Мой ПК - Моя Крепость! Обсуждение средств защиты.
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
Dark EYE
Забавно:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup
А есть еще логон-скрипт, а есть еще системные сервисы, а есть еще win.ini, а еще групповые политики, а еще существуют рут-киты...
Забавно:
Для начала список разделов реестра, которые надо мониторить:если периодически просматривать системные файлы каталогов %windir%\system и &windir&\system32 и %Program Files%\Internet Explorer\plugins и ветку реестра автозапуска програм HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
и там же, только, RunServices на предмет выявления новых файлов или записей (в случае реестра) то появления вирусов можно избежать
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup
А есть еще логон-скрипт, а есть еще системные сервисы, а есть еще win.ini, а еще групповые политики, а еще существуют рут-киты...
А с бут-вирусом делать что будете, с рут-китами, а скромный факт, что все тело вируса можно заложить в ключик реестра, и запускать прямо из ключика...достаточно перезагрузки с чистой стстемной дискетки и опять же удалить руками.
Да, способам несть числа. Но большинство требуют, чтобы юзер сам кой-чего нажал. А вот от новых версий червей, текущих через дыры в протоколах Windows, кроме файервола предохранительных средств нет. Достаточно эпидемии MsBlast и Sasser вспомнитьНа сайтах есть обширные документы (доки) в которых "обсосаны" методы обхода этих "защитников" доступа инэта от Вас самих же.
И это сказал человек, знающий проПрограмно навредить жедезу практически не возможно
. Не открою тайну тропиканки, если скажу, что, задавшись вопросом всерьез, навредить вполне можно. Банальности вроде WIN95.CIH можно не упоминать. Вот правка пзу винчестера может много дать. Хорошо смотрятся перепрошивки "продвинутых" модемов, видеокарт, RAID-контроллеров. Особенно программные вольтмоды привлекают. Гипероверклок через проги вроде http://nvworld.ru/php/viewtopic.php?t=12226 вполне способен кой-чего зажаритьобширные документы (доки) в которых "обсосаны" методы обхода этих "защитников" доступа инэта от Вас самих же.
похоже что в системе вирус
Всем привет. Описываю Вам ситуацию. Поставил себе я ХР SP2 и все замечательно работало и работает, но... При каждом подключении к интернету вылетает сообщение от Norton Internet Security 2005 что была блокирована попытка внедрения в компьютер. Сначала я не обращал внимания на это. Хакеры есть хакеры. Но потом я решил посмотреть его IP - было указано два IP remote (сейчас не могу сказать точно какой, когда буду дома напишу) и local. Так вот local ip никогда не изменяется 127.0.0.1 Хорошо, подумал я, раз так, заблокирую я оба IP. И на закладке Personal Firewall в Restricted zone вписал обо IP. И тут самое интересное - после этих действий у меня перестали открываться какие либо интернет страницы. Страницы не открываются ни в internet explorer'е ни в Mozilla. Но стоит мне удалить 127.0.0.1 из Restricted zone как все начинает работать. Такое впячатление складывается что какая та прога хочет отослать данные. Ну что самое интересное это что когда это прога или червяк пытается отослать данные NIS2005 его блокирует но страницы все равно открываются. Главное не прописывать его IP в Restricted zone. При сканирование Ad-Aware 1.06SE ничего не выявляет. Сканирование антивирусом с последними обновлениями тоже ничего не находит. Помогите, пожалуйста. Не хочу систему сносить из за этого.
-
- Старожил
- Сообщения: 3419
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Беларусь, Минск
- Контактная информация:
-
- Старожил
- Сообщения: 3419
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Беларусь, Минск
- Контактная информация:
-
- Участник
- Сообщения: 262
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Москва
- Контактная информация:
Братцы, есть проблема. На лицензионной WinXP Home осваиваю лицензионный же Norton Internet Security 2005. Во-первых, после установки NIS Виндоус стал грузиться с двухминутной паузой: синий экран и курсор, больше ничего нет (я думаю, Нортон в сеть пытается залезть за автообновлениями, хотя я эту опцию и отключил. Сужу по миганию лампочки обмена данными на LAN DSL-модеме). Как отучить?
Во-вторых, после нескольких автообновлений из сети (запускаю вручную) стало появляться сообщение Нортон-антивируса, что он не поддерживает Repair и просит uninstall/reinstall. Переустановка помогает лишь на 2-3 дня. Дальше снова за свое. Если он не поддерживает, то зачем скачивает? И кто тогда этот Repair поддерживает?
Вобщем, не очень радостные впечатления. Хочу вернуться на AVP Касперского, а файервол встроенный в ХР использовать. Вопрос по файерволу: можно ли его настроить на надежную защиту и как? Или хакеры его так "обсосали", что шансов на защиту нет и лучше остановиться на предложенном ZuckO?
Во-вторых, после нескольких автообновлений из сети (запускаю вручную) стало появляться сообщение Нортон-антивируса, что он не поддерживает Repair и просит uninstall/reinstall. Переустановка помогает лишь на 2-3 дня. Дальше снова за свое. Если он не поддерживает, то зачем скачивает? И кто тогда этот Repair поддерживает?
Вобщем, не очень радостные впечатления. Хочу вернуться на AVP Касперского, а файервол встроенный в ХР использовать. Вопрос по файерволу: можно ли его настроить на надежную защиту и как? Или хакеры его так "обсосали", что шансов на защиту нет и лучше остановиться на предложенном ZuckO?
-
- Старожил
- Сообщения: 3419
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Беларусь, Минск
- Контактная информация:
Hamburger, Нормально. Я её (фри версию) пользовал больше года и очень понравилась, потому купил про вариант v.5.5 (возможностей по настройке больше) вот уже два года юзаю и (тьфу 3х) никаих проблем не испытываю. Ни одно соединение не пропускает без ведома, постоянные апдейты вирусной базы, притом легка и проста в обращении. Вместе с ней включён виндовский фаервол и никаких конфликтов.
Freeman_Jack, IMHO не нужен, там всё интуитивно, даже дефолтной настройки достаточно.
Freeman_Jack, IMHO не нужен, там всё интуитивно, даже дефолтной настройки достаточно.
-
- Старожил
- Сообщения: 3419
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Беларусь, Минск
- Контактная информация:
У меня к Вам вопрос по поводу Norten Internet Security 2005. Я создал отдельное правило в котором блокировались все порты как local так и remote. Потом начал тестирование на сайте symantec. Результат меня порозил. Оказалось, что порты только CLOSED но они не SECURED. Некоторые порты типа 21 и 25 вообще были открытыми, и это несмотря на то что все порты были заблокированы. Т.е в итоговом варианте получается что хакер все же может установить дистанционное управление с моим компом? Плюс ко всему, комп виден в сети. Хотя если я не ошибаюсь файрвол должен его сделать невидимым. Это реальная проблема? Нужно ли менять файрвол?
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
UDP
1. Вы уверены, что проверили именно себя? Если Вы используете прокси-сервер, DSL-модем с функцией брандмауэра, или заботливый провайдет Ваш трафик пропускает через шлюз, то сай Symantec просканировал не Вас, а прокси-сервер, модем, или шлюз провайдера.
2.
1. Вы уверены, что проверили именно себя? Если Вы используете прокси-сервер, DSL-модем с функцией брандмауэра, или заботливый провайдет Ваш трафик пропускает через шлюз, то сай Symantec просканировал не Вас, а прокси-сервер, модем, или шлюз провайдера.
2.
В какой именно сети ? В сетевом окружении ? А в нем еще хоть кто-то виден ?ко всему, комп виден в сети. Хотя если я не ошибаюсь файрвол должен его сделать невидимым
DrEvil,
kesic,
При чем что самое интересное я проверил NIS2005 не только на сайте Symantec, ещё был вот здесь
http://www.hackerwatch.org/probe/ потом нашел ещё пару сайтов (адреса не помню), они все показали что определенные порты (которые у них заданы в списке я так понял, т.е они сканируют не все подряд) у меня ЗАКРЫТЫ но не ЗАЩИЩЕНЫ. Может действительно они все сканируют моего правайдера, а не меня. Вообще помойму надо раслабиться, слишком много внимания уделяю этим файрволам. Один вопрос. Где читал что у windows 2000 prof SP4 система безопасности лучше чем у WINDOWS XP SP2. Это правда?
Я не использую прокси сервер, у меня нет DSL-модема, пользуюсь dial-up.Вы уверены, что проверили именно себя?
kesic,
да, я под сетью имел виду интернет.под "сетью" имеет ввиду инет
При чем что самое интересное я проверил NIS2005 не только на сайте Symantec, ещё был вот здесь
http://www.hackerwatch.org/probe/ потом нашел ещё пару сайтов (адреса не помню), они все показали что определенные порты (которые у них заданы в списке я так понял, т.е они сканируют не все подряд) у меня ЗАКРЫТЫ но не ЗАЩИЩЕНЫ. Может действительно они все сканируют моего правайдера, а не меня. Вообще помойму надо раслабиться, слишком много внимания уделяю этим файрволам. Один вопрос. Где читал что у windows 2000 prof SP4 система безопасности лучше чем у WINDOWS XP SP2. Это правда?
-
- Администратор Judge Dredd
- Сообщения: 17062
- Зарегистрирован: 17.01.2003 11:52
- Контактная информация:
Нет. По-умолчанию даже хуже, LM-хеши не запрещены, защита ключей шифрующей файловой системы дырявая. Другое дело, что в ХР больше компонентов, значит больше кода, больше дыр.Это правда
Провайдер проверяется очень просто - выключаете NIS, и проверяетесь на сайтах. Если эти же порты имеют такой же статус - файерволл стоит на стороне провайдера.
-
- Участник
- Сообщения: 262
- Зарегистрирован: 01.01.1970 3:00
- Откуда: Москва
- Контактная информация:
kesic,
Сканер Sygate сообщает:
Trying to gather information from your web browser...
Operating System = Windows XP
Browser = Microsoft Internet Explorer 6.0
Trying to find out your computer name...
Unable to determine your computer name!
Trying to find out what services you are running...
Unable to detect any running services!
PCFLANK выдал заключение:
Recommendation:
All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.
Browser security Test (нижняя ссылка) тоже ничего плохого не нашел:
The Browser Security Test is finished. Please find the results below:
High Risk Vulnerabilities 0
Medium Risk Vulnerabilities 0
Low Risk Vulnerabilities 0
Т.е. встроенный в ХР файерволл не так уж плох(другой пока не установил)? (Правда, никаких сообщений об атаке или сканировании он не выдавал. И при последнем тесте Касперский взвизгнул про обнаружение потенциально опасного объекта. И еще фронтпэйдж самопроизвольно запустился - т.е. какие-то удаленные действия предпринимать с моим компом все-таки можно?)
сайты-скан
Сканер Sygate сообщает:
Trying to gather information from your web browser...
Operating System = Windows XP
Browser = Microsoft Internet Explorer 6.0
Trying to find out your computer name...
Unable to determine your computer name!
Trying to find out what services you are running...
Unable to detect any running services!
PCFLANK выдал заключение:
Recommendation:
All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.
Browser security Test (нижняя ссылка) тоже ничего плохого не нашел:
The Browser Security Test is finished. Please find the results below:
High Risk Vulnerabilities 0
Medium Risk Vulnerabilities 0
Low Risk Vulnerabilities 0
Т.е. встроенный в ХР файерволл не так уж плох(другой пока не установил)? (Правда, никаких сообщений об атаке или сканировании он не выдавал. И при последнем тесте Касперский взвизгнул про обнаружение потенциально опасного объекта. И еще фронтпэйдж самопроизвольно запустился - т.е. какие-то удаленные действия предпринимать с моим компом все-таки можно?)