ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ДрВеб отвоевывает позиции?

Видимо разжились лишними франклинами на ПР. Надо чекать. ИМХО тесты не адекватны. Уверен что смогу его закрашить :-)

Пред отчет о этом чудо продукте:

тест 1) Скрытая установка драйвера - не прошел!

Автообновление антивируса построено на базе Шедулера ВинДоуЗ.... Без коментариев

При "насильной" выгрузке сервисов при помощи РкУ - забсодил систему. Восстановить завершенные процесы не смог

СДТ не хучит. Покрайней мере в явном виде в таблице. мож дето дальше по цепочке в теле самих функций - хз... Не дошел..


Ставит сплайсинги тут:
Process object-->DeleteProcedure, Type: Kernel Object hook handler located in [dwprot.sys]
Process object-->OpenProcedure, Type: Kernel Object hook handler located in [dwprot.sys]
Thread object-->OpenProcedure, Type: Kernel Object hook handler located in [dwprot.sys]

При восстановлении правда устанавливает их снова! Мега респект :-D

Я бы добавил во все эти тесты пунк - заключение хакеров. ИМХО дрвеб тест провалил

Инжект в процес разрешен. И слова не сказал. Ну в него нельзя конечно а во что угодно другое - пожалуйста.. Короче САКС!!!!!


Запуск браузера с параметрами - 0 на массу...... :-)

Явное создание службы/драйвера - Пожалуйста Гости дорогие!

spider-intruder, какой антивирь ща самый нормальный?

Впринципе проверку не прошел ни один если интересует. Я даже не знаю что советовать.
Я юзаю Нод 2.7! + 2009 аутпост про(не сьют)

Это все не панацея..... Не могу советовать!

Коректнее задать вопрос как не заразиться было бы:
Ставить все апдейты на винду. Все сервиспаки и следить за новыми найдеными уязвимостями. Юзать альтернативные от ОСЛА браузеры. их конечно же тоже обновлять. Работать из под ограниченой учетной записи. Не запускать того чего не знаешь. Если очень хочется - юзай виртуалки для первоначальной проверки и врустотал.. Короче это комплекс.
Как сказал Т. Джефферсон - Постоянная бдительность - такова цена свободы (C)

У меня вообще есть хорошая идея. Перебрать все! возможные ветки реестра и пути автозапуска файла. Написать kernel-драйвер который будет в при запуске восстанавливать все значения в исходные. Если была установлена программа требующая автозапуска то эта ветка руками или по кнопке юзермодной части программы добавляет в список этот параметр. Попробуйте заразить меня при таком раскладе. Разве что трой успеет украсть все до ребута. Но шансов мало при юзании связки авер+фаер которые уже установили свои драйвера мониторинга за системой. Патент я еще не получил :-) Можете пользоваться :-)

В основе метода в принципе лежит ShadowUser или DefenceWall но они по-моему восстанавливают все что происходило в системе. А нам нужно только критические ветки способные привести к автозапуску. То-есть мониторинг системных библиотек, ядра, драйверов, ActiveX компонентов, ключей реестра (можно и MBR)....

Это понятно, лично мне вполне хватает ess (то что он много чего не видит знаю), обновления ставлю и виртуалкой ползьзуюсь периодически. Но проблема в том что часто выходные я провожу в гостях у друзей/знакомых переставляя им винду. Что я только им не ставил и все равно через месяц они что-то выцепят и все снова слетает. Последнее что установил Dr.WEb security space.

Вебер ЛАЖА!

Ставь 2009 KIS - это то что я бы поставил юзеру у которого не смогу часто проверять комп собственноручно. (НЕ КАВ А ИМЕННО КИС)