Erekle
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата: - Вы абсолютно не понимаете, что такое "песочница" и что такое виртуальная среда Что тут тогда говорить....
- Понимаю... |
Согласен, со сравнением несколько не так выразился. Имел в виду "типа" - то есть совершать действия без доступа к критическим параметрам реальной системы; и дело не только в том, что метод эффективный и разумный для большинства, но и в том, что нужный уровень защиты иначе не обеспечен, и это не только Касперского касается.
Вообще-то, рад, что уже не подозреваете меня в админстве,  спешу окончательно уронить мою "репутацию" об пол: я - "компютерщик" в моём офисе, и этим всё сказано.  Из-за того, что требуется не ограничивать пользователей сверх минимума, и то индивидуально, у меня даже "домена Потёмкина" нет. В этом свои минусы и плюсы. А попал туда не по своей специальности историка, а благодаря сильного хобби к компу. Но если я более серьёзно заинтересовался системой несколько лет назад, то потому, что при посещении безвредного детского сайта ворвался троян, уложил Симантека-клиента в.10 и Аутпост в постель (в смысле - созданные им папки Бэкап), сам присвоил их имена, ярлыки, прописался везде вместо них, а они, оставаясь пустыми иконками в трее, ничего и не поняли. Так меня интерес взял, не злость: было смешно, что я защитил их от насилия.
Так почему они не поняли? Почему КИС, имея всё то, неэффективен в итоге? Можно ведь заострять внимание и на это в ответах. К примеру - КИС меня не нюхал, но других, как видим, плохо обнюхивает, вот и делаю вывод.
На КИС не наезжаю, а наоборот, - хочется, чтобы тот, располагая всем, что можно представить, справлялся с угрозой на должнем уровне; если уместна аналогия, раз многого дано, многое и ожидается, ведь с какого-нибудь рядового антивируса с сигнатурами такого спроса не будет.
Вычислить действия. Два года назад, кажется, вошла мода на типовые трояны с ДЛЛ-кой в Систем32, копией с расширением ДЛ_, и пропиской в службы и/или Винлогон. Плюс усложненные с перепроверкой ключей в реестре и пересозданием файла в памяти. Тогда ХИПСов и песочниц не было, или было в зачатке. Но не надо было быть гением, чтобы в поведенческий анализатор встроили алгоритм, что программа+процесс, совершающий эти несколько действий, крайне подозрительны и их следует притормозить и сообщить пользователю (в случае с вовлечением важного системного процесса уже поздно и сложно, но повторяю: с какой стати это вовлечение позволено какой-то там программке? Или, к слову, файловый вирус детектируется как определенный Салити в Svchost, но не детектируется по самому факту изменения этого файла? Разные методы изменения? Почему не протоколировать все и предугадать новые?). Прошло два года, но и сейчас какой-нибудь АВ детектирует такие заразы не иначе как сигнатурно?
Если известны шаги, предпринимаемые определенной, "хитовой" заразой, почему не включить этот сценарий - не в сигнатуры, конечно, а в... запутался уже, в какой модуль; если вирусописатель меняет детали, почему не вносить изменения с помощью... ну, соответстующей облачной технологии. Или всё это есть? Или работает эффективно, а я делаю поклеп?
Не дебилы вендоры, но - хоть НОД, хоть Икарус - почему они, а не другие?
Добавлено:
По ссылке с anti-malware.ru. Хотя обычный пользователь всё это вряд ли сделает.
Там ещё сказано, что "HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались." Значит, для среднего уровня нужно эти действия прописать в полу- или автоматические, новые места добавлять не юзерам на форуме, а аналитикам, взвешивать вероятность совпадения с легальным софтом, порядок принятия решения соразмерно с каждым ключом - с Run в щадящем режиме, с некоторыми - безоглядно и без спроса.
МНе-то что, я радуюсь, когда ХИПС спрашивает - ощущаещь, что держишь руку на пульсе. |
Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 04:04 06-02-2010 | Исправлено: Erekle, 10:14 08-02-2010 |
|
На счёт проактивки полностью согласен.
Что тут тогда говорить.... 
