Jump to content
СофтФорум - всё о компьютерах и не только

System Safety Monitor и др. HIPS-системы

barsukRed
 Share

Recommended Posts

barsukRed

barsukRed

Posted
Posted

System Safety Monitor-oчень эффективная HIPS. При использовании столкнулся с настройками модулей.Есть модуль защиты INI файлов.

Подскажите,друзья,как более грамотно использовать этот модуль? Я запретил изменение файлов win.ini; system.ini. Что еще можно хорошего сделать? У меня windows XP SP2.

Link to comment
Share on other sites
  • Replies 116
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Yezhishe

Yezhishe

Posted
Posted

Гм... Поскольку с данной программой и её возможностями я пока не знаком, путём логических рассуждений могу посоветовать просто прочесть мануал к ней...

Link to comment
Share on other sites
veiK

veiK

Posted
Posted

Здорова

barsukRed:

Я запретил изменение файлов win.ini; system.ini. Что еще можно хорошего сделать? У меня windows XP SP2.

А какую цель ты преследуешь ?!

Данный софт я не юзал! Так как нет необходимости! Хватает всяких ТВИКЕРОВ

А как написано в проге - она много че может

System Safety Monitor

System Safety Monitor (SSM) позволяет отслеживать активность операционной системы Microsoft Windows в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ. Основная задача SSM – не допустить выполнения вредоносных действий со стороны любого приложения.

Основные возможности:

SSM наблюдает за активностью всех запущенных и запускаемых приложений и позволяет управлять:

* какой процесс может быть запущен, а какой нет;

* какие дочерние процессы могут быть запущены из данного процесса;

* из каких родительских процессов может быть запущен данный процесс;

* может быть запущен процесс или нет, если он был изменен/модифицирован/обновлен;

* может ли процесс устанавливать в системе драйвер;

* может ли процесс выполнять внедрение исполняемого кода (Code-injection) и динамических библиотек (DLL-injection).

* создание/удаление процессов;

* приостановка работы процесса и продолжение его выполнения;

* просмотр динамических библиотек (DLL), используемых процессом.

* перехват низкоуровневого доступа к диску

* перехват низкоуровневого доступа к клавиатуре

так что определись че ты хочешь ! :g:

Link to comment
Share on other sites
barsukRed

barsukRed

Posted
  • Author
Posted

Здорова

barsukRed:

А какую цель ты преследуешь ?!

:g:

Я хочу понять: какую максимальную пользу можно извлечь из модуля защиты ini-файлов. Еще у меня есть кое-какие соображения как можно использовать SSM вместо антивирусных программ. ИМХО все модули хорошо дополняют друг друга. Но у меня мало опыта по защите именно ini-файлов;) а точнее-насколько сильно им может навредить зловред.Есть мнение(и не только у меня) что скоро HIPS полностью заменит АВпроги в нише защиты пк от зловредов...

Link to comment
Share on other sites
Saule

Saule

Posted
Posted
Есть мнение(и не только у меня) что скоро HIPS полностью заменит АВпроги в нише защиты пк от зловредов...
Никогда не заменят :doh:

Позвольте поинтересоваться, почему вы так считаете? :)

На мой взгляд, программы подобного класса уже сейчас вполне могут заменить обычный антивирус, при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером.

Link to comment
Share on other sites
Yezhishe

Yezhishe

Posted
Posted
при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером.
Категорически согласен!

Другое дело, что относительно "дружбы" с машинкой как железом + дружбой с ОСью... Это как бы пожелание совсем мечтательное...

Увы, слишком многое надо знать буквально на уровне инстинктов...

Link to comment
Share on other sites
NickGolovko

NickGolovko

Posted
Posted

Никогда не заменят :)

Позвольте поинтересоваться, почему вы так считаете? :)

На мой взгляд, программы подобного класса уже сейчас вполне могут заменить обычный антивирус, при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером.

Могут, да, и заменяют (скажем, на моем ноутбуке), но в Сети столько тупых (простите)

юзеров, что HIPS еще долго не будут составлять конкуренцию антивирусам. :) Системы наподобие SSM (ОЧЕНЬ ненавязчивой HIPS) обычно определяются простыми пользователями как одна болезнь кишечника на букву "Г"... :)

Link to comment
Share on other sites
barsukRed

barsukRed

Posted
  • Author
Posted

Могут, да, и заменяют (скажем, на моем ноутбуке), но в Сети столько тупых (простите)

юзеров, что HIPS еще долго не будут составлять конкуренцию антивирусам. :) Системы наподобие SSM (ОЧЕНЬ ненавязчивой HIPS) обычно определяются простыми пользователями как одна болезнь кишечника на букву "Г"... :)

Тупой(простите)юзер,который не считает SSM как болезнь кишечника на букву"Г", просит немного разъяснить,как максимально эффективно использовать вышеуказанный модуль.Может,Вы поможете,Николай?

Link to comment
Share on other sites
Saule

Saule

Posted
Posted
наверное тему можно в оффтоп. Скорее всего больше никто не выскажется...:doh:

Дело в том, что .ini файлы сейчас программами уже редко используются, так как теперь у них для настроек есть системный реестр + два основных .ini-файла, которые действительно еще нужно беречь, вы уже указали. Можно еще добавить файлы desktop.ini, которые система использует для хранения настроек внешнего вида каждой из папок (иконки, шрифты, фон в папке, порядок расположения файлов внутри и т.д.), так как их легко можно заменить и затем с их помощью запускать вредоносные скрипты :g: и тогда SSM в случае замены вас об этом предупредит.

А вообще, более широкое использование этого модуля, скорее всего, всё-таки больше предназначалось для Win9x систем.

Link to comment
Share on other sites
barsukRed

barsukRed

Posted
  • Author
Posted

А почему вы, собственно, не обращаетесь на форум самого SSM?

Потому-что русскоязычного форума SSM я не нашел.

Saule-спасибо за помощь!

Link to comment
Share on other sites
Yezhishe

Yezhishe

Posted
Posted

Что именно?

Ну, например - примерное количество процессов svchost.exe, одновременно отображаемых в Диспетчере задач :D :sly::doh: ... Не секрет ведь, что некоторые вредоносные программы с удовольствием маскируются под системные процессы... Желательно также иметь хотя бы приблизительное представление о том, как вообще устроена ОСь, как она работает, что от чего зависит...

Ну и так далее...

Link to comment
Share on other sites
NickGolovko

NickGolovko

Posted
Posted

Что именно?

Ну, например - примерное количество процессов svchost.exe, одновременно отображаемых в Диспетчере задач :D :sly::doh: ... Не секрет ведь, что некоторые вредоносные программы с удовольствием маскируются под системные процессы...

О да. Но монитор SSM - не диспетчер задач. Он видит на два слоя глубже и показывает полный путь к файлу. ;) Вот у меня 4 svchost.exe. А у вас? ;)

Link to comment
Share on other sites
Yezhishe

Yezhishe

Posted
Posted (edited)

А у нас - пять штучек... Причём все - легитимные ))) Но я пользую autoruns от Марка Руссиновича. IMHO остальные подобные программы нервно курят в плавках на морозе :sly: ...

P.S. Вот это тоже дюже помогает разобраться, у кого откуда ноги растут...

Edited by Yezhishe
Link to comment
Share on other sites
NickGolovko

NickGolovko

Posted
Posted

А у нас - пять штучек... Причём все - легитимные ))) Но я пользую autoruns от Марка Руссиновича. IMHO остальные подобные программы нервно курят в плавках на морозе :sly: ...

Пять? Это хорошо. :sly: А Autoruns действительно неплох. Только не все видит... но с кем не бывает. :sly:

Link to comment
Share on other sites
Saule

Saule

Posted
Posted
Пять? Это хорошо. :nerd: А Autoruns действительно неплох. Только не все видит... но с кем не бывает. :sly:

А у меня два!!! :sly:

И потом, почему вы так часто говорите, не поясняя, что имеете в виду? Это всё-таки как-то не совсем тактично :blink:

Или вы можете назвать Autoruns, как менеджеру автозапуска, чем он и является, более лучшую альтернативу?

P.S. Кстати, можно запускаться, прописавшись и в легитимный процесс svchost.exe, путь к которому, разумеется, также соответственный.

Link to comment
Share on other sites
Yezhishe

Yezhishe

Posted
Posted
И потом, почему вы так часто говорите, не поясняя, что имеете в виду?

Упс... Виноват... Полагал по наивности, что присутствующие более или менее в теме...

Опять же - вопрос настроек ОСи настолько обширен, а предпочтения настолько индивидуальны, что мне не представляется возможным писать и публиковать тут многостраничные трактаты по каждому возникшему вопросу. На что-либо конкретное с удовольствием отвечу, но снова же - только исходя из личного опыта и личных же предпочтений. Не навязывая их всем присутствующим.

Но - к теме...

С удовольствием назвал бы альтернативу Autoruns'у, будь знаком с нею. Пробовал много разного, но скоро уж год пользую именно эту программу, считая её наиболее подходящей (для меня лично, естественно), и периодически ставя на пробу что-либо дополнительно. (потому и позволил себе подобное выражение в адрес остальных вариантов)

Что же касаемо мониторинга системы на предмет внедрения вредоносного кода в легитимные процессы, то позволю себе предложить всеобщему вниманию Safe'n'Sec - до чрезвычайности полезная программа!

Особенно, если система устоявшаяся. Имею в виду - стоит необходимый набор софта и не добавляется\сносится по паре-тройке программ ежедневно... В противном случае сильно надоедает своими сообщениями :) , но если комплект софта стабилен - отслеживает малейшие изменения в системных файлах, процессах, да и не только в них.. Чем-то напоминает Agnitum Outpost (со своим контролем запускаемых приложений), но по моему личному впечатлению - смотрит несколько глубже.

P.S. Надеюсь, что возможные непонятки на этом закончились :) :) ... Не люблю их...

Link to comment
Share on other sites
Saule

Saule

Posted
Posted
P.S. Надеюсь, что возможные непонятки на этом закончились :) :) ... Не люблю их...

На самом деле это я не вам, а Nick'у Golovko :)

Из-за утверждения по поводу того, что Autoruns видит не всю автозагрузку. Т.к. даже если, предположим, это так - было бы неплохо пояснить, что именно программа не показывает. Ведь, возможно, это всего лишь чьё-то небольшое недоразумение.

Link to comment
Share on other sites
NickGolovko

NickGolovko

Posted
Posted
А у меня два!!! :)

Так не бывает. :)

И потом, почему вы так часто говорите, не поясняя, что имеете в виду? Это всё-таки как-то не совсем тактично :rolleyes:

На мой взгляд, я выразился ясно. :)

Или вы можете назвать Autoruns, как менеджеру автозапуска, чем он и является, более лучшую альтернативу?

Вы делаете поспешные выводы. :) Я не говорил, что Autoruns видит не всю автозагрузку. Я сказал, что он не все видит. Не так давно я встретил упоминание, что Autoruns не видит ключи с пустым именем. Если желаете, могу уточнить. ;)

Менеджер автозапуска AVZ, кстати, был существенно дополнен в версии 4.24 и, пожалуй, уже может составлять Autoruns конкуренцию. Однако против Autoruns я ничего не имею. :)

P.S. Кстати, можно запускаться, прописавшись и в легитимный процесс svchost.exe, путь к которому, разумеется, также соответственный.

В контексте обсуждения имеем в виду, что потребуется давать разрешение на DLL Injection в System Safety Monitor.

Link to comment
Share on other sites
barsukRed

barsukRed

Posted
  • Author
Posted

А у меня два!!! :rolleyes:

А у меня меньше трех ну никак не получается;).Вообще svchost-слишком шустровата чтобы иметь ее больше трех ИМХО.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.


×
×
  • Create New...