Не се обиждай,и DW i GeSWall се държат странно на виртуалки,това съм го пробвал и го казвам от личен опит!Продължавай да ни радваш със обективните си тестове!

Точно така.

Реших да пробвам единия файл на nikssi (Свалих архива от линка), както и DefenseWALL за първи път.

Стартирам го, и не последва рестарт

Избрах Untrusted

След няколко секунди се показа нов прозорец

Избрах Block

И това бе всичко.

В Process Explorer се виждат три нови процеса

Сканиране от Malwarebytes' Anti-Malware

Снимка от DefenseWALL

Всички файлове от KMPlayer на долу са създадени от свалянето на архива на nikssi

Още една снимка от DefenseWALL

След няколко промени в DefenseWALL, резултата вече от Malwarebytes' Anti-Malware е различен

Тествано на реална машина

Редактирано 1 април 201016 г. от nicicom (преглед на промените)

Sandbox програмите са задължителни за тест на реална машина,всички други резултати не могат да претендират за обективност(а и не трябва)!

Е не !....

Идеята е нещата да не се вадят от "сандъка" защото по този начин го вадиш от осигурената зона и го пускаш вътре при системата.

Когато твоя шеф дръпне нещо то той няма да може да го извади ако си пуснал и паролата!

Тоест само ти ще можеш да видиш какво е дърпал и сам да си прецениш какво да извадиш от "сандъка"

....p.s.@Nicicom ,както винаги много подробен материал.С удоволствие чета твоите постове из sit-овете.

Редактирано 1 април 201016 г. от Androcure06 (преглед на промените)

Nicicom , имам подозрения че си давал някакви стероиди или анаболи на твоя DefenseWall след като резултата при nikssi е различен а може би си приближен на Иля Рабинович нямам друго обяснение.Признай си

Sandbox програмите са задължителни за тест на реална машина,всички други резултати не могат да претендират за обективност(а и не трябва)!

Явно разминаването идва от виртуализацията. Обаче така дори е доста по добре. Ресва се и после всичко се почиства елегантно. Ще взема да я сложа на единият компа да видя как ще се държи. дали ще задава въпроси или ще блокира превантивно?

Защото ако задава въпроси не е подходяща изобщо.

Явно разминаването идва от виртуализацията. Обаче така дори е доста по добре. Ресва се и после всичко се почиства елегантно. Ще взема да я сложа на единият компа да видя как ще се държи. дали ще задава въпроси или ще блокира превантивно?

Защото ако задава въпроси не е подходяща изобщо.

2.56 не задава много въпроси защото няма стена.@nicicom е ползвал версия 3 за теста.

2.56 не задава много въпроси защото няма стена.@nicicom е ползвал версия 3 за теста.

Тогава дали нещата няма да са различни? Защо е пробвано с друга версия? Както и да е...вярвам му на Ники

Тогава дали нещата няма да са различни? Защо е пробвано с друга версия? Както и да е...вярвам му на Ники

Аз мисля,че вече във версия 3 можем да я наричаме именно DefenseWall HIPS ,защото hips-а участва повече(поразработен)

Тогава дали нещата няма да са различни? Защо е пробвано с друга версия? Както и да е...вярвам му на Ники

Здравей nikssi

Би трябвало да знаеш, че те уважавам и не бих си позволил да маниполирам резутатите.

Аз мисля,че вече във версия 3 можем да я наричаме именно DefenseWall HIPS ,защото hips-а участва повече(поразработен)

Повечето от въпросите идват от към защитната стена,но прави впечатлние това,че по подразбиране е вкл. опцията да известява в трея за разлика от 2.56

Здравей nikssi

Би трябвало да знаеш, че те уважавам и не бих си позволил да маниполирам резутатите.

Знам бре,аз също. Ама гледай как гадно натъпка харда тази гадина. Представяш ли си,че заразите са на комп който се посещава от стотици хора...това е копирен център и всеки ходи и си копира документите там. А,сега де - не ползвай никакъв антивирус. Ужас

Повечето от въпросите идват от към защитната стена,но прави впечатлние това,че по подразбиране е вкл. опцията да известява в трея за разлика от 2.56

Там интернета по подразбиране е спрян. Ползва се и блутот дали ще има проблем?

Знам бре,аз също. Ама гледай как гадно натъпка харда тази гадина. Представяш ли си,че заразите са на комп който се посещава от стотици хора...това е копирен център и всеки ходи и си копира документите там. А,сега де - не ползвай никакъв антивирус. Ужас

Там интернета по подразбиране е спрян. Ползва се и блутот дали ще има проблем?

Не съм пробвал,но не миля,че ще има проблем,поне с версия 2.56

Да речем че дръпна нещо и вътре има вирус.То преди да го извадя от сандъка ще го проверя примерно с МБАМ ,а и на всичко отгоре ако ми е още по съмнително ще го сканирам във Virus Total!

След кaто е проверено тогава го вадя свободно от изолираната среда\"пясъчника\"

За това на мен ми се обесмисля ползването на Антивирус!

Грешка.

- Има доста заплахи които МВАМ по една или друга причина не ги засича. Знам много добре какво твърдя.

- Има доста пъти подвеждащи резултати във VIRUS TOTAL тогава когато има малко програми,които не засичат или обратното се увеличават лавинообразно.

Тези последните файлове от темата за подпомагането http://www.virustotal.com/analisis/893c96f0410f592c45711c7a661388dbc37515f22e63b4b6d11f11eb83d7430f-1270157572 http://www.virustotal.com/analisis/006ed5cb60bbf41c0c1a8629d67258cafb08c9b4ad6ae3cf468b7e95db5de0f4-1270157578 от поста на B-boy[styLe] колко програми ги ловят? Виждаш две програми например засичат server.exe и това са McAfee-GW-Edition и Symantec. И какво следва? Инсталираш или не?

Ако чакаш например резултат от Касперски или Аваст и не дочакаш? Може да не е пратен или да е морф...

В този случай трябва да го стартираш в изолирана среда,да видиш какво ще направи и дали наистина е заплаха или е поредният FP.

Сандъка е незаменим тука.

пп.Попадала ли си на зараза в файл който е качен като субтитри към някой филм? Защото аз да.

Редактирано 1 април 201016 г. от nikssi (преглед на промените)

Мда, явно моята система е по-либерална, -Това са глупости и ти го знаеш да ти дам адреса си и дя я пробваме заедно -тая програма няма пропуск може да не правиш нещо както трябва никой не е безгрешен

Във форума постоянно я критикувам

А и да плюя Комодо няма смисъл защото имаше едно файлче дето я обърна

Явно всеки е вманиачаен по някоя програма и се опитва да докаже че тя е най-добрата и се губи смисъла така

За кое файлче става въпрос?

След няколко промени в DefenseWALL, резултата вече от Malwarebytes' Anti-Malware е различен

Бива ли да напишеш толкова дълъг и подробен пост, а да кажеш ''след няколко промени''? Какви са промените е важно.Сподели ги, ако обичаш, защото имам огромно желание да я тествам за n-ти път.Дори бих помолил, ако ти е възможно, дай ми готови настройки за в.3, с които искаш(искате) да я тествам.Ще направя клип с телефон.

Редактирано 3 април 201016 г. от clonnning (преглед на промените)

Бива ли да напишеш толкова дълъг и подробен пост, а да кажеш ''след няколко промени''? Какви са промените е важно.Сподели ги, ако обичаш, защото имам огромно желание да я тествам за n-ти път.Дори бих помолил, ако ти е възможно, дай ми готови настройки за в.3, с които искаш(искате) да я тествам.Ще направя клип с телефон.

Здравей clonnning

И аз се надявам някой да даде ръководство за работа с програмата, а не само да пускаме вируси и после да спорим.

Както писах, тествах програмата за първи път.

Реших да пробвам единия файл на nikssi (Свалих архива от линка), както и DefenseWALL за първи път.

Така че стъпките който направих/промените в DefenseWALL може и да не са били в правилния ред и правилни, но факта, че след тах Malwarebytes' Anti-Malware не откри нищо, показва че програмата се справя.

След като се заразих, изтрих всички файлове от недоверената зона, които се бяха създали от файла на nikssi.

След това изтрих всички файлове и регистри от тук

И накрая изтрих всичко и от тук

Това направих.

Програмата ми допадна и много ще се радвам ако някой направи някакво ръководство.

Това което разбрах е, че не трябва да преинсталираш Windows-a за да я инсталираш. Нужно е да се чист. Да нямаш вируси, дори и такива за които знаеш че са на компютъра.

След инсталирането на DefenseWALL всички файлове стават доверени освен тези, които ги поставя в зоната на недоверените.

Ако се пусне програма която е недоверена и тя стартира програм която не се намира в зоната на недоверените, атоматично става и тя недоверена.

Мисля че това е доста полезно http://www.softsphere.com/online-help/defensewall/

Здравей clonnning

И аз се надявам някой да даде ръководство за работа с програмата, а не само да пускаме вируси и после да спорим.

Както писах, тествах програмата за първи път.

Няма да стане така и веднага казвам защо.Успявам да докарам машината до състояние, в което е НЕВЪЗМОЖНО да се работи с програми.Син екран, рестарт и до там.За това питам.Мисълта ми е просто да ми се дадат някакви настройки, с които да започна теста, а не после да трия файлове и регистри, защото просто не се стига до такова положение.

Няма да стане така и веднага казвам защо.Успявам да докарам машината до състояние, в което е НЕВЪЗМОЖНО да се работи с програми.Син екран, рестарт и до там.За това питам.Мисълта ми е просто да ми се дадат някакви настройки, с които да започна теста, а не после да трия файлове и регистри, защото просто не се стига до такова положение.

Здравей clonnning

Като гледам, основните настройки са си по подразбиране, доверени и недоверени приложения.

Ако Windows-a е чист, на него може да попадне вирус само от интернет, оптично устройство и флаш памет.

Всички тези начини за заразяване се третират като недоверени.

Ако приемем че свалиш нещо с интернет браузъра си, който по подразбиране е недоверено приложение, понеже има достъп до интернет, файла/приложението се третира автоматично като недоверено и бива добавино в тази зона на програмата. Това се получава от правилата за наследство на DefenseWALL.

Untrusted inheritance rules are simple. A process will run as Untrusted if:

· It is within the Untrusted Applications database.

· It is run by an Untrusted process.

· It is under the Untrusted file open inheritance ruleset. (ie: if the Trusted process Microsoft Office opens a document listed within the Untrusted applications list, Microsoft Office will convert to Untrusted state.)

Вече какви ограничения налага DefenseWALL на недоверените приложения незнам.

Това май са ограниченията на недоверените приложения

DefenseWall HIPS prevents untrusted processes from modifying the executables, inter-process communications, multimedia, documents, phone databases (target for 'dialer' malware), Hosts files, adding or modifying autostart areas(both registry and

file system), adding or modifying drivers/services (targeted by 'rootkits'), modifying

the desktop and browser settings, plugins and extensions (IE, Firefox, Mozilla, Opera, Flock, etc.), setting global hooks (usually used by 'key loggers'), injecting their code into Trusted Processes, stealing screenshots and many other dangers. DefenseWall HIPS will not allow it!

DefenseWall HIPS prevents Untrusted processes from gaining access to Secured files and folders. This will prevent your sensitive data from being stolen by malware. DefenseWall HIPS does not allow untrusted processes to break your system integrity or to break out of the Virtual Untrusted Processes Area.

DefenseWall HIPS has another basic defense mechanism: 'Plugin Injection Protection'. If a process loads a Dynamic-Link Library(DLL) - a file within a program which is called to execute an action - and this module is created by an Untrusted process, this process is also marked as Untrusted. This prevents any possibility of escape from the Untrusted Process Area.

If malicious software has penetrated your computer via any threat gateway application, it will not be able to install itself properly onto your system to steal important files or break through the untrusted process virtual border. If you are aware that a malware is attempting to run, you may terminate it with the handy Big Red Button (Stop Attack). You also have the possibility to manually clean up any deactivated malware traces using Expert Mode or with the help of automatic tools (average user) such as an anti-virus/anti-malware program.

Недоверените приложения работят оделно от доверените. Ако едно недоверено приложение се опита да прекрати процеса на друга недоверено приложение, това ще стане. Но ако се опита да прекрати процеса на доверено приложение, ще бъде блокирано.

Интересна е и настройкато за Защитени файлове.

Там може да изберете файлове, важни документи или направо цели директории, до които недоверените приложения да нямат достъп.

Незнам до колко е оправдано но аз поставих в тая зона дял D, двете ми оптични устройства и флаш паметта. Като се надявам, дори и да имам вирус, да му бъде забранено да зарази флашката при поставянето й, както и .EXE файловете на другия дял.

Прати ми линк с файла който срива Windows-a, за да го пробвам на ЛС.

В момента съм с предната версия, понеже не ми трябва защитна стена, а на новата версия не видах дали може да се спре.

Редактирано 3 април 201016 г. от nicicom (преглед на промените)

Може да се спре стената и да остане само Хипса

Вече пращах файлове, хората казаха, че при тях няма грижи и реших повече да не го правя.Тествам си сам, защото си вярвам достатъчно, за да знам, че няма да има манипулации.Питах за настройки, защото се усъмних, че не правя нещо както трябва, щом само при мен става така.

Здравей clonnning

И аз се надявам някой да даде ръководство за работа с програмата, а не само да пускаме вируси и после да спорим.

Както писах, тествах програмата за първи път.

Така че стъпките който направих/промените в DefenseWALL може и да не са били в правилния ред и правилни, но факта, че след тах Malwarebytes' Anti-Malware не откри нищо, показва че програмата се справя.

След като се заразих, изтрих всички файлове от недоверената зона, които се бяха създали от файла на nikssi.

След това изтрих всички файлове и регистри от тук

И накрая изтрих всичко и от тук

Това направих.

Програмата ми допадна и много ще се радвам ако някой направи някакво ръководство.

Това което разбрах е, че не трябва да преинсталираш Windows-a за да я инсталираш. Нужно е да се чист. Да нямаш вируси, дори и такива за които знаеш че са на компютъра.

След инсталирането на DefenseWALL всички файлове стават доверени освен тези, които ги поставя в зоната на недоверените.

Ако се пусне програма която е недоверена и тя стартира програм която не се намира в зоната на недоверените, атоматично става и тя недоверена.

А, така

Останах с впечатлението от поста ти ТУК,че DefenseWall блокирала всички файлове и затова си чист,а не че си използвал rollback-а като средство.

Да разбирам ли,че DW е пропуснала да блокира файловете,защото вчера пробвах на реална машина и единственото което е различно от първият път е,че компютъра не се рестартира. Обаче докато DW си беше червена и въпреки,че дадох да прекрати атаката на всичките тези файлове ги намерих в C\Windows и в C\Windows\system32

Не бих писъл отново ако не бях прочел твоето мнение днес. По скъщият начин бях чист,но това блокиране ли е? Защото ми мяза само на сандък и ако ще го ползвам като такъв защо да плащам за DW,след като съществува sandboxie?

http://www.kaldata.com/forums/index.php?showtopic=145992&view=findpost&p=1673050

А, така

Останах с впечатлението от поста ти ТУК,че DefenseWall блокирала всички файлове и затова си чист,а не че си използвал rollback-а като средство.

Да разбирам ли,че DW е пропуснала да блокира файловете,защото вчера пробвах на реална машина и единственото което е различно от първият път е,че компютъра не се рестартира. Обаче докато DW си беше червена и въпреки,че дадох да прекрати атаката на всичките тези файлове ги намерих в C\Windows и в C\Windows\system32

Не бих писъл отново ако не бях прочел твоето мнение днес. По скъщият начин бях чист,но това блокиране ли е? Защото ми мяза само на сандък и ако ще го ползвам като такъв защо да плащам за DW,след като съществува sandboxie?

http://www.kaldata.com/forums/index.php?showtopic=145992&view=findpost&p=1673050

След като дадеш да прекрати атаката,всички файлове си остават там където са,затова е rollback-a,да премахне остатъците все пак.То си е сандък но с разширени възможности един вид.

След като дадеш да прекрати атаката,всички файлове си остават там където са,затова е rollback-a,да премахне остатъците все пак.То си е сандък но с разширени възможности един вид.

Не трябва ли да ги блокира? Защо изобщо позволява да пишат в system32? Файловете бяха скрити и маркирани като системни файлове.

Файл: C:\Documents and Settings\AGFA\Local Settings\Temp\ivtgkp.exe създаден от C:\Documents and Settings\AGFA\Local Settings\Temp\rhazxwhvsoq.exe в 04.02.2010 14:50:07

Какво прави например този файл в системната папка и защо не е спрян след като е недоверено приложение?

Сандък с Хипс и Файъруол-има разлика