне инстинктов... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 23 марта, 2007 Жалоба Поделиться Опубликовано 23 марта, 2007 Никогда не заменят :) Позвольте поинтересоваться, почему вы так считаете? :) На мой взгляд, программы подобного класса уже сейчас вполне могут заменить обычный антивирус, при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером. Могут, да, и заменяют (скажем, на моем ноутбуке), но в Сети столько тупых (простите) юзеров, что HIPS еще долго не будут составлять конкуренцию антивирусам. :) Системы наподобие SSM (ОЧЕНЬ ненавязчивой HIPS) обычно определяются простыми пользователями как одна болезнь кишечника на букву "Г"... :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 23 марта, 2007 Автор Жалоба Поделиться Опубликовано 23 марта, 2007 Могут, да, и заменяют (скажем, на моем ноутбуке), но в Сети столько тупых (простите) юзеров, что HIPS еще долго не будут составлять конкуренцию антивирусам. :) Системы наподобие SSM (ОЧЕНЬ ненавязчивой HIPS) обычно определяются простыми пользователями как одна болезнь кишечника на букву "Г"... :) Тупой(простите)юзер,который не считает SSM как болезнь кишечника на букву"Г", просит немного разъяснить,как максимально эффективно использовать вышеуказанный модуль.Может,Вы поможете,Николай? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 23 марта, 2007 Жалоба Поделиться Опубликовано 23 марта, 2007 Я его просто включил, и все. Глубоко я не забирался (SSM не главное средство защиты моей машины). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 24 марта, 2007 Автор Жалоба Поделиться Опубликовано 24 марта, 2007 NickGolovko:спасибо. наверное тему можно в оффтоп. Скорее всего больше никто не выскажется... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 24 марта, 2007 Жалоба Поделиться Опубликовано 24 марта, 2007 А почему вы, собственно, не обращаетесь на форум самого SSM? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 24 марта, 2007 Жалоба Поделиться Опубликовано 24 марта, 2007 наверное тему можно в оффтоп. Скорее всего больше никто не выскажется... Дело в том, что .ini файлы сейчас программами уже редко используются, так как теперь у них для настроек есть системный реестр + два основных .ini-файла, которые действительно еще нужно беречь, вы уже указали. Можно еще добавить файлы desktop.ini, которые система использует для хранения настроек внешнего вида каждой из папок (иконки, шрифты, фон в папке, порядок расположения файлов внутри и т.д.), так как их легко можно заменить и затем с их помощью запускать вредоносные скрипты и тогда SSM в случае замены вас об этом предупредит. А вообще, более широкое использование этого модуля, скорее всего, всё-таки больше предназначалось для Win9x систем. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 25 марта, 2007 Автор Жалоба Поделиться Опубликовано 25 марта, 2007 А почему вы, собственно, не обращаетесь на форум самого SSM? Потому-что русскоязычного форума SSM я не нашел. Saule-спасибо за помощь! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 27 марта, 2007 Автор Жалоба Поделиться Опубликовано 27 марта, 2007 Увы, слишком многое надо знать буквально на уровне инстинктов... НЕ согласен.Что именно? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Что именно? Ну, например - примерное количество процессов svchost.exe, одновременно отображаемых в Диспетчере задач :D ... Не секрет ведь, что некоторые вредоносные программы с удовольствием маскируются под системные процессы... Желательно также иметь хотя бы приблизительное представление о том, как вообще устроена ОСь, как она работает, что от чего зависит... Ну и так далее... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Что именно? Ну, например - примерное количество процессов svchost.exe, одновременно отображаемых в Диспетчере задач :D ... Не секрет ведь, что некоторые вредоносные программы с удовольствием маскируются под системные процессы... О да. Но монитор SSM - не диспетчер задач. Он видит на два слоя глубже и показывает полный путь к файлу. ;) Вот у меня 4 svchost.exe. А у вас? ;) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 (изменено) А у нас - пять штучек... Причём все - легитимные ))) Но я пользую autoruns от Марка Руссиновича. IMHO остальные подобные программы нервно курят в плавках на морозе ... P.S. Вот это тоже дюже помогает разобраться, у кого откуда ноги растут... Изменено 27 марта, 2007 пользователем Yezhishe Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 А у нас - пять штучек... Причём все - легитимные ))) Но я пользую autoruns от Марка Руссиновича. IMHO остальные подобные программы нервно курят в плавках на морозе ... Пять? Это хорошо. А Autoruns действительно неплох. Только не все видит... но с кем не бывает. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Пять? Это хорошо. А Autoruns действительно неплох. Только не все видит... но с кем не бывает. А у меня два!!! И потом, почему вы так часто говорите, не поясняя, что имеете в виду? Это всё-таки как-то не совсем тактично Или вы можете назвать Autoruns, как менеджеру автозапуска, чем он и является, более лучшую альтернативу? P.S. Кстати, можно запускаться, прописавшись и в легитимный процесс svchost.exe, путь к которому, разумеется, также соответственный. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Laren Опубликовано 27 марта, 2007 Жалоба Поделиться Опубликовано 27 марта, 2007 Пять? Это хорошо У меня их 7. Максимальное число их может быть 14. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 28 марта, 2007 Жалоба Поделиться Опубликовано 28 марта, 2007 И потом, почему вы так часто говорите, не поясняя, что имеете в виду? Упс... Виноват... Полагал по наивности, что присутствующие более или менее в теме... Опять же - вопрос настроек ОСи настолько обширен, а предпочтения настолько индивидуальны, что мне не представляется возможным писать и публиковать тут многостраничные трактаты по каждому возникшему вопросу. На что-либо конкретное с удовольствием отвечу, но снова же - только исходя из личного опыта и личных же предпочтений. Не навязывая их всем присутствующим. Но - к теме... С удовольствием назвал бы альтернативу Autoruns'у, будь знаком с нею. Пробовал много разного, но скоро уж год пользую именно эту программу, считая её наиболее подходящей (для меня лично, естественно), и периодически ставя на пробу что-либо дополнительно. (потому и позволил себе подобное выражение в адрес остальных вариантов) Что же касаемо мониторинга системы на предмет внедрения вредоносного кода в легитимные процессы, то позволю себе предложить всеобщему вниманию Safe'n'Sec - до чрезвычайности полезная программа! Особенно, если система устоявшаяся. Имею в виду - стоит необходимый набор софта и не добавляется\сносится по паре-тройке программ ежедневно... В противном случае сильно надоедает своими сообщениями :) , но если комплект софта стабилен - отслеживает малейшие изменения в системных файлах, процессах, да и не только в них.. Чем-то напоминает Agnitum Outpost (со своим контролем запускаемых приложений), но по моему личному впечатлению - смотрит несколько глубже. P.S. Надеюсь, что возможные непонятки на этом закончились :) :) ... Не люблю их... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 28 марта, 2007 Жалоба Поделиться Опубликовано 28 марта, 2007 P.S. Надеюсь, что возможные непонятки на этом закончились :) :) ... Не люблю их... На самом деле это я не вам, а Nick'у Golovko :) Из-за утверждения по поводу того, что Autoruns видит не всю автозагрузку. Т.к. даже если, предположим, это так - было бы неплохо пояснить, что именно программа не показывает. Ведь, возможно, это всего лишь чьё-то небольшое недоразумение. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 28 марта, 2007 Жалоба Поделиться Опубликовано 28 марта, 2007 А у меня два!!! :) Так не бывает. :) И потом, почему вы так часто говорите, не поясняя, что имеете в виду? Это всё-таки как-то не совсем тактично На мой взгляд, я выразился ясно. :) Или вы можете назвать Autoruns, как менеджеру автозапуска, чем он и является, более лучшую альтернативу? Вы делаете поспешные выводы. :) Я не говорил, что Autoruns видит не всю автозагрузку. Я сказал, что он не все видит. Не так давно я встретил упоминание, что Autoruns не видит ключи с пустым именем. Если желаете, могу уточнить. ;) Менеджер автозапуска AVZ, кстати, был существенно дополнен в версии 4.24 и, пожалуй, уже может составлять Autoruns конкуренцию. Однако против Autoruns я ничего не имею. :) P.S. Кстати, можно запускаться, прописавшись и в легитимный процесс svchost.exe, путь к которому, разумеется, также соответственный. В контексте обсуждения имеем в виду, что потребуется давать разрешение на DLL Injection в System Safety Monitor. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 28 марта, 2007 Автор Жалоба Поделиться Опубликовано 28 марта, 2007 А у меня два!!! А у меня меньше трех ну никак не получается;).Вообще svchost-слишком шустровата чтобы иметь ее больше трех ИМХО. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.