Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Как защититься от вирусов в windows, которых нет в антивирусных базах?
 
Чтоб про этом пользователь не ограничивал себя в запуске программ и посещении сайтов. Убедился, что антивирусы плохо защищают. KIS 2012 получше защищает, чем другие антиивирусы, но всё равно не то.
Не пишите "не лазить по порносайтам". Понятно, что чем больше ограничений, тем меньше шансов заразиться, но как много таких ограничений будет? Если пользователь софт качает с официальных сайтов и не запускает софт из ненадежных мест, то от чего ему защищаться?
 
вы хотите защититься от вирусов не используя никаких методов зашиты?  :oops:
это нереально. 100% защиты не даст ни один антивирь.. В нынешней сложной обстановке угрозы могут прийти с любой стороны и дальше будет еще хуже. Поэтому необходимо предпринимать все возможные как технические, так и организационные меры, например:
- установить надежный полнофункциональный антивирь и ежедневно его обновлять
- своевременно обновлять винду и наиболее часто используемый системный софт (Java, Flash player, Adobe Reader (я рекомендую Foxit Reader)
- отключить автозапуск на всех внешних носителях
- сразу удалять письма от неизвестных отправителей
- для повседневной работы (интернет-серфинг, работа с документами, внешними носителями) использовать ТОЛЬКО ограниченную учетную запись. Админскую учетку использовать ТОЛЬКО для установки НАДЕЖНОГО ПРОВЕРЕННОГО софта и изменения конфигурации системы.
- не лазить по порносайтам  :!:
- не качать софт с неофициальных сайтов  :!:
- провести с пользователем разъяснительную беседу по поводу угроз, их последствий и правил безопасной работы
Изменено: Сетевой - 14.10.2011 08:04:31
 
По вашему "запускать то, что хочешь" и "надёжная защита от вирусов" - несовместимые вещи? Я бы хотел запрещать программам и установщикам выполнять определённые действия. Кроме malware defender, defence wall - что посоветуете?

Если следовать вашим советам (не запускать программы, которые могут быть заражены) - от чего защищаться (кроме вирусов, проходящих через уязвимости браузера)? Я считаю что защита - это когда запускают программу, а она заражена, и этой программе либо запрещают запуск (если там вирус, который есть в антивирусной базе), либо запрещают выполнять потенциально вредоносные действия. А если эти программы не запускают, то это по-моему не защита, а отказ от использования чего либо.
Создатели подушек безопасности не говорят людям "Подушки 100% гарантию сохранения вашей жизни не дадут, так что ездите на общественном транспорте". Автомобилисты же не будут ездить на общественном транспорте только потому,что есть вероятность погибнуть в автокатастрофе!

Если б пользователи пользовались только лицензионныи софтом, вирусов было бы намного меньше. С другой стороны, это их выбор? Хотят нарываться на вирусы - пусть нарываются?

Можно использовать выделенный компьютер для запуска программ из ненадежных источников. Программы и данные для работы на другом компьютере будут надёжно защищены. Хотелось бы выделенный тоже защищать, хотя это и сложно.
Изменено: Arwed Arwed - 14.10.2011 12:41:30
 
Сетевой, Абсолютно поддерживаю. Спасибо что структурировал основные принципы и меры предотвращения заражения.

Цитата
По вашему "запускать то, что хочешь" и "надёжная защита от вирусов" - несовместимые вещи?
ДА, они ортогональны.
Цитата
Я считаю что защита - это когда запускают программу, а она заражена, и этой программе либо запрещают запуск (если там вирус, который есть в антивирусной базе), либо запрещают выполнять потенциально вредоносные действия.
Это ты расскажешь RootKit'у попавшему через 0-day уязвимости. Поверь, в такой ситуации спасет ТОЛЬКО привинтивные меры. Отловить на этапе заражения в такой ситуации почти не возможно при текущем уровне антивирусных технологий.
Цитата
Создатели подушек безопасности не говорят людям "Подушки 100% гарантию сохранения вашей жизни не дадут, так что ездите на общественном транспорте"
А ведь ты _абсолютно_ прав. Они не спасают в 100% случаев, они просто снижают печальную статистику. Т.е. снижают _вероятность_.
Цитата
Если б пользователи пользовались только лицензионныи софтом, вирусов было бы намного меньше
Меньше но на такой мизерный процент что никто бы и не заметил... Примеры и свои доводы приводить не буду, а то мы разведем тред а примеров у меня достаточно. Просто поверь.

Чтобы было можно делать почти все что захочется я могу предложить не самое удобное, но вполне действенное решение. Основной системой ставятся *nix система. В систему ставишь виртуальную машину. На виртуальную машину ставишь Windows. После настройки виртуалки и установки антивируса, приклада и пр. делаешь снепшот и откатываешься на него каждый раз по завершению работы в Windows. Документы и работу хранишь естественно во вне виртуальной машине.
Такой подход капитально усложнит попадение вируса, ибо если все было правильно сделано и система до снепшота не была скомпрометирована, на момент начала работы она будет "стерильна". На основную систему вирус не попадет из виртуалки по причине различия в платформах даже если во время работы вирус ативировался в виртуальной машине. Есть конечно нюансы, но более кандового способа я пока не встречал. Защита приближена к 100%. Если подходит могу разъяснить основные моменты "стерильной" установки и настройки.
 
Раз мы говорим о серфинге в Интернет, то не надо забывать, конечно же и про сам основной инструмент - браузер. Браузер так же как и все ПО должен обновляться, должны обновляться доп.компоненты (пр. Adobe Flash Player). Если это Firefox, то желательно использовать Adblock Plus (ABP), NoScript и т.п.
Далее, так как тут прозвучало "пользователи", то скорее всего речь идет о некой организации.
А значит для безопасной работы пользователей в Интернет трафик должен идти по пути (уж хотел добавить "по пути у которого есть Сердце" по Кастанеде :-) ) через FW, антивирусный шлюз и IPS.

Вот как-то так.. Из области best practices )
И еще, если не полениться, то прям на этом же форуме данная тема была приподнята не раз, можно поискать и сделать полезные выводы.
Изменено: jungle_vnd - 14.10.2011 15:45:29
 
Используйте виртуальную машину. Не обязательно за основу брать nix системы, вирус из виртуалки не вылезет и за нос не укусит.
Берите VirtualBox, он бесплатный: http://download.virtualbox.org/virtualbox/4.1.4/VirtualBox-4.1.4-74291-Win.exe
Надеюсь, полезный навык установки Windows вы имеете. Под виртуалкой данный процесс ничем не отличается. Проверяйте под ней подозрительные файлы, а можете и вовсе перекочевать в нее.
 
Цитата
Не обязательно за основу брать nix системы
Ну я рассмотрел параноидальный случай. Так что с необязательностью согласен. НО...
Цитата
вирус из виртуалки не вылезет и за нос не укусит
За нос то он не укусит, но между виртуалкой и ОС из под которой запущена виртуалка обычно есть сетевое соединение, а вот это уже то через что вирусы могут и укусить. Для исключения подобной ситуации и рекомендую использовать *nix. Можно конечно и массу других решений применить, но я упоминал что решение кандовое. :)
На самом деле все зависит от личных навыков и от поставленной задачи. При хорошей интуиции и отличных познаниях во множестве областей IT можно вообще на непатченой Винде сидеть и ничего не поймать за много лет. Есть у меня и такой пример. Но это исключение из статистики нежели доказательство не опасности вирусов или защищенности ОС.

VirtualBox - хорошая виртуалка, может не такая красивая и навороченная как Parallels или VMware, но свои функции выполняет на 5+ и кушает ресурсов меньше коммерческих (как раз из-за отсутствия наворотов). Так же она кросс-платформенная.

Цитата
Проверяйте под ней подозрительные файлы
согласен и собственно сам так и делаю. Не прогадал ниразу. А для отдельных паранойиков можно в виртуалке подозрительное приложение запускать в программке SandBoxie.

Кстати, как совет топикстартеру, рассмотрите вариант походов в интернет через браузер запущенный в SandBoxie. Вариант достаточно надежный при разумных требованиях к безопасности и наличии  навыков и теоретических знаний в IT сфере. Все пользовавшие подобную матрешку не разочаровывались. Подозрительное ПО нужно там же запускать.
 
Цитата
Equilibrious пишет:
согласен и собственно сам так и делаю. Не прогадал ниразу
Как вы анализируете программу? Я говорю про вирусы, которых нет в антивирусной базе! И если файловая защита антивируса написала "угроз не обнаружено", это ещё ничего не означает! Может там новый вирус, которого нет в базах (или старый модифицированный). Malware это или нет - решает пользователь, разрешая или запрещая программе выполнять определённые действия.

Незаражённые и зараженные программы часто выполняют одни и те же действия. Только в первом случае это делается без ведома пользователя.

Я так понимаю, простым пользователям надо следовать руководству по настройке Microsoft Windows XP и Microsoft Windows Server 2003 для повышения уровня безопасности и максимально эффективной защиты от вирусов. А анализ программ оставить для вирусных аналитиков. В касперском есть "контроль программ", но он только специалистам помогает.

У меня на компе были винлоки, вирусы, я начал стараться не нарушать правило из того руководства "Блокирование замусоривания системы", вирусов стало заметно меньше. Правда ограничений стало много - по порно сайтам не лазать, пользоваться только лицензионным софтом и с официальных сайтов, никаких пираток, кейгенов, кряков и т.д.

Есть какие-нибудь программы, позволяющие следить за тем, что делают программы и что в системе происходит? Чтоб простым пользователям было понятно. Например, "низкоуровневый доступ к диску", о котором HIPS сообщает, ни о чем не говорит. Что конкретно собирается сделать программа - не уточняется. Может она хочет MBR загрузчик переписать.

Я стараюсь соблюдать правило из того руководства "Блокирование замусоривания системы" (винлоки перестают появляться и многие malware тоже). Правда, ограничений много. На порно не ходить, кряки, кейгены, no cd, пиратки не качать и т.д. Такое ограничение многие пользователи не потерпят, поэтому нарушают. К тому же, не все порно сайты, кряки и т.д. заражены, может повезет, а может и нет.
Изменено: Arwed Arwed - 17.10.2011 17:43:05
 
Цитата
Arwed Arwed пишет:
Как вы анализируете программу?
Ну на предмет появления всяких разных непонятных файлов во всяких очень нежных местах системы. Например. :) Это все построено на личном опыте и интуиции. А так же опыте работы с конкретным ПО которое и запускается для теста на вшивость.
Цитата
Arwed Arwed пишет:
Malware это или нет - решает пользователь, разрешая или запрещая программе выполнять определённые действия
Да, это решает пользователь. Не выполнять действия а заражена  или не заражена программа. А на заражение реакция одна - откатить снепшот и выкинуть дистриб.
Цитата
Arwed Arwed пишет:
В касперском есть "контроль программ", но он только специалистам помогает.
Он еще и неспециалистам дает знания и пищу для мозгов. Я когда-то себе с дуру поставил Agnitum FireWall. Столько информации о телекоммуникации и принципах работы сети я до этого не получал. Именно этот случай дал мне толчок изучить подробнее работу сети и программ в ней. А так же наглядные иллюстрации. На тот момент я с натягом мог считаться продвинутым пользователем.
Цитата
Arwed Arwed пишет:
простым пользователям надо следовать руководству по настройке Microsoft Windows XP и Microsoft Windows Server 2003
Смотря какому руководству следовать. Некоторые руководства вообще бред сивой кобылы. А некоторые просто не той тематики которой требуется. В итоге грубо говоря, основная угроза - попадение вредоноса через сменные носители, а защищают от вредоносов в локалке. Результаты себя ждать не заставляют.
Цитата
"Блокирование замусоривания системы", вирусов стало заметно меньше. Правда ограничений стало много
Знаете, при прогулке по минному полю ограничений заметно больше должно выполнятся... :) Безопасность обратно пропорциональна удобству.
Цитата
по порно сайтам не лазать, пользоваться только лицензионным софтом и с официальных сайтов, никаких пираток, кейгенов, кряков и т.д.
А я себя как-то не ограничиваю... Однако вирусы как-то не лезут. Последний раз он у меня был года 4 назад с моего осознанного действия и я сразу знал что заражен. А предпоследний 9 лет. :) Тут надо просто к разному контенту подходить и по разному. Потому как угрозы в разных ситуациях приходят с разных сторон.
Цитата
Есть какие-нибудь программы, позволяющие следить за тем, что делают программы и что в системе происходит?
Есть Ashampoo, SysMon и их подобия. Однако сразу с лету там понятно мало что будет.
Цитата
Чтоб простым пользователям было понятно
Боюсь тут только под себя или практически не реально. Ибо простота смертного разнится от смертного к смертному.
А пока не набили шишек и не наступили на грабли или не имеете хорошего консультатнта придется терпеть неудобства. Вы же терпите поездку в общественном транспорте пока водить машину не научились и ее не купили. А научится ходить по интернету и запускать "разные" программки безопасно тоже требует навыков, только права не выдают. :) Хотя, выдают - Админские. :)
Изменено: Equilibrious - 17.10.2011 18:35:46
 
2 Arwed ArwedПоставленный Вами вопрос не имеет решения в заданных Вами условиях. Самое грамотное решение было предложено Equilibrious, но даже оно требует определенных навыков от пользователя, что нарушает постановку задачи.
Удобство работы, при условии сохранения максимальной защищенности, тем выше, чем грамотнее и осмотрительнее пользователь.
 
Equilibrious, вы написали, что анализируете программу на предмет появления всяких разных непонятных файлов во всяких очень нежных местах системы. Когда я устанавливаю программу из надежного источника, обычно создаются много всяких файлов и происходит много изменений в системе, однако это не означает ,что программа заражена! По каким сообщениям проактивной защиты антивирусов можно понять, что программа вредоносная и её надо поскорее удалить, если файловая защита ничего не обнаружила? И невредоносные, и вредоносные создают, изменяют, удаляют системные файлы, параметры автозагрузки, системные службы (контроль программ в KIS), изменяют ключи реестра и т.д. Насмотревшись этих табличек в KIS, я ещё больше путаюсь, так как все программы часто делают похожие действия!

Как вариант - можно устанавливать программы на диск D, а потом восстановить из бэкапа системный диск с установленными программами и всеми настройками системы. Если malware проникла на системный диск, она будет удалена, а программы будут работать (не все правда).  Или заменить папку windows, будут удалены все автозагрузки. Хороший, на мой взгляд, способ удаления malware, винлоков. Есть минус - некоторые программы придется переустановить/перенастроть, но таких немного будет. Надежнее и быстрее, чем сканировать и лечить антивирусами на мой взгляд.
 
Цитата
Arwed Arwed пишет:
По каким сообщениям проактивной защиты антивирусов можно понять, что программа вредоносная и её надо поскорее удалить, если файловая защита ничего не обнаружила?
Цитата
Equilibrious пишет:
Это все построено на личном опыте и интуиции. А так же опыте работы с конкретным ПО которое и запускается для теста на вшивость.
Внимательнее читаем.

Цитата
Arwed Arwed пишет:
Как вариант - можно устанавливать программы на диск D, а потом восстановить из бэкапа системный диск с установленными программами и всеми настройками системы.
:D Я тоже так думал лет 14 назад. :) Можете попробовать, получите массу ценного опыта и целое поле граблей. Но есть варианты лучше...

А теперь вместе читаем то что я писал ранее и делаем выводы:
Цитата
Equilibrious пишет:
...можно в виртуалке подозрительное приложение запускать в программке SandBoxie.
Кстати, как совет топикстартеру, рассмотрите вариант походов в интернет через браузер запущенный в SandBoxie. Вариант достаточно надежный при разумных требованиях к безопасности и наличии навыков и теоретических знаний в IT сфере.

Цитата
Equilibrious пишет:
Цитата
Есть какие-нибудь программы, позволяющие следить за тем, что делают программы и что в системе происходит?
Есть Ashampoo, SysMon и их подобия. Однако сразу с лету там понятно мало что будет.

Попробуйте указанные приложения и потом будем обсуждать.
 
О блин... Чет я туплю. Есть очень хорошее решение Вашей проблемы на корню. Называется оно "Загрузка ОС по сети" Т.е. Есть сервер на котором развернута система загрузки по сети рабочих станций. Документы хранятся на нем а все остальное новое и чистенькое запускается с сервера и работает на компе. На комп даже жесткий диск ставить не надо. Просто проводок в разетку и в BIOS выставить загрузку из сети.

Есть только маленький минус - это решение корпоративное. Для дома это дорого и специфично. Требует одного хорошо обученного сисада в штат.
Изменено: Equilibrious - 03.11.2011 16:40:25
 
В песочнице программы с глюками работают, установить программу невозможно, игры часто не запускаются!

Насчет вредоносных программ (которых нет в сигнатурных базах). Если пользователь знает о том, что делает программа - то она уже получается не вредоносная, так как действия выполняются с разрешения пользователя? Удаление документов без разрешения -это вредоносное действие. Но если у пользователя запросят разрешение (когда он сам их удаляет через проводник, или программа запрашивает разрешение на удаление, или сообщает о попытке удаления) - то уже не вредоносное?

Что такое по-вашему вредоносная программа? Например, на мой комп проник троян, ворующий пароль для аськи, а у меня нет аськи, поэтому воровать ему нечего и мне он не навредит. Тем, у кого есть аська, он навредит.
Чёткого определения по-моему нет.
Изменено: Arwed Arwed - 09.11.2011 00:12:21
 
Arwed Arwed, Песочницу настроить можно, а то что там заработает все никто не гарантировал.

Цитата
Если пользователь знает о том, что делает программа - то она уже получается не вредоносная, так как действия выполняются с разрешения пользователя?
Цитата
Что такое по-вашему вредоносная программа?

Вам _совет_ нужен или курс по информационной безопасности? Советы Вам дали.
Ваши вопросы легко исчезнут если Вы прочитаете соответствующий материал.

Мучаем www.google.com и ru.wikipedia.org по следующим словам и выражениям и читаем, досконально проходя по всем ссылкам как в середине статей так и в конце:
компьютерный вирус
вредоносная программа
уязвимость компьютерная безопасность
уязвимость нулевого дня

Читаем:
wiki.drweb.com
viruskill.ru
www.securelist.com
Ходим по разделам и продолжаем читать.

Уж извиняюсь за грубость, но Вы перешли грань _совета_ и Ваши вопросы требуют прочтения курса. В рамках форума это не возможно. Читайте, что указанно выше и будем продолжать конструктивный диалог.
 
Читаю и  :o выход один виртуалка под nix иначе персональный 0-day rootkit ;)  Хотя и этого мало будет :|  вдруг из виртуалки вирусы выйдут и nixы положат, однозначно поможет только залить бетоном системник и зарыть метров так на 100-200 и то мало ли... лучше сразу застрелится :D .
Автор ты Зоя Космодемьянская? Если нет, то и не заморачивайся, откажись от пираток обновляйся вовремя и не запускай что не надо. Всё. Пользуюсь таким методом давно, к примеру на компе с XP система живёт уже 6й год 8) . Нет возможности использовать платное легальное по переходи на Linux.
 
Цитата
pofig пишет:
вдруг из виртуалки вирусы выйдут и nixы положат
Не внимательно читали. Говорилось о том что для параноидальной защиты необходимо обеспечить разницу в платформах, чтобы снизить риск заражения практически до нуля.

Я согласен с тем, что необходима разумность. Но топикстартер очень хотел абсолютную защиту раз начал спрашивать о защите от неизвестных атак. А в этой ситуации только паранойя и превентивные меры. Теоретическая база описана. Далее у кого какая грань разумности. :)
Изменено: Equilibrious - 05.12.2011 13:56:14
 
Есть неплохое решение, использовать для веб серфинга виртуальную машину. Тем самым изолируя информационное пространство.
 
Есть очень приятная статья по теме на хабре. Советую почитать. Называется "Батники против эксплойтов".
http://habrahabr.ru/company/kaspersky/blog/137304/
 
для тех кому лень читать статью:
команда icacls для пользователей Vista и выше - решение ваших проблем с браузерами и прочими сетевыми клиентами (если доделаете батник до конца), НО это не решит 0-day rootkit. В случаи с паранойей и отсутствием антивируса - только песочница.
Изменено: [mad]Mega - 02.02.2012 12:34:40
Страницы: 1 2 3 След.
Читают тему