Работа "из-под диспетчера задач".

Введение

Ваш компьютер должен содержать достаточно надежный "софт" против вирусов и подобной гадости. Бояться осуществлять навигацию по инету - глупо. Все равно, если вас будут пытаться "заразить" вирусами, то вы голыми руками ничего не сможете предпринять.

Защищать вас будут не ваши "голые руки", а те специализированные программы, которые нужно заблаговременно поставить на ваш комп. Если набор таких программ окажется достаточно хорошим - то вам никто ничего удаленно не сделает.

Абсолютную гарантию дает, как известно, только страховой полис Но даже по нему вам могут отказать в выплате, в случае наступления "страхового события".

Вы не можете быть корифеем на все 100 % в деле защиты от вирусов. Но что приятно - это сознание факта, что атакующий - тоже не бог, и тоже знает и умеет далеко не все... Иначе щас был-бы уже Биллом Гейтсом - а он до сих пор фигней страдает...

Я например, с некоторых пор безбоязненно тыкаюсь в подобные ссылки (про которые пишут что они распространяют вирус). Потому что хочу научиться защищаться от атак, а не избегать их не понимая сути. И почти всегда уверен, что ничего серьезного мне не смогут сделать. А желающих "положить" мой круглосуточно раздающий HTTP-сервер достаточно. Давно уже положили бы, если бы смогли.

*****************************************************************
Как Вас заражают вирусом через интернет ? Как это происходит ? (излагаю как сам это понял в результате экспериментов)

1. Вы заходите при помощи вашего браузера: Internet Explorer, или Mozilla, или Opera и т.п. - на какую-нибудь страницу какого-нибудь сайта. Или при помощи другой программы.

2. Эта страница (как и остальные) - реализована у них в виде кода. Этот код содержит текст страницы, указания какими цветами и шрифтами все выводить, информацию о разметке страницы, как правило, ссылки на другие IP-адреса для скачивания картинок, для счетчиков числа посещений...

3. В текст кода страницы можно напихать и "вредоносных скриптов". Пользователь их не видит. Насколько я понимаю, чаще всего страницы кодируются с использованием языка программирования Java-script, или более мощного: JAVA Чтобы вредоносный код выполнился на вашем компьютере - нужно сперва его каким-то образом передать на ваш комп.

4. Код страницы загружается с IP того сайта, где вы открыли страницу. На ваш компьютер "прилетает из интернета" в виде файла обычно с расширением .htm и целой группы мелких файлов к нему (графические файлики и не только). Можно эти "прилетающие к вам на комп" файлы просмотреть - они записываются к вам на комп в папку:

Documents and Settings > Имя Вас - как пользователя >
Local Settings > Temporary Internet Files.

Последние две папки - скрытые, их видно в программе "FAR"например, или в проводнике Windows, если поставить флажок чтоб было их видно.

Итак, помимо файлов с расширением .htm к вам на комп могут прилетать файлы и с другими, самыми разными расширениями.

Далее, некоторые из этих файлов начинают "выполняться" уже у вас на компе.
Например, самостоятельно "распаковываться из архива", или например, копировать какой-нибудь файлик из этой временной папки в папку
WINDOWS\system32. Вирус можно так замаскировать в этих "прилетевших к вам файлах" - что ни один антивирус не обнаружит. Например, "накрыть белым шумом" - то есть использовать известный прием шифровки "при помощи одноразового блокнота".

*******************************************************************
Что неприятно в этом факте ?

- Неприятно то, что если никак не контролировать действия этих "прилетевших к вам из инета" (с сайта на котором мы открыли страницу) файлов - то щас они вам наделают делов.... Таких делов, что вы ахнете...

На страже обычно стоит антивирус, который пытается проверить эти вредоносные файлы еще в архивах, а если не умеет этого делать - то позволяет им распаковаться, расшифроваться - и после этого проверяет. Если найдет в этих файлах признаки вируса - то прибьет вирус. Если не найдет - то пропустит вирус.

Кроме антивируса, можно в некоторых браузерах запретить скачиваться файлам с определенными расширениями (например, .exe и .com). Что абсолютно бесполезно, так как атакующие уже научились исполнять файлы даже с расширением .tmp или .~ (см. пояснение дальше)

Кроме этого, можно запретить на своем компе (в своей программе-браузере) исполняться скриптам написанным на языках Java-script и Java. И Active-X.
Но на практике, если запретить Java-script хотя-бы - то большая часть сайтов перестает работать, поэтому приходится все разрешать.


*******************************************************************
Что приятно ?

Приятно то, что для нанесения вашему компу вреда, вредоносный код должен сперва успешно "исполниться". И если антивирусы могут поймать только те вирусы, которые им на данный момент известны (добавлены производителем в "антивирусную базу"), то существует еще другой тип программ.

Эти программы могут вас защитить как от известных вирусов, так и от тех, которые еще в природе не написаны.

Программы этого класса применяются в сфере банковской безопасности например. Они действуют по принципу: все что в явном виде не разрешено - то запрещено. Называются "диспетчеры процессов". Диспетчер процессов разрешает выполняться только тем процессам, сигнатуры (характерные последовательности байтов) которых мы ему разрешим.

А точнее, он подсчитывает "защищенную по алгоритму MD5" контрольную сумму всех разрешенных для исполнения файлов. При подсчете контрольной суммы использует и "полный путь" к файлу. Так что тот-же выполнимый файл из другой папки - не выполнишь, пока лично не добавишь разрешение.

*******************************************************************
Запущенный диспетчер процессов "задает пользователю вопросы" вида:

- этому процессу разрешить выполниться ?
- а этому ?
- процесс такой-то хочет выполниться с параметром таким-то. Разрешить ему ?
- однократно разрешить или всегда ?

Вы видите всю логику событий. Что за чем происходит. Ну зашли вы на завирусованную страницу сайта. Ну прилетели к вам файлы с вирусами.
Ну пропустил их антивирус...

Дальше появляется сообщение от программы-диспетчера процессов. Например, вида:

Процесс CMD пытается выполнить процесс

C:\Documents and Settings > Имя вас-пользователя >
Local Settings > Temporary Internet Files\1r.tmp

Разрешить ?

Допустим вы говорите "Да, однократно"

Появляется следующий вопрос:

Процесс
C:\Documents and Settings > Имя вас-пользователя >
Local Settings > Temporary Internet Files\1r.tmp
пытается добавить сервис ....... keylogger_e.exe в ветку системного реестра такую-то. Разрешить ?

И т. д.

***************************************************************
После проверки вашего компа антивирусом со свеже-обновленной базой,
инсталлируем программу-диспетчера процессов. Перезапускаем комп.

Диспетчер процессов начинает задавать вопросы, чего разрешить - а чего нет.
После "обучения" (обычно достаточно подтвердить разрешение на запуск 30-40 программ, которыми вы пользуетесь) - он практически перестает вас спрашивать.

Но когда на вашем компе попытается выполниться что-нибудь не разрешенное вашими руками - то диспетчер процессов перехватит эту попытку, например:




Программу SSM-2 (System Safety Monitor) можно скачать с фирменного сайта. Она российская. Там есть бесплатная версия. С небольшими глюками - она работает...

Когда я нашел себе приличный диспетчер процессов, с тех пор мне смешно когда кто-нибудь начинает паниковать и зарекаться вообще выходить в инет.
А вы смотрели, кто у вас чего пытается запустить ? Какой процесс чего в каком месте вызывает ?....

Спасибо, uuu99950, где-то так я себе это и представлял.
Последние два лютых вируса я подцепил - один по ссылке с Яндекса на сайте Жириновского, другой - на очень известном форуме кавказской направленности. Первый раз вирь меня гуманно информировал, что мой комп инфицирован, и на синем фоне появлялось белое окошко с этим текстом. И ничего не запускалось. Второй раз ещё круче - я заметил, что мой комп начал очень тормозить, и потом выяснил, что от меня в Инет идёт сплошной поток, хотя я ничего при этом не передавал. Сейчас я постоянно вижу, что мои адресаты в Агенте постоянно высылают мне какую-то ссылку, хотя они ничего не высылают. Но эта беда уже не у меня, а у них.
Я не борюсь с вирусами, и никогда не буду покупать Каспера, просто из принципа. Но храню Систему на одном диске, а все данные на других. Переставить Винду со всеми прибамбасами занимает гдё-то полтора часа, при этом я могу заниматься домашними делами.
Вообще, процесс "заражения" я всегда воспринимал как нечто схожее с "внебрачными связями". Вероятность заражения есть всегда, но, не посещая сомнительные ссылки, мы уменьшаем её на порядок.

Фирменный сайт:

http://www.syssafety.com/

Переставить Винду со всеми настроенными программами - занимает 10 минут.

Если программы все поставить например, на один логический диск C.
А все данные - держать на других логических дисках.

При помощи одной из утилит пакета Acronis.

Более того, копия системного диска со всеми настроенными прогами - влезает на DVD-R, и есть возможность восстанавливать с него (или с флэшки) :)

Прогой могу поделиться, и как чего делать - написать. Но там просто все - для юзеров все сделано.

Такая прога много кому пригодится. Но если это пиратка, то лучше в открытом форуме её не давать. Или дать без лекарства, как пробную версию. А с лекарством потом разберёмся.

AnVir Task Manager

AnVir Task Manager - это бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера

* Управление автозагрузкой, запущенными процессами, сервисами и драйверами и замена Диспетчера Задач
* Обнаружение и удаление вирусов и spyware
* Тонкая настройка XP и Vista, включая установку скрытых настроек
* Ускорение загрузки Windows и работы компьютера



Сайт программы: http://www.anvir.net/

Этот ответ отредактировал black-rook Dec 13 2008, 06:54 PM

Скачал прогу "AnVir Task Manager"

Поигрался... М-м-да-ужжжжжжжжжж ! :)

Нас (в данной теме) интересуют конкретно "ДИСПЕТЧЕРЫ ПРОЦЕССОВ".
А где там диспетчер процессов ? Не нашел что-то.

Наворотили какой-то огромный винегрет из всего-всего-всего, кроме того что нужно.
Это следствие того, что у разработчиков в голове был такой-же винегрет :)))

Что было нужно ?
Нужно было: когда запускаем какую-нибудь программу, и при этом вы лично, своими руками, еще не назначили этой программе разрешение - то чтоб спрашивала каждый раз:

"Разрешить выполниться этой проге, или нет ?"

И чтобы эту, единственную функцию - отрабатывала надежно.

А где этот функционал в "AnVir Task Manager" ? Может, я просто не нашел ?

Этот ответ отредактировал uuu99950 Dec 18 2008, 02:18 PM

Не подскажите, где в "AnVir Task Manager" спрятан диспетчер процессов ?

В разделе " Процессы" программам можно разрешать и запрещать запускаться. Разве этого недостаточно?

Нет, этого не достаточно. Чтобы запретить выполняться какой-нибудь программе, нужно чтобы сначала она оказалась в списке (уже запущенных).

Но когда вредная программа один раз будет запущена - то поздно уже будет воду сливать ! :) Диспетчер процессов должен спрашивать насчет каждой новой программы - можно-ли ее запустить. А не сначала все подряд разрешать запускать, а потом спрашивать "не хотите-ли вы в будущем что-нибудь запретить" :)


Обзор по инету выдал следующие программы-аналоги SSM-2:

Dynamic Security Agent
ProcessGuard
Ghost Security Suite
Process Explorer

Пока скачал и бегло проверил 2 из них. Вот что получилось:

- Dynamic Security Agent; - ставил, пробовал - фигня ! Не считает контр. суммы файлов ! Вообще !
Только имена файлов и пути запоминает. Позволяет редактировать экзешники ! :))) И после этого выполняет их ! И модальное окно очень узенькое, и не растягивается. Это не есть профессиональный продукт :(


ProcessGuard версия 3.410 full version - вроде, хорошая :) (есть уже 3.5)
Правда я не бесплатную версию задействовал, а сразу полную (платную), крякнутую. Контрольные суммы считает и проверяет, изменения файлов обнаруживает, из другой папки тот-же файл не запускает, интерфейс простой :) Правда, только по-английски... Все работает... Это - безусловно, продукт профессиональной программерской фирмы !

За остальные проги пока не могу ничего сказать - не успел попробовать. Но хотя бы еще одну хорошую нашли :)

Этот ответ отредактировал uuu99950 Dec 18 2008, 07:12 PM

Диспетчер процессов Process Guard v4.3 выдает запрос на разрешение запуска NERO:

Однако... Может, на Блюрей? У меня "системный диск со всеми настроенными прогами" - больше 11 ГБ, несмотря на то, что постоянно его чищу. Многотомный архив делать?
Держу, конечно, образ, но на внешнем харде.

Хотел зайти посмотреть, а мне...

1. Действительно, сегодня сайт SSM-2 чего-то не хочет открываться. Ну да не беда, Процесс Гард в чем-то даже получше будет.

Получше в том, что он устойчивее работает, а SSM-2 в последнее время иногда самопроизвольно стал вываливаться - конфликтовал с некоторыми из программ на моем компе.

Интересно, что первые их версии - работали лучше, никогда не вываливались.


2.

"Однако... Может, на Блюрей? У меня "системный диск со всеми настроенными прогами" - больше 11 ГБ, несмотря на то, что постоянно его чищу. Многотомный архив делать?"

- Что-то много для софта, 11 Gb. Там если начать изучать - то конечно-же не все софт окажется. Наверняка есть программы, которые по умолчанию сохраняют данные в ту же папку. Хотя путь для сохранения данных можно менять...

Например, если я e-Mule запущу, и начну им скачивать фильмы, и они будут по умолчанию сохраняться в папку e-Mule, а сам e-Mule я поставил на

C:\Program Files

- то я могу через некоторое время получить размер папки Program Files
и 50 Гигабайт...

Надо поизучать, что какой размер занимает. Удобно делать это программой FAR.
В ней по кнопке Ctrl+Q - пишет размер папки.

Осуществляем навигацию по всем корневым папкам диска С - и смотрим их размеры.

Находим самые большие, заходим в них, и смотрим какие из вложенных папок самые большие....

Там можно начиная от 100 лет нечищенной корзины обнаружить, и папки Temp в которую сохраняются страницы из инета, кончая огромными файлами
RAR, фильмами, музыкой и прочим, чего не должно храниться на системном диске.

А бесплатная версия программы SSM-2 от августа 2008 г - у меня есть:

Файл удален с сервиса.

Проверил - сохранились у меня на компе и несколько предыдущих версий - с 2006-го года:

563, 564, 565 и 583 - и версии SSM-2



Этот ответ отредактировал black-rook May 31 2009, 10:34 PM

Вот еще одна хорошая программка, из этой-же серии. Бесплатная

Скачиваем с фирменного сайта. Возможности усеченные, но нам для начала хватит







Программа называется Ж-хост секъюрити сюита.
Скачивать нужно ту ее часть, которая называется "AppDefend"

Эта программа хороша еще и тем, что помимо контроля за тем, какие процессы вы разрешаете, а какие запрещаете запускать - она содержит еще свой собственный файерволл !

И если диспетчер процессов/файерволл Ghost Security Suite пишет вам, что например, процесс WINLOGON зачем-то пытается выйти в интернет по IP-адресу, расположенному в Кэмбридже - то одним движением руки запрещаем этой программе дальше так шутить.


Этот ответ отредактировал uuu99950 May 29 2009, 09:55 AM

Восстановил картинку про диспетчер процессов Process Guard:

Российский диспетчер процессов SSM-2 (System Safety Monitor)
- выдает сообщение пользователю:



Фирменный сайт программы SSM-2 накрылся, наверное в связи с кризисом... Сайт работал более 6 лет, и с него можно было скачать официально бесплатную версию программы:



Сайт накрылся, но программа осталась Вот ссылка на скачивание версии .583 (их последняя бесплатная версия имела номер .585)

Ссылку получили:
uuu99950, Student_Geo, hhzz, ir_sha, alizage, alisa2004, Dzera, albert35, gregg, Valeriy2007, СУРЕЖА, emmerih, bumbarah, Bartenbaum, mik018, Valli, Saltok, , , , , , , , , , , , , 1946Nikola, Polezaikin, vasyatko, nikmih, dthf



Этот ответ отредактировал black-rook May 31 2009, 10:35 PM

К сожалению: "Файл удален с сервиса"