Комментарии 86
НЛО прилетело и опубликовало эту надпись здесь
Простите меня, но если вы знакомы с элементарными правилами обращения с компьютером, вирусов не будет никогда. Даже без антивируса.
Простите, но вы не правы.
Простите, но он прав.
За два года работы с Windows и компьютером вообще (из них с антивирусом — первые полгода) я ухватил вирус только один раз — он был хитрым, дописывал себя в выполняемые файлы. Так что основания говорить так у меня есть.
Разумеется, я время от времени пользовался cureit и virustotal. Под антивирусом я имел в виду файловый и сетевой мониторы и прочие утилиты такого типа. Но определить вирус я мог бы и без них вообще — sandboxie, виртуалки и прочие. Кстати, надо бы пост написать о том, как создать песочницу из подручных средств.
Правила безопасности:
1. Держать под контролем все способы автозапуска программ: автозапуск при загрузке, флэшки. При работе с флэшками вручную смотреть, есть ли там autorun.inf и подозрительные экзешники. Включить показ расширений файлов (чёрт побери, почему он по умолчанию выключен!).
2. Никогда не запускать всякой гадости. Качать программы только с официальных сайтов.
3. Думать головой.
Вот и всё.
Разумеется, я время от времени пользовался cureit и virustotal. Под антивирусом я имел в виду файловый и сетевой мониторы и прочие утилиты такого типа. Но определить вирус я мог бы и без них вообще — sandboxie, виртуалки и прочие. Кстати, надо бы пост написать о том, как создать песочницу из подручных средств.
Правила безопасности:
1. Держать под контролем все способы автозапуска программ: автозапуск при загрузке, флэшки. При работе с флэшками вручную смотреть, есть ли там autorun.inf и подозрительные экзешники. Включить показ расширений файлов (чёрт побери, почему он по умолчанию выключен!).
2. Никогда не запускать всякой гадости. Качать программы только с официальных сайтов.
3. Думать головой.
Вот и всё.
И да, после тех двух лет я поставил Ubuntu и просто выбросил из головы эти заботы.
Дыры этого года в джавава-апплетах и эдоби ридере наглядно показали, что этих правил уже не хватает.
напишите статью про песочницу:) очень интересно было бы почитать
Попробуйте программулинку Dropmyrights. Если браузер запустить через нее, то у вирусов с Сети нет шансов выйти за пределы кэша браузера. Делается это редактированием командной строки ярлыка браузера, что совершенно прозрачно для юзера.
Похожее действие имеет запуск через контекстное меню «Запуск от имени...\Текущего пользователя» с установленной галочкой «Защитить комп от несанкционированных действий этой программы».
Похожее действие имеет запуск через контекстное меню «Запуск от имени...\Текущего пользователя» с установленной галочкой «Защитить комп от несанкционированных действий этой программы».
Тогда еще добавим — пользоваться провайдером, у которого есть общий файервол (типа Корбины) или который использует NAT для вывода клиентов в сеть или поставить файервол самому на случай дыры в системных сервисах винды. Или поотключать все потенциально опасные системные сервисы. Правда, это уже небольшой шаг в сторону от элементарных правил.
Черт же побери как он прав.
НЛО прилетело и опубликовало эту надпись здесь
глупости пишите
Поддерживаю. Долгое время элементарно влом было ставить антивирус, но потом когда устанавливал его, он не обнаруживал никаких вирусов. В то время как у друзей с хвалёными НОДами, Касперскими и Докторами Вэбами целый зоопарк на компах.
Серьёзно пострадал от вредоносной программы только однажды, когда случайно запустил СВОЮ собственную разработку с названием pizdec.exe, совсем позабыв, что это такое. Никогда не запускайте файлы с таким названием! :)
Серьёзно пострадал от вредоносной программы только однажды, когда случайно запустил СВОЮ собственную разработку с названием pizdec.exe, совсем позабыв, что это такое. Никогда не запускайте файлы с таким названием! :)
Может быть этот комментарий перестанут минусовать, если я уточню, что эта программа писалась исключительно в образовательных целях?
Ну конечно, ведь знание правил обращения с компьютером сразу закрывает все дыры в ОС и во всем имеющемся софте.
А мужики то не знают…
А мужики то не знают…
Много раз слышу эту фразу. Опишите элементарные правила обращения с компьютеров (под Windows), чтобы вирусов не было никогда?
И как эта инструкция спасет вас от троя, который залезет через уязвимость браузера? (да, уязвимости есть не только у ИЕ).
А от уязвимости в pdf? Flash?
А от уязвимости в pdf? Flash?
От этого спасут только сниженные права (желательно MAC, но при отсутствии и DAC сойдёт). Ни один антивирус не реализует ничего подобного до конца.
Можно подробнее? Тема очень актуально. Под windows? (использую семерку, хочется быть уверенным в собственной безопасности)
www.securityfocus.com/print/infocus/1887 и далее по ссылкам/гуглю. Хороших книг не помню.
В семёрке то же самое.
В семёрке то же самое.
На самом деле, не всё так просто. Более действенные меры описаны тут:
habrahabr.ru/blogs/sysadm/97594/
А попытка их реализации на практике тут:
habrahabr.ru/blogs/sysadm/101971/
habrahabr.ru/blogs/sysadm/97594/
А попытка их реализации на практике тут:
habrahabr.ru/blogs/sysadm/101971/
Дело в том, что в этих статьях безопасность осуществляется через существенные ограничения. А у меня всегда экзешники были разбросаны по всем дискам, постоянно создавались и модифицировались. Я постоянно скачивал и устанавливал разный софт (из которого проверял сканером только то, что считал подозрительным сам). И как в этой ситуации можно запрещать чуть менее, чем всё?
Мой метод — вот:
habreffect.ru/files/5ef/edd54f34b/Common_Sense.jpg
Мой метод — вот:
habreffect.ru/files/5ef/edd54f34b/Common_Sense.jpg
в этих статьях безопасность осуществляется через существенные ограничения
Это всегда так. Между безопасностью и удобством существует конфликт интересов.
А у меня всегда экзешники были разбросаны по всем дискам, постоянно создавались и модифицировались. Я постоянно скачивал и устанавливал разный софт… И как в этой ситуации можно запрещать чуть менее, чем всё?
Работать под учетной записью ограниченного пользователя. Устанавливать программы и производить настройку под учетной записью администратора. Таким образом, запускаемые в процессе обычной работы программы не смогут модифицировать другие программы. В случае Vista/7 всё немного проще, там есть UAC.
Мой метод — вот
Защита с помощью «здравого смысла» — это как? Думать каждый раз перед запуском программы, а безопасно ли её запустить?
Однажды вы «на автомате» выполните какое-нибудь небезопасное действие. Например, «расшарите» по сети на запись папку с исполняемыми файлами. Последствие — программы, которым вы доверяете, будут заражены с другого компьютера.
Кроме того, здравый смысл у каждого свой. Вот скажите, вы по интернетам со включенным JavaScript бродите? А мой здравый смысл давно подсказал мне, что JS лучше запретить на всех сайтах, кроме доверенных.
Читается на одном дыхании, спасибо. Какой ав следующий на экзекуцию?
Опять однобокое… Я не про пост, а про табличку последнюю.
Антивирусов ведь гораздо больше! Того же мелкософтового, который, не побоюсь, точно себе откусит долю рынка.
макафе, трендмайкро…
Антивирусов ведь гораздо больше! Того же мелкософтового, который, не побоюсь, точно себе откусит долю рынка.
макафе, трендмайкро…
Если уж говорить о защите, то отсутствие HIPS — это прошлый век. И да, за 14 (вроде бы) лет на windows'е у меня не было ни одного вируса и антивируса тоже.
это вы так думаете))
Это они ВСЕ так думают. :)
За последние 10 лет единственные вирусы которые были это те которые я сознательно скачивал или копировал с инфицированых флэшек для препарирования, антивирус естественно стоял для страховки.
Какие поводы мне так не думать? Иногда, по дороге к друзьям (лечить их компьютер) запускал у себя разные бесплатные антивирусы, результат — 0. Я и так это знаю, так как пара простых правил лучше любого антивируса.
… ни одного вируса и антивируса тоже
возможно, вирусы были, но Вы о них не узнали :)
НЛО прилетело и опубликовало эту надпись здесь
Господа, ну пошутили и ладно. Ну откуда они могут взяться? Пираток нет и не было. Авторан отключен с тех пор, как появились первые вирусы его использующие. На флешках знакомых находил вирусы иногда (по autorun.ini) и всё. Система всегда up-to-date (год назад вообще только IE8 для интернета использовался). Это же позор если у разработчика заведётся вирус. Сетевая активность под контролем, процессы тоже. Последние пару лет стоит Comodo firewall и по совместительству hips ибо у меня директ коннект к интернету.
Откуда откуда. Вот открыли вы например полгода назад pdf файл. Обычный нормальный pdf файл с нужной вам информации. И троян уже у вас на компе, и вы об этом не знаете.
Или зашли вы на любимый хабр, а допустим так получилось, что его взломали недавно. И добавили (пока еще не замечено для админов) вредоносный код использующий уязвимости браузера (дада! они есть не только у ИЕ). Все, троян у вас.
Если троян заливал не сильно жадный человек, то он не будет тиражировать его миллиоными копиями, и с вероятностью 90% сигнатура этого трояна никогда не будет внесена в антивирусы. А значит вы никогда не узнаете, что живите с троем.
Или зашли вы на любимый хабр, а допустим так получилось, что его взломали недавно. И добавили (пока еще не замечено для админов) вредоносный код использующий уязвимости браузера (дада! они есть не только у ИЕ). Все, троян у вас.
Если троян заливал не сильно жадный человек, то он не будет тиражировать его миллиоными копиями, и с вероятностью 90% сигнатура этого трояна никогда не будет внесена в антивирусы. А значит вы никогда не узнаете, что живите с троем.
И даже линукс от вирусов не спасет. Пока домашние системы на линуксе просто не интересны. Но вот буквально месяц или 2 назад, появилась уязвимость в фтп под unix. Деталей не знаю, обновлял не я, но факт в том, что если не обновиться, то оказывается были открыты двери на вход. И это серверное решение, с параноидальной безопасностью!
>> деталей не знаю
>> двери открыты
>> двери открыты
серверное решение, с параноидальной безопасностью!
В смысле с SELinux или хотя бы настроенным RBAC в grsec? Уязвимость в ftp открывает двери на вход? Отдел фантастики на другом этаже.
Спорить не собираюсь. Админил не я.
Тогда не надо говорить о параноидальной безопасности. Она и на windows, и на GNU/Linux требует настройки и прямых рук.
Насколько я понимаю, проблема была в уязвимости фтп сервера. Даже при прямых руках, никто не застрахован от такого. Вы ведь не пользуетесь только самописным софтом, который идеально вылизан от любой возможности проникновения?
И да, эта уязвимость давала возможность заливать\скачивать файлы, что для меня равно «открыло двери на вход». Что там с фантастикой?
И да, эта уязвимость давала возможность заливать\скачивать файлы, что для меня равно «открыло двери на вход». Что там с фантастикой?
>И да, эта уязвимость давала возможность заливать\скачивать файлы, что для меня равно «открыло двери на вход»
Это делает эксплуатацию уязвимости (в данном случае моего браузера) фантастикой. Всего лишь правила для легковесного MAC, половина из которых написана им самим (режим обучения). Всё, что не входит в разрешения, является запрещённым. Независимо от прав пользователя (даже root не выберется без посторонней помощи) и прочего. Даже выполнение произвольного кода (а не только возможность заливать файлы) становится не такой серьёзной проблемой.
В grsec, популярный на серверах, входит нечто подобное (вместе с тонной прочих security-related патчей). И это даже не для параноиков, а больше как стандартная фича. Про SELinux я уже и не говорю.
Это делает эксплуатацию уязвимости (в данном случае моего браузера) фантастикой. Всего лишь правила для легковесного MAC, половина из которых написана им самим (режим обучения). Всё, что не входит в разрешения, является запрещённым. Независимо от прав пользователя (даже root не выберется без посторонней помощи) и прочего. Даже выполнение произвольного кода (а не только возможность заливать файлы) становится не такой серьёзной проблемой.
В grsec, популярный на серверах, входит нечто подобное (вместе с тонной прочих security-related патчей). И это даже не для параноиков, а больше как стандартная фича. Про SELinux я уже и не говорю.
Не пытайтесь рассуждать о тех вещах, в которых не разбираетесь.
FTP сервер в unix-like системах выполняется под отдельным пользователем. Даже несмотря на эту меру предосторожности, возможность читать / писать (в обход запрета на запись, например) — это самое невинное, что вы могли себе представить.
Есть такой класс уязвимостей — ошибки переполнения буфера. Теоретически можно сделать всё, что дозволено этому самому пользователю, под которым запущен FTP сервер. При условии, если в ПО есть такая ошибка. И это в одинаковой степени относится и к Linux, и к Windows.
FTP сервер в unix-like системах выполняется под отдельным пользователем. Даже несмотря на эту меру предосторожности, возможность читать / писать (в обход запрета на запись, например) — это самое невинное, что вы могли себе представить.
Есть такой класс уязвимостей — ошибки переполнения буфера. Теоретически можно сделать всё, что дозволено этому самому пользователю, под которым запущен FTP сервер. При условии, если в ПО есть такая ошибка. И это в одинаковой степени относится и к Linux, и к Windows.
Надеюсь в тему. Расскажу как мы с сотрудником методом такой-то матери чистили флэшку от вирусни (насколько я помню autorun).
Мы собственно видели какие 2 файла на флэшке лишние… Прикинув и поразмыслив сделали им shift+del. Но секунды через 2 зловредности опять появились там же.
Призвав в помощь потусторонние силы и студенческий по**изм мы на раз, два, три делаем shif+del и выдергиваем флэшку сразу же после удаления.
Всё… триумф, лишние файлы не вернулись. Флэшка рабочая.
Действенность данного метода проверена на Win XP, Win2k, с флэш накопителями transcend и kingston.
Мы собственно видели какие 2 файла на флэшке лишние… Прикинув и поразмыслив сделали им shift+del. Но секунды через 2 зловредности опять появились там же.
Призвав в помощь потусторонние силы и студенческий по**изм мы на раз, два, три делаем shif+del и выдергиваем флэшку сразу же после удаления.
Всё… триумф, лишние файлы не вернулись. Флэшка рабочая.
Действенность данного метода проверена на Win XP, Win2k, с флэш накопителями transcend и kingston.
cool story, bro
Если появляются снова, значит есть еще где-то помимо флешки (system32 например). Еще есть возможность так флешку спалить, хотя в этом могу ошибаться.
Если появляются снова, значит есть еще где-то помимо флешки (system32 например). Еще есть возможность так флешку спалить, хотя в этом могу ошибаться.
вирус утомился и решил выключить отображение скрытых файлов настырным пацанам )
F:>del autorun.inf && mkdir autorun.inf
Правда, это было актуально два года назад. Сегодня, возможно, вирусы знают это прикол. И даже умеют закрывать открытые файловые дескрипторы.
Но если вы в свойствах папки установите для неё кастомный значок, вы с большой (но, опять же, не абсолютной) вероятностью сможете определить, заражена ли флешка.
Правда, это было актуально два года назад. Сегодня, возможно, вирусы знают это прикол. И даже умеют закрывать открытые файловые дескрипторы.
Но если вы в свойствах папки установите для неё кастомный значок, вы с большой (но, опять же, не абсолютной) вероятностью сможете определить, заражена ли флешка.
Всё… триумф… Действенность данного метода проверена на Win XP, Win2k...
То есть мысль, что вирус уже поселился на вашей Win XP вам с сотрудником в голову не пришла?
Вообще-то интересно, какие из продуктов выдержат самозащиту при загрузке в безопасном режиме. То, что Каспер не загружает ни службу, ни дрова — это факт. Особенно забавит то, что утилита удаления вирусов — для Каспера это Kaspersky Virus Removal Tool — тоже не подгружает ряд драйверов в безопасном режиме, чем проигрывает CureIt. Хотя казалось бы, что инструмент для удаления активного заражения должен был бы предусмотреть загрузку в безопасном режиме — иногда, это единственный способ получить управление над поражённой системой — ан нет!
Здорово удивила дырявость самозащиты ДрВеба… Хотя раньше уже многое о том писалось, взять ту же историю со SpiDiE…
Здорово удивила дырявость самозащиты ДрВеба… Хотя раньше уже многое о том писалось, взять ту же историю со SpiDiE…
Как страшно жить!
Ваши изыскания, как я вижу, проводились на операционной системе девятилетней давности.
В семёрке, наверно, не получится так просто ковыряться в памяти и менять дату без разрешения по UAC.
А грохнуть DrWeb приложением запущенного с полными правами можно и другими средствами.
Ваши изыскания, как я вижу, проводились на операционной системе девятилетней давности.
В семёрке, наверно, не получится так просто ковыряться в памяти и менять дату без разрешения по UAC.
А грохнуть DrWeb приложением запущенного с полными правами можно и другими средствами.
Akr0n, спасибо вам за то, что провели исследование, за то, что сообщили об ошибке нам и за то, что дали нам время на исправление, и конечно спасибо за интересную статью!
Такой подход сокращает количество возможных вариантов почти на 3 порядка!
10*9*8*7*6*5=151200 — в 6 раз, но никак на не 3 порядка.
Число размещений без повторов:
(n/k)*k!
n=10
k=6
(10/6)*6!=1200 вариантов
(n/k)*k!
n=10
k=6
(10/6)*6!=1200 вариантов
АМ в будущем расширит набор тестов самозащиты. Обязательно будет включен метод выноса из Safe Mode.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Небольшое исследование самозащиты продуктов Dr.Web