Gienek

Piaskownica nie jest od limitowania... widziałeś kiedyś komunikat w Sandboxie "brak dostępu"?

Meir i wydawanie pieniędzy na lekkie antywirki... to tak jak ja i Comodo za pan brat. Sfera marzeń.

Skoro GW nie zablokował mało istotnych ataków, to po co je wspominać? Jeśli mam DW czy GW to zawsze instaluję sobie lekkiego antywirka jak Immunet czy Avast albo cały leciutki pakiecik z antyspamem czyli Nortona.

Odpowiedź na problem nasuwa się sama. Winna jest osłona WWW, która skanuje ruch WWW. Avira skanera WWW nie ma, dlatego widać różnicę.

Kaspersky jeszcze potrafi pokazać swoją siłę.

Jurek, AV-test.org to jak sama nazwa mówi to test antywirusów a nie piaskownic, blokerów, maszynek do mielenia mięsa i innych ustrojstw.

Zestaw Janka spokojnie wystarcza. Windows 7 sam w sobie jest dobrze zabezpieczony i nie potrzebuje takiego bunkra jak Windows XP. Sam UAC to zawsze jakaś ochrona.

Avast 5 ma na razie pasywną ochronę behawioralną, ale w wersji 5.1 już potrafi blokować autostart. Depcze Avirze po piętach.

HIPS w PC Tools Firewall Plus nie jest takim mocnym monitorem systemu jak Malware Defender, Defense+ czy Program Guard. To bardziej moduł obrony przed wyciekiem danych, tak jak Anti-Leak w Outpoście. Chroni przed wstrzykiwaniem kodu, modyfikacją pamięci , monitoruje najważniejsze elementy systemu, ale nie jest całkowitym monitorem systemu. Dlatego infekcja będzie wyglądała tak:

- uruchomienie - tu PC Tools może dać alert

- tworzenie plików - nie ostrzeże

- nawiązanie połączenia - firewall odezwie się

- przechwytywanie klawiszy - nie da, chyba że przez montowanie hooka

- przesyłanie skradzionych danych - w zależności od reguł wywali alert/dopuści/zablokuje

BTW używam pełnego Outposta Security Suite, do tego pełne Sandboxie i Zemana. Sandboxie do testowania, Zemana bo Outpost nie ma najlepszej ochrony przed keyloggerami (wychodzi na to samo bo ma bardzo dobrego firewalla, więc wycieku nie powinno być).

Jeszcze go pomęczę trochę, może popuści i dojdzie do infekcji. W każdym razie, obecnie mam zainstalowane Prevx 3, PrivateFirewall, Returnil Virtual System. Jest lekko, ale PF trochę mnie ogranicza - nie wykrywa keyloggerów no i faktycznie, trochę ciężko się go konfiguruje (reguły).

Chyba usunę PF a zainstaluję Zemanę. SpyShelter mnie drażni swoim wyglądem.

Tyle że ostatnia aktualizacja do SD była rok temu, a od tego czasu wiele się zmieniło.

Ściągnąłem paczkę wirusów, uruchomiłem RVS, pouruchamiałem pliki (zezwalałem w PrivateFirewall, usuwałem tylko Prevxem). Po restarcie komputer całkowicie czysty.

Witam, mam pytanie odnośnie skuteczności, tj. tego czy Returnil może puścić i zakazić system, testując chociażby TDL.

Chodzi o wirtualizację, mianowicie Returnil nie za dobrze radzi sobie z porzucaniem zmian w rejestrze, nie wirtualizuje partycji innych niż systemowa.

Widocznie jakąś operację zablokował. To, czy zablokuje cały plik czy tylko część jego funkcji, zależy m.in. od tego kiedy ta funkcja zostanie wywołana (i co to za funkcja).

Zablokuje możliwość uruchomienia pliku.

Dobra, ja już Comodo odpuszczam. Niech poprawią wydajność, piaskownicę a będzie OK.

Dlatego specjalnie wzięli OA++.

Cieszy mnie ten wynik, myślałem że OA++ już się nie liczy. Zestaw OA + Emsisoft Anti-malware jest bardzo mocny (a OA++ i Sandboxie jest wyjechany w kosmos, pod względem skuteczności).

Wiele zależy od tego jak sobie ustawisz Comodo. Jeśli źle ustawisz HIPS to będzie blokował, lub puszczał wszystko jak leci. Jeśli dobrze, to będzie się pytał zawsze wtedy, gdy pojawi się aplikacja, której nie zna.

Szczerze mówiąc, to przez rundll można odpalić niezłe cuda i wcale aż tak bardzo bym tego nie potępiał, bo samo rundll tak naprawdę nie robi w sumie nic, jest tylko pośrednikiem dla innych aplikacji. Inna sprawa, że Comodo to tylko zablokował, a znam przypadki, gdy KIS, lub NIS po prostu usunęły pliki systemowe, bo komuś się coś pomerdało przy aktualizacji. Mało tego trudno się dowiedzieć co było usunięte i to przywrócić. Niech każdy sobie używa czego chce, ale mnie i tak nie przekonacie, że CIS jest do niczego, jeśli nie podacie argumentów innych niż wydaje mi się, bo do tego to się teraz sprowadza.

Jeszcze raz powtórzę natomiast, że jeśli chodzi o Confickera, to użytkownicy, którzy go załapali tak naprawdę są sobie sami winni. Żaden pakiet zabezpieczający nie zastąpi zdrowego rozsądku. Jeśli ktoś nie zainstalował aktualizacji krytycznej, która miała w chwili infekcji co najmniej parę miesięcy, no to cóż można o kimś takim powiedzieć?

 

Jeśli chodzi o prywatność, to zadam wam głupie pytania:

- czy używacie jakichś wyszukiwarek?

- jakich używacie przeglądarek i jak je skonfigurowaliście (nie jest tajemnicą, że bez dodatkowych zabiegów większość przeglądarek wysyła mnóstwo informacji do Google, MS, czy Apple)?

- jakich używacie komunikatorów? czy są one dobrze zabezpieczone? (np. takie gg w ogóle nie obsługuje szyfrowania protokołu, a hasła latają po sieci plain textem)

 

Niestety, ale sporo firm zbiera w ten, czy inny sposób informacje od swoich użytkowników. Jedne piszą o tym wprost, a inne nie. Statystyki na stronach Symanteca, czy innych producentów AV też raczej nie biorą się znikąd.

Owszem, co do funkcji rundll.exe to zgadzam się, ale - gdyby u mnie pojawił się taki komunikat "bezpieczny, podpisany rundll.exe chce modyfikować pamięć svchost.exe", zezwoliłbym. Owszem, podejrzane jest to że zaraz po podłączeniu pendrive. U mnie alarm by się włączył, ale co by było gdyby ktoś nie powiązał tych spraw? Albo gdyby pojawił się ni stąd, ni zowąd?

Zresztą, spójrz na http://www.wilderssecurity.com/showpost.php?p=1444190&postcount=115

OA pokazuje faktyczny stan rzeczy, Defense+ przekłamuje sytuację. 12 kwietnia 2009, wtedy Conficker szalał.

Aha, w większości przypadków da się zrezygnować z udziału w sieciach diagnostycznych. Tylko w Comodo nie da się (jest tylko Threatcast).

???

Jeżeli chodzi o wrzucanie do automatycznego sandboxa Comodo, to powinieneś wiedzieć, że zaleca się włączanie go tylko podczas podejrzenia zainfekowania komputera oraz testowania nieznanych aplikacji. Ochronę w codziennym użytkowaniu powinny pełnić jedynie: firewall, HIPS i antywirus.

 

Confickera CIS nie przepuszczał, tylko nie blokował go automatycznie oraz nie podawał sugerowanej opcji blokuj!

To co, ja mam tak przełączać się? To co powiesz na GeSWalla. Wygląda na to że 3 poziom zabezpieczeń GW jest bezsensu, skoro wszystko izoluje.

A co do Confickera, mam Cię!

http://forums.comodo...d-t58896.0.html

Użytkownik dał deny, dostęp niby zablokowany, ale Conficker zdążył rozwinąć skrzydła.

Co do tej starej afery. Defense+ pokazywał że bezpieczny rundll.exe chce zmodyfikować pamięć svchost.

I na koniec, co znaczy nie blokował automatycznie?? To ja podemuję decyzje, HIPS ma mi serwować pytania.

Jakie podejrzane...

Comodo jest nieprzewidywalne. Raz wrzuca do piaskownicy, raz nie (oczywiście miesza zdrowe z niebezpiecznymi). Pamiętasz jak przepuszczał Confickera? W wakacje zeszłego roku wciąż przepuszczał. Teraz mają problemy prawne - KillSwitch jest na licencji ProcessHackera, mają udostępnić kod źródłowy (licencja GNU/GPL), do tego jeszcze nielegalnie zmodyfikowali kod źródłowy CTM, kupiony zresztą od producenta. Firewall był dobry, tyle że mnie zawsze zastanawiała opcja "cancel" w oknach alertów.

Comodo? Dziękuję, nie używam.

Ostatnia akcja z P2P jeszcze bardziej nakręciła sprawę.

Omkar, piszesz że nie ufasz Kasperskiemu bo jest z Rosji. A Comodo ma siedzibę w USA, a tam są kartele, trusty, wszechobecna władza kapitału, a na dodatek "a u was biją murzynów", cytując aktorów z komedii* Barei. Nie wspominam o CIA. Gdybym miał wybierać KIS lub CIS, wybrałbym KIS. Lepiej wyposażony, skuteczniejszy, no i ładniejszy.

*Co mi zrobisz jak mnie złapiesz, Alternatywy 4

Pod tym adresem dostępny jest polskojęzyczny kącik dla użytkowników Online Armor. Pomocy udzielam ja we własnej osobie (sam podsunąłem pomysł otwarcia polskiego podforum).

Obecnie ja także tłumaczę interfejs na nasz język. Zapraszam do korzystania.

Socjotechniką praktycznie każdy wpadnie - małe dziecko, emerytka, dorosły facet. Zależy to od miejsca i czasu (i od tego czy się tego spodziewasz). Przecież to chwila nieuwagi.

Folder z ciasteczkami możesz wykluczyć ze skanowania rzeczywistego.

Czekam na decyzję Bierniego i Picasso.

Mogę odstąpić dwa klucze do Returnil System Safe Pro 2010. Zostały z konkursu. Chętnie oddam zainteresowanym (lub przekażę bierniemu).

Panda Cloud wygrała... jest niezła. Ciekawe jak radzi sobie z leczeniem , bo to mnie zastanawia. Prevx pobiera od razu informacje o sposobie leczenia, a Panda?

Został firewall, będzie do prawdopodobnie PrivateFirewall/PC Tools Firewall.

To przemęczenie... i mi się w głowie majaczy.

No dobra, brat kupił sobie laptopa, więc z ekstremalnej łatwości możemy zrezygnować. Vipre premium, spyshelter i prevx? Dodatkowo Sandboxie i Hitman Pro (zależy mi na vipre, przy czym po głowie chodzi mi mój legendarny zestaw - avira+comodo firewall.

Teraz na komputerze nie będą przeprowadzane przelewy, tylko gry, multimedia, praca.