Аннотация:
Spyware – общее название ПО, наделенное шпионскими (или другими вредоносными) функциями. Статья посвящена общим принципам борьбы с этой напастью, а также принципам работы мониторов и сканеров spyware.
Здравствуйте, Порохня Дмитрий, Вы писали:
ПД>Spyware – общее название ПО, наделенное шпионскими (или другими вредоносными) функциями. Статья посвящена общим принципам борьбы с этой напастью, а также принципам работы мониторов и сканеров spyware.
Статья хорошая, но IMHO не хватает конкретики. Скажем, было бы очень интересно узнать как использовать File System Driver для фильтрации обращений к реестру? Пока есть идея использовать NativeAPI hooking, но очень не хочется. Также нет упоминания о tracking cookies и методах борьбы с ними. Думаю эта информация была бы полезнее чем предложение не устанавливать ActiveX-ы Вообще такое впечатление, что статья расчитана на пользователей, а не програмистов...
В любом случае спасибо за то, что дали более-менее грамотное описание проблемы на русском языке
В целом хорошая статья, я бы только чуть более конкретно ее поделил на две части — для пользователей и для программистов. Собственно, она и так поделена, но после части "для программистов" опять идет "для пользователей" — рассказы о реальных экземплярах и борьбе с ними.
Да здравствует мыло душистое и веревка пушистая.
Re: Spyware в наши дни
От:
Аноним
Дата:
27.12.04 11:50
Оценка:
Здравствуйте, Порохня Дмитрий, Вы писали:
ПД>Статья:
ПД>Авторы: ПД> Порохня Дмитрий
ПД>Аннотация: ПД>Spyware – общее название ПО, наделенное шпионскими (или другими вредоносными) функциями. Статья посвящена общим принципам борьбы с этой напастью, а также принципам работы мониторов и сканеров spyware.
Добрый день!
Статья очень хорошая.
Присоединяюсь к пожеланию разделить ее на 2 части:
— для пользователей;
— для программистов;
В последнее время я столкнулся с очень "классным" способом проникновением свой домашний компьютер именно во время обновления OC.
Пока удалось увидеть только "хвост лисы" а именно: очень странный адрес, через который "тек" (именно "тек") windows update!
При попытке в firewall заблокировать этот адрес я получил не менее "классный" ответ:
"Адрес записан правильно, но IP адрес не найден!".
При этом в логах DNS был указан IP адрес вполне нормальный адрес.
Что было установлено вместе с патчем от Microsoft пока так выяснить не удалось... но на лицо очень грамотный "хук слева"!.
Здравствуйте, Аноним, Вы писали:
А>Совет очень верный, но...НО: А>В последнее время я столкнулся с очень "классным" способом проникновением свой домашний компьютер именно во время обновления OC.
Я думаю это имеет мало отношения к статье...
А>Пока удалось увидеть только "хвост лисы" а именно: очень странный адрес, через который "тек" (именно "тек") windows update! А>При попытке в firewall заблокировать этот адрес я получил не менее "классный" ответ: А>"Адрес записан правильно, но IP адрес не найден!". А>При этом в логах DNS был указан IP адрес вполне нормальный адрес. А>Что было установлено вместе с патчем от Microsoft пока так выяснить не удалось... но на лицо очень грамотный "хук слева"!. А>Может быть кто сталкивался с подобным?
Без указания КАК удалось увидеть "хвост лисы", как он выглядел, как через него "тек widows update" и какой это был IP или хотябы какой это был патч — это всего-лишь сотрясания воздуха... Файрвол, который взваливает на себя непосильное бремя проверки записи адреса — это тоже сильно...
Никому не секрет, что Microsoft пользуется для раздачи контента со своих серверов огромным количеством серверов с разными адресами многие из которых являются кластерными системами (ICMP доступ к которым по разным причинам вы можете и не иметь). Кроме того они пользуются (пользовались) услугами сторонних организаций, осуществляющих хранение их контента. Поэтому возможно вам показалось и эта ситуация имеет свое разумное обьяснение. Опять же, повторюсь, без конкретных фактов/адресов — этот разговор не имеет смысла.
Re: Spyware в наши дни
От:
Аноним
Дата:
30.03.05 13:12
Оценка:
Здравствуйте, Порохня Дмитрий, Вы писали:
ПД>Статья: ПД>Spyware в наши дни
ПД>Авторы: ПД> Порохня Дмитрий
ПД>Аннотация: ПД>Spyware – общее название ПО, наделенное шпионскими (или другими вредоносными) функциями. Статья посвящена общим принципам борьбы с этой напастью, а также принципам работы мониторов и сканеров spyware.
Что значит бесплатный сыр только в мышеловке а как же открытое ПО и вообще статья помоему для начинающего и так себе ничего конкретноого
И еще не ставте вы никакие фаерволя переходите на Linux
[] А>и вообще статья помоему для начинающего и так себе ничего конкретноого
Открою вам одну большую и страшную тайну: статьи бывают для разного уровня пользователей, от начинающих до профи. Трудно ожидать от профи (ведь вы же профи, не так-ли?) восторга от статьи начального уровня
лучше, выходите в Интернет из под виртуальной машины
Довольно часто можно встретить подобный совет.
Даёт ли это защиту?
Может, если речь идёт о данных, хранящихся на хосте.
С другой стороны, заражённая виртуальная система — это всё равно Ваше рабочее место .
Какая разница для бота (или тулбара), где он будет обитать? Всё равно мы получим увеличение трафика, показ левой рекламы и т.п.
Так что это скорее иллюзия защиты.
Но есть несомненный плюс — восстанавливать guest-систему можно из сохранённого снапшота (про это, ИМХО, стоит добавить в статье).
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
gear nuke wrote: > лучше, выходите в Интернет из под виртуальной машины > > Довольно часто можно встретить подобный совет. > Даёт ли это защиту? > Может, если речь идёт о данных, хранящихся на хосте.
В частности, там хранятся критичные пароли (в том числе от интернет) и
это избавляет от самых резвых — любителей звонить в Зимбабве. > С другой стороны, заражённая виртуальная система — это всё равно Ваше > рабочее место . > Какая разница для бота (или тулбара), где он будет обитать? Всё равно мы > получим увеличение трафика, показ левой рекламы и т.п.
И почти всё, всё-таки, потому как остановки работы, когда система рухнет
не получим. И, кстати, при желании VM легче контролировать — надо
смотреть трафик одного процесса, ведь host-система считается существенно
чище. > Так что это скорее иллюзия защиты. > Но есть несомненный плюс — восстанавливать guest-систему можно из > сохранённого снапшота (про это, ИМХО, ст*о*ит добавить в статье).
Это тоже. И меньше усилий, чтобы делать это каждый день автоматически.
Здравствуйте, raskin,
GN>> Даёт ли это защиту? GN>> Может, если речь идёт о данных, хранящихся на хосте. R>В частности, там хранятся критичные пароли (в том числе от интернет) и R>это избавляет от самых резвых — любителей звонить в Зимбабве.
Многие пароли не самом деле хранятся на guest-системе. Мы же их там используем, выходя в инет. Номера кредиток виртуалка как защитит?
GN>> С другой стороны, заражённая виртуальная система — это всё равно Ваше GN>> рабочее место . GN>> Какая разница для бота (или тулбара), где он будет обитать? Всё равно мы GN>> получим увеличение трафика, показ левой рекламы и т.п. R>И почти всё, всё-таки, потому как остановки работы, когда система рухнет R>не получим. И, кстати, при желании VM легче контролировать — надо R>смотреть трафик одного процесса, ведь host-система считается существенно R>чище.
А почему в результате деятельности malware должна обязательно работа нарушаться? Ничего нарушаться не будет, пользователь будет себе смотреть на вполне нормально работающий guest, при этом "неосознанно" осуществляя DoS атаки на пол интернета. И смотреть только на входящий трафик.
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
gear nuke wrote: > Здравствуйте, raskin, > > GN>> Даёт ли это защиту? > GN>> Может, если речь идёт о данных, хранящихся на хосте. > R>В частности, там хранятся критичные пароли (в том числе от интернет) и > R>это избавляет от самых резвых — любителей звонить в Зимбабве. > Многие пароли не самом деле хранятся на guest-системе. Мы же их там > используем, выходя в инет. Номера кредиток виртуалка как защитит?
На диске им в любом раскладе не место, но перехватить их, и правда,
могут — но ведь VM не панацея, а лишь плюс > > GN>> С другой стороны, заражённая виртуальная система — это всё равно Ваше > GN>> рабочее место . > GN>> Какая разница для бота (или тулбара), где он будет обитать? Всё > равно мы > GN>> получим увеличение трафика, показ левой рекламы и т.п. > R>И почти всё, всё-таки, потому как остановки работы, когда система рухнет > R>не получим. И, кстати, при желании VM легче контролировать — надо > R>смотреть трафик одного процесса, ведь host-система считается существенно > R>чище. > А почему в результате деятельности malware должна обязательно работа > нарушаться? Ничего нарушаться не будет, пользователь будет себе смотреть > на вполне нормально работающий guest, при этом "неосознанно" осуществляя > DoS атаки на пол интернета. И смотреть только на входящий трафик.
Ну, будет ли он смотреть на трафик — другой вопрос. А ненарушение работы
системы при сбое VM (желательно, по возможности, ставить туда что-то
неестественное, типа HURD+Nautilus — этим пользоваться-то никто не
умеет, не то что ломать, но это не всегда, увы, возможно) позволяет
каждое утро сбрасывать систему в исходное состояние.
Здравствуйте, vnp, Вы писали:
ПД>>Статья:
vnp>Прочел с огромным удовольствием. Глава "О май Гугль" — маленький шедевр. Побольше case studies, пожалуйста.
Кстати, они теперь и FireFox со спайварей начали распространять. Причём объявлена буквально охота на пользоватейлей: партнёр получает 1 бакс за закачку.
Желательно снимать пробу с таких программ под виртуальной машиной – ведь вы заранее не знаете (а скорее предполагаете, основываясь на скудном описании), что делает та или иная программа. Так что лучше подстраховаться, не так ли?
Предложение действительно дельное, от себя могу ещё порекомендовать Sandboxie — программка перехватывает запись на диск, и все данные уходят в виртуальную "песочницу", которая может очищаться после завершения последней программы, стартовавшей из этой песочницы. Так намного быстрее проверять ПО, чем запускать виртуалку и устанавливать софт под ней Ну, это конечно лично моё мнение.
RSDN@Home v.1.1.4 ORIGIN:В жестокой битве бобра с ослом победит, разумеется, бобро!
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
Здравствуйте, jed, Вы писали:
jed>В каком смысле оторваны от жизни?
В общем случае неизвестно, какие методы использует малвара.
jed>среди тестов нет руткитов?
Не знаю, не смотрел детали. Но могу сказать, как там тестировали бы вышеупомянутый РК — запустили exe-инсталлятор драйвара и успокоились, увидев ругань проактивки. Если же разрешить установку (в реальном мире будет использован не дроппер многолетней давности) — он будет работать, а фаерволл ничего не увидит (об этом и было по ссылке выше).
People who are more than casually interested in computers should have at least some idea of what the underlying hardware is like. Otherwise the programs they write will be pretty weird (c) D.Knuth
GN>Не знаю, не смотрел детали. Но могу сказать, как там тестировали бы вышеупомянутый РК — запустили exe-инсталлятор драйвара и успокоились, увидев ругань проактивки. Если же разрешить установку (в реальном мире будет использован не дроппер многолетней давности) — он будет работать, а фаерволл ничего не увидит (об этом и было по ссылке выше).
Понятно. Ссылка была на одно сообщение про руткиты, дальше я не смотрел.
Вообще такое впечатление, что статья расчитана на пользователей, а не програмистов...
