Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Флейм раздела «Microsoft Windows» (Часть 3)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие ветки

Эта тема предназначена для разговоров и споров вокруг ОС семейства MS Windows.  
Здесь и только здесь можно беседовать на отвлечённые темы (желательно, но не обязательно, чтобы они касались ОС).  
Если у вас есть конкретная проблема — это не место для неё: пользуйтесь фильтром и, в конце концов, создавайте новую тему.
Не стоит задавать здесь вопросы, кроме тех, на которые гарантированно можно ответить одной строчкой (забытая строчка из документации, команда, и т. п.). Для более сложных вопросов нужно открывать отдельные темы. Кроме того, здесь можно уточнить, в какой теме/форуме нужно задать тот или иной вопрос.
 
Не рекомендуется заниматься сравнением в любой форме ОС Windows с другими ОС, это следует делать в теме «Флейм форума ОС»

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 18:31 13-04-2017
2as

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Даже вирустотал уже знает

да, по крайней мере, аж с 21 июня сего года

Всего записей: 3285 | Зарегистр. 09-09-2003 | Отправлено: 09:50 16-07-2018 | Исправлено: 2as, 09:50 16-07-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Лева, ты о чем спрашивал?

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 09:54 16-07-2018 | Исправлено: KLASS, 09:55 16-07-2018
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
YuS_2

Цитата:
 Что это за политика "секретных" опций и команд - недосмотр при документировании или преднамеренное действие, вот это большой вопрос.  

 
Отсутствие "секретных" команд - особенность движка Powershell, называется discoverability.  (Есть лишь одно исключение - динамические параметры, которые по этой причине не рекомендуются к употреблению)
Всё что является командлетом - будет опубликовано движком для пользователя коммандлета, включая "справку основанную на комментариях" (если автор командлета её заполнил).
 
Никто и нигде больше не обещал такого: документирование любой программы - это дополнительный и затратный гимор, которым никакие разработчики заниматься не любят. Некоторые - не будем показывать пальцем - даже соблюдение нехитрых спецификаций Powershell считают невыносимым оброком, которого всячески избегают.
 
Иногда майки через несколько лет сажают специальных техписов писать доки на технете. (А бывает что создают репу на гитхабе и публикуют призыв к сообществу бесплатно поработать над документацией)
 
Даже если бы майки и пообещали полноту покрытия опций теми техписами - я б им не поверил.
Но у них хватает ума таких обещаний не давать.
 
 
 
Добавлено:
2as

Цитата:
Даже вирустотал уже знает   да, по крайней мере, аж с 21 июня сего года

 
Чего он знает? Хэш определённого скрипта?  
Дык можно обфусцировать или хотя бы вставить один лишний пробел.
Мимикац-то штука давно известная...
 
В винде есть такое AMSI (антималваре сканер интерфейс). Надо смотреть, не отключают ли её принятые вами методы отключения дефендера.
 
Это платформа, которой пошик отдаёт на проверку скрипты перед самым исполнением, а та анализирует установленным в систему антивирем.

Всего записей: 10726 | Зарегистр. 14-10-2001 | Отправлено: 11:56 16-07-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
не отключают ли её принятые вами методы отключения дефендера.


Цитата:
Как все нормальные люди, я склонен отключать нахрен Windows Defender из-за его назойливост

Чего он знает-чего тогда спрашивал, если

Цитата:
или хотя бы вставить один лишний пробел

Пошик после этого что?

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 16:04 16-07-2018
2as

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT

Цитата:
Надо смотреть, не отключают ли её принятые вами методы отключения дефендера.

Лучше комплексный подход, что подразумевает полагаться не только на инструментальные средства (которые, кстати, доказали свою полную беспомощность в отношении тех же самых шифровальщиков)  и возможных принципиально новых угроз.
 
Организационные мероприятия в этом плане важнее: например, взять за правило запускать неизвестные скрипты)в песочнице (отдельно выделенный для этого комп или на виртуальная машина. (Сам предпочитаю виртуализацию).
Первая по очевидности вещь для разработчика и экспериментатора.
 
Вторая, не работать под админом (или юзером имеющим неограниченные полномочия).
 
Ну и третье - всегда иметь возможность исправить даже катастрофические события. Вплоть до физического разрушения носителя информации.  
 В этом плане лучше архивирования ничего еще не придумано. Лучше в разнородных средах - оригиналы допустим под Виндой,  архивы под Юниксами, и наоборот соответственно. Обязательно архивирование автоматизированное, т.е максимально роботизированное, функционирующее без оглядки на квалификацию, настроение, пунктуальность пользователя (админа).
 
Соблюдение этих трёх несложных правил позволит Вам не лезть так глубоко в дебри дефендера, тем более факты его глючности в виде пропусков и ложных срабатываний хорошо известны.
К тому же он закрывает далеко не весь спектр угроз как вообще функционированию ИС, так и пользовательским данным в частности.

Всего записей: 3285 | Зарегистр. 09-09-2003 | Отправлено: 16:09 16-07-2018 | Исправлено: 2as, 16:12 16-07-2018
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KLASS

Цитата:
Пошик после этого что?

 
Ты писал о VirusTotal, кажется?
Который научился из своего облака лаять на содержимое конкретного URL.
Пошик тут вообще не при чём.
 
А вот при локальном запуске именно пошик стучит на каждый скрипт "внутреннему полицаю" (AMSI) и тот может предотвратить его исполнение.  
Причём скрипт отдаётся не в текcтовом виде, а в виде AST (т.е. пробелом или зашифрованным исходником полицая не обманешь)
 
Запущенные с элевацией VBS и батники тоже могут скачать любую хренотень и запустить в обфусцированном виде.  
(Ну, почти любую: чтобы обычный антивирь проспал заразу важно обойтись без записи на диск.)
Но с полицаем они не умеют сотрудничать.
 
AMSI это то ли часть дефендера, которая должна работать даже тогда, когда установлен сторонний антивирус, то ли базовый для разных антивирей сервис.
Потому кто отключает дефендера, но при этом не уверен в надёжности бункера в котором окопался, и рассматривает другие антивири  - проверяйте, чтобы AMSI оставался включён.
 
 

Всего записей: 10726 | Зарегистр. 14-10-2001 | Отправлено: 19:54 16-07-2018 | Исправлено: LevT, 20:01 16-07-2018
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LevT
Да я про то уже все знают и 2as прикололся на эту тему.

Всего записей: 7219 | Зарегистр. 12-10-2001 | Отправлено: 20:02 16-07-2018
LevT



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Организационные мероприятия в этом плане важнее: например, взять за правило запускать неизвестные скрипты)в песочнице (отдельно выделенный для этого комп или на виртуальная машина.

 
Я всё время живу в недонастроенной виртуалке.
Которую развиртуализую, запуская на физическом железе и из-под неё начинаю настраивать следующую.  
(и так на пяти штуках SSD: я уже и забыл что там осталось ценного - а отформатировать жаль)
 
Всё больше кусков у меня автоматизировано - знаю и отчасти использую с десяток гитхабовских инструментов - увы, никак не могу остановиться на чём-то одном
 - но: хотел бы автоматизировать весь этот жизненный цикл, вместе с созданием мультибута и перезагрузками..
 
но... покамест только фантастически лоханулся весною, и еле разгрёб июньский ппц.
 
 
 
Добавлено:

Цитата:
 В этом плане лучше архивирования ничего еще не придумано. Лучше в разнородных средах - оригиналы допустим под Виндой,  архивы под Юниксами,  

 
Я как раз на работе позаимствовал 4Tb диск и накачал туда кучу эксклюзива (собирался отнести назад и залить на СХД)
 
Так всё и зашифровало...
Почти всё расшифровал... но теперь нужно много мелкой ручной работы, чтобы удалить более не нужные шифрованные файлы.
А меня всё ломает этим заняться.
 
 
 
Добавлено:
2as
 
Вот пример юникс-бэкдора, аналогичного обсуждаемым возможностям PS.
Суть та, что если зловред уже запущен с правами рута, "поздняк метаться".
 
Однако... майки вот позаботились зарелизить фраерлова на уровне AST Powershell

Всего записей: 10726 | Зарегистр. 14-10-2001 | Отправлено: 20:07 16-07-2018 | Исправлено: LevT, 20:46 16-07-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Флейм раздела «Microsoft Windows» (Часть 3)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru