![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра |
|
Уязвимости - Защита от Winlock - блокировка реестра
|
Новый участник Сообщения: 12 |
Доброго времени суток!
Прошу вашего мнения, уважаемые специалисты! Насколько эффективна будет блокировка веток реестра от записи (те установка разрешений только на чтение определенному пользователю непосредственно через через regedit) для защиты от так называемого Winlock. Например, в последнее время мне попадается этот вирус, состоящий из исполняемого файла с одним и тем-же именем ms.exe (около 20 случаев) Хотя картинку они показывают разную. Прописывется автозапуск в две ветки: 1: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 2: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run В принципе можно установить разрешения только на чтение и на остальные ветки автозапуска. (вообще после установки всех программ пользователю особо ни к чему помещать много программ в автозагрузку) Установил программу- запускай с ярлыка! Насколько эффективны данные меры? Могут ли вирусы обходить разрешения на конкретного пользователя, например запись от имени SYSTEM?. Или вирусы умеют изменять права доступа? На одном форуме прочитал, что ни в коем случае нельзя запрещать доступ системе (имя SYSTEM)- иначе получим BSOD. На сохраненных мной винлокерах потренировался - запись в реестр уже не могут сделать. Пробовал запрещать доступ как администратору, так и простому пользователю (только не всей группе Администраторы- для подстраховки могу создать еще одного админа с целью отмены запретов) Все отлично работает. А например, для автоматизации сей работы можно написать батничек, например на основе программки subinacl, и менять разрешения одним кликом! Вопрос насчет этой самой subinacl: чтобы отменить запрет нужно запускать только от имени рарешенного пользователя? (по-другому как то нелогично получается - если можно снимать запрет от запрещенного пользователя.....) ![]() Да, есть такая фишка у антивируса- проактивная защита (у NOD32 и касперского) и настроить можно, чтоб автоматом блокировались изменения в автозапуске, но вопрос в в блокировке реестра кажется проще и надежнее! Взяли да удалили антивирус или переустановили (да мало ли что может случиться!) вирус уже не запишется. |
|
Отправлено: 23:13, 08-08-2012 |
PainStaking Сообщения: 3992
|
Профиль | Отправить PM | Цитировать WindowsNT, в который раз в голову приходит предложить вам написать подробную, но доступную рядовому пользователю, статью о SRP и создать шаблоны для её упрощённого применения. А также создать отдельную тему, в которой вести диалог по улучшению предлагаемых шаблонов.
|
------- Отправлено: 09:46, 13-09-2012 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 20133
|
Профиль | Отправить PM | Цитировать xoxmodav, WindowsNT, на сколько я понял, все шаблоны и камни в мой огород.
Цитата xoxmodav:
Цитата WindowsNT:
PS Например, идёт запись в реетр. Делайте всё, что угодно. Программа не лечит, она калечит, если мозгов нет. ![]() |
||
------- Последний раз редактировалось yurfed, 13-09-2012 в 10:59. Отправлено: 10:05, 13-09-2012 | #12 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать 1. Статья-то уже есть, давал жеж. Таки, уже испробовали, нашли слабые места с точки зрения usability? Дадите свои рекомендации?
2. Если пятиклассница берётся исполнять роль системного администратора, то пусть её исполняет как должно быть. Если же не берётся, то пусть вызывает человека на периодическое обслуживание сложного программно-аппаратного комплекса под названием "компьютер". Чесслово, пора уже заканчивать с психологией советского человека, который проводил выходные в гараже, подкручивая гайки на "Жигулях". Уже давно и гайки не те, и жигули, всё стало гораздо сложнее. Поэтому тут вопрос, скорее, к вам — вы сами Whitelisting испытали? Поняли, как работает? Troubleshooting провести сможете? Рекомендации по безопасности и прочие FAQ подправили? 3. Запись в реестре не сама по себе появляется, это делает malicious software, которое _уже_ исполнилось в системе, факт компрометации _уже_ имеет место быть. Поэтому мерой предотвращения и не является .) "Лечение уже случившейся компрометации" — это раздел строчкой ниже. |
------- Отправлено: 15:04, 13-09-2012 | #13 |
PainStaking Сообщения: 3992
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Цитата WindowsNT:
|
||
------- Отправлено: 08:26, 14-09-2012 | #14 |
Ветеран Сообщения: 20133
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Последний скрин специально сделал для вас. Просто внёс в загрузку параметр и мгновенная реакция. Цитата WindowsNT:
|
||
------- Отправлено: 08:55, 14-09-2012 | #15 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Цитата Диман_Д:
Файл UserNT.DAT это файл реестра конкретного пользователя. Для удаления этого Winlock просто исправьте Shell, в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, а потом соответственно удалите и тело вируса. Обсуждал со спецами это здесь : http://forum.drweb.com/index.php?showtopic=310932&st=0 |
|
Последний раз редактировалось iskander-k, 16-09-2012 в 23:54. Причина: вредный совет Отправлено: 15:33, 16-09-2012 | #16 |
Ветеран Сообщения: 20133
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 22:43, 16-09-2012 | #17 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Цитата yurfed:
А данный Winlock прописывается именно в эту ветвь. Проэксперементируй , файл скачал? Цитата iskander-k:
|
||
Последний раз редактировалось Диман_Д, 17-09-2012 в 07:40. Отправлено: 07:28, 17-09-2012 | #18 |
![]() скептик-оптимист Сообщения: 5720
|
Профиль | Отправить PM | Цитировать Цитата Диман_Д:
У вас не правильный был совет Цитата:
А удалить ключ или удалить параметр - это две большие разницы.! |
||
------- Отправлено: 13:47, 17-09-2012 | #19 |
Ветеран Сообщения: 20133
|
Профиль | Отправить PM | Цитировать Диман_Д, вроде я про ветку HKEY_CURRENT_USER не обмолвился ни словом.
Вы хотя бы на скрин посмотрели что там написано и в какой ветке это находится. Но вы можете у себя удалять. А вы знаете что ветки HKEY_CURRENT_USER, как и HKEY_CLASSES_ROOT не существует физически. Это виртуальные ветки и хранятся в памяти, после загрузки системы. Что вы там собрались менять, не совсем понятно. Цитата Диман_Д:
|
|
------- Последний раз редактировалось yurfed, 17-09-2012 в 16:05. Отправлено: 15:57, 17-09-2012 | #20 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
WinLock 6.01 | OSZone Software | Новости программного обеспечения | 0 | 04-08-2012 22:30 | |
C/C++ - [решено] защита ключа реестра от изменений путем WinApi | O L E G | Программирование и базы данных | 0 | 03-06-2012 16:36 | |
Вопрос - Защита от вирусов - запрет на запись в ветку реестра Winlogon. | mspuz | Защита компьютерных систем | 4 | 27-10-2011 03:30 | |
[решено] WinLock блокировка входа в Windows | Fomarkin | Лечение систем от вредоносных программ | 5 | 15-02-2010 21:00 |
|