![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра |
|
|
Уязвимости - Защита от Winlock - блокировка реестра
|
Новый участник Сообщения: 12 |
Доброго времени суток!
Прошу вашего мнения, уважаемые специалисты! Насколько эффективна будет блокировка веток реестра от записи (те установка разрешений только на чтение определенному пользователю непосредственно через через regedit) для защиты от так называемого Winlock. Например, в последнее время мне попадается этот вирус, состоящий из исполняемого файла с одним и тем-же именем ms.exe (около 20 случаев) Хотя картинку они показывают разную. Прописывется автозапуск в две ветки: 1: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 2: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run В принципе можно установить разрешения только на чтение и на остальные ветки автозапуска. (вообще после установки всех программ пользователю особо ни к чему помещать много программ в автозагрузку) Установил программу- запускай с ярлыка! Насколько эффективны данные меры? Могут ли вирусы обходить разрешения на конкретного пользователя, например запись от имени SYSTEM?. Или вирусы умеют изменять права доступа? На одном форуме прочитал, что ни в коем случае нельзя запрещать доступ системе (имя SYSTEM)- иначе получим BSOD. На сохраненных мной винлокерах потренировался - запись в реестр уже не могут сделать. Пробовал запрещать доступ как администратору, так и простому пользователю (только не всей группе Администраторы- для подстраховки могу создать еще одного админа с целью отмены запретов) Все отлично работает. А например, для автоматизации сей работы можно написать батничек, например на основе программки subinacl, и менять разрешения одним кликом! Вопрос насчет этой самой subinacl: чтобы отменить запрет нужно запускать только от имени рарешенного пользователя? (по-другому как то нелогично получается - если можно снимать запрет от запрещенного пользователя.....) ![]() Да, есть такая фишка у антивируса- проактивная защита (у NOD32 и касперского) и настроить можно, чтоб автоматом блокировались изменения в автозапуске, но вопрос в в блокировке реестра кажется проще и надежнее! Взяли да удалили антивирус или переустановили (да мало ли что может случиться!) вирус уже не запишется. |
|
Отправлено: 23:13, 08-08-2012 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
Цитата yurfed:
|
||
Последний раз редактировалось Диман_Д, 17-09-2012 в 20:40. Отправлено: 20:18, 17-09-2012 | #21 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 20133
|
Профиль | Отправить PM | Цитировать Цитата Диман_Д:
Всё остальное - пользовательские настройки. |
|
------- Отправлено: 21:49, 17-09-2012 | #22 |
![]() скептик-оптимист Сообщения: 5720
|
Профиль | Отправить PM | Цитировать Цитата Диман_Д:
А тот кто разбирается в реестре совершенно не читает и не использует все возможные советы аналогичные совету в данной теме и в темах по всему интернету. |
|
------- Отправлено: 22:06, 17-09-2012 | #23 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Цитата iskander-k:
|
|
Отправлено: 22:28, 17-09-2012 | #24 |
![]() Старожил Сообщения: 284
|
Профиль | Отправить PM | Цитировать С помощью моей системы нет невозможного, защита на уровне драйвера, любого файла и ветки
|
------- Отправлено: 10:10, 12-10-2012 | #25 |
|
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
WinLock 6.01 | OSZone Software | Новости программного обеспечения | 0 | 04-08-2012 22:30 | |
C/C++ - [решено] защита ключа реестра от изменений путем WinApi | O L E G | Программирование и базы данных | 0 | 03-06-2012 16:36 | |
Вопрос - Защита от вирусов - запрет на запись в ветку реестра Winlogon. | mspuz | Защита компьютерных систем | 4 | 27-10-2011 03:30 | |
[решено] WinLock блокировка входа в Windows | Fomarkin | Лечение систем от вредоносных программ | 5 | 15-02-2010 21:00 |
|