» Malware Defender (360.cn)

Цитата:

Никто китайский не знает случайно?

Лет через двадцать - тридцать будут все в России знать , подождём .

Цитата:

на китайском форуме (bbs.kafan.cn/forum-80-1.html)

Собственно - зарегался там.
Я так понял - существует три группы, составляющих и публикующих свои списки правил. Наверное - кому какой больше понравится. Кому нечего делать - можно посмотреть:

http://rghost.ru/4946558 - собственно сами правила.
http://rghost.ru/4946617 - инструкция на китайском зато с картинками.

Если кто хочет слазить на тот форум --> #

Выяснил почему у меня не проходит тест DupHandles . Совместно стоит MD и KAV2009 . Так при включённом KAV этот тест не проходит , а при выключенном - Protected , хотя никаких явных разрешений
для KAV на дублирование дескрипторов не стоит в правилах .

Есть у кого нибудь проблема автоскроллинга в Опере ? При запущенном MD автоскроллинг по колёсику мыши не работает даже если отключить всю защиту и работает нормально если выгрузить MD с выключением защиты .

KismetT
Ага. У меня то-же самое.
Я думал - очередной сюрприз от новой Оперы, а оказывается - вон оно чо...

И в логах ничего нет...

Еще один косяк с MD . На ХРюше в журнале просмотра событий периодически , но не всегда , вылезает такая запись :
---------------------------------
Тип события:    Ошибка
Источник события:    sr
Категория события:    Отсутствует
Код события:    1
Дата:        28.04.2011
Время:        10:09:43
Пользователь:        Н/Д
Компьютер:    7UTOEJ0E45KTCB
Описание:
Произошла неожиданная ошибка фильтра восстановления системы '0xC0000243' при обработке файла 'mdhook.dll' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе.
---------------------------------
SR - как я понял - это служба System Restore ( Служба восстановления системы ) . Так что это тоже не совсем хорошо .

KismetT
Я "Службу восстановления" не использую... У меня зато иногда в видеоплеере (через ffdshow) звук пропадает - если переключиться на другое приложение, а потом вернуться к просмотру.

Есть мелкие косяки конечно, но в целом - программка очень интересная... К примеру - прописал правила, разрешающие доступ к *\opera\profile\cookies4.dat и *\opera\profile\wand.dat только из Оперы, а к *\keepass\*.kdb - только из KeepAss. Теперь их ничем посторонним нельзя просмотреть и никуда нельзя скопировать. Круть же просто!

Да я и не спорю , программа неплохая , вылизали бы её уж поскорее до полного совершенства и можно успокоится . Но фаер всё равно использую .

Цитата:

*\opera\profile\wand.dat только из Оперы, а к *\keepass\*.kdb - только из KeepAss

А смысл то какой ? Что первое , что второе без знания пароля не откроешь , а если пароль достаточно стойкий , то беспокоится нечего .
А скопировать их не проблема через Live CD или USB , было бы желание .

KismetT

Цитата:

А смысл то какой ? Что первое , что второе без знания пароля не откроешь

Ну *.kdb - да, а вот если в Опере мастер-пароль не используется, то wand.dat - легко расшифровывается, а у cookies4.dat вообще в открытый формат.

А раз скопировать нельзя, то и какой-нибудь троян не сможет эти файлы никуда переслать.

Не использовать мастер-пароль глупо , тем более если стоит KeePass . А вот с куками в Опере неважно , хранятся в незашифрованном виде .

xChe
Ради интереса создал файловое правило для c:\documents and settings\( здесь имя пользователя кирилицей )\application data\opera\opera cookies4.dat . Запрет для чтения , записи ,создание , удаления . Журнал .
Для Оперы всё это разрешено . Открываю Total Commander-ом просмотр cookies4.dat и спокойно открывается просмотр . Для Total Commander создано правило только на
c:\windows\wincmd.ini . Также спокойно Total Commander-ом cookies4.dat удаляется без запросов и логирования .
Ничего не понимаю .

KismetT
Фиг знает... С путями может что-нибудь не то... У меня прописано так:



Total Commander'у у меня как-раз - полное доверие, а если попытаться скопировать cookies4.dat куда-нибудь в "Проводнике". Выскакивает вот такая штука:



ЗЫ: Total Commander вот так реагирует на просмотр если с него разрешения снять:

Как я и предполагал , вся проблема оказалась в кирилическом написании имени пользователя .
В который уже раз с этим накалываюсь , иностранные проги в большинстве своём не понимают путь с кирилицей .
Поставив вместо имени звезду или нужное число ? всё пошло как надо .
А какие файловые правила у тебя для Explorer.exe и почему используешь английскую версию ?

Английская версия - просто ставил когда ещё русификатора не было...

А вот с Explorer-ом - даже не знаю как быть... Разрешать всё - как-то наверное неправильно, частями - замучаешься правила писать. Я всё равно им практически не пользуюсь - пока убрал все разрешения.

Кстати, в правилах с китайского форума - там они делают группы файлов типа "Картинки", "Аудио", "Видео", "Архивы", "Документы" (всякие txt, doc, rtf, xls, ...) и ставят для программ разрешения на группы.
Вот думаю - может тоже что-нибудь подобное сделать...

Вообще - такое впечатление, что замутить можно всё что угодно, только и времени на это можно угрохать - мама не горюй.

Цитата:

А вот с Explorer-ом - даже не знаю как быть... Разрешать всё - как-то наверное неправильно, частями - замучаешься правила писать.

Вот и я также думаю .
Ещё хотелось бы , что бы в правилах на разрешение чего либо тут же можно было бы добавить исключения .

KismetT

Цитата:

что бы в правилах на разрешение чего либо тут же можно было бы добавить исключения

Я так понимаю - это регулируется цифрой приоритета. Если прописать:

Код: *.txt - Приоритет: 1 - разрешение на всё
readme.* - Приоритет: 2 - разрешение только на чтение

Цитата:

файловые правила для программы кажется всегда имеют более высокий приоритет, чем глобальные файловые правила...

Ну так про это и в хэлпе написано .
А я имел ввиду например такое :
Вот у эксплорера допустим разрешение на чтение на все файлы , т.е. * .
А тебе надо , что бы не читалось например cookies4.dat . И как это организовать ? Кажется никак . Можно представить такую ситуацию , что допустим заражённый эксплорер пытается стащить cookies4.dat и отослать их на базу . А у него разрешение на чтение всего .
Конечно нелегко допустить его заражение на системе с ХИПС-ом , но всё же представим будет такая ситуация , когда это произошло . По-моему защита должна быть многоступенчатой , т.е. если пролезло на одной ступени , другая всё же не допустит передачи тех же куков . Конечно это немножко паранойя , но безопасности много не бывает .


Добавлено:
Хотя вообще то можно выставить запрет на чтение куков в правиле для эксплорера и поставит выше по приоритету .
Да , без стакана сразу и не сообразишь .

KismetT

Цитата:

вообще то можно выставить запрет на чтение куков в правиле для эксплорера и поставит выше по приоритету

Запросто. Вот так вот сделать:

Наверное надо наоборот поставить . Кто в списке выше , у того и прав поболее .
А так как на рисунке разрешение на всё . Я так думаю .(с)

KismetT

Цитата:

Кто в списке выше , у того и прав поболее

Нет - в Malware Defender'е как-раз наоборот. Непривычно. Я то-же долго в это въехать не мог...
Надо смотреть на циферку "Priority" - 1>0

Да уж .
Срочно иду читать хэлп . Как то через одно место сделано .

Добавлено:
Читаю в хэлпе :

Правила - Приступая к работе .

Как работают правила?
По правилам осуществляется поиск в соответствии с приоритетом - от наивысшего к низшему (сверху вниз). Если найдено совпадение, производится проверка разрешения. Если разрешение - не "Игнорировать", поиск прекращается, иначе происходит опрос остальных правил.

Т.е. вверху нулевое правило и оно выше нижнего первого . Я так понимаю .

KismetT
Очепятка видимо. В оригинале так:

Цитата:

How rules work?

The rules are searched from high priority to low priority (from bottom to top). If a match is found, then check the permission. If the permission is not "Ignore", then the search terminates, otherwise continue to search rules.

Да и практика это подтверждает.

Да , видно очепятка . Таким образом получается , что наивысший приоритет у того кто в списке стоит ниже . Сейчас сам попробовал проверить на практике , действительно так .
Теперь придется просматривать и переделывать все правила .
Спасибо , наше общение привело к полезному для меня выводу .

ST4NN
Исправьте пожалуйста в следующей версии это недоразумение .

Цитата:

Исправьте пожалуйста в следующей версии это недоразумение .

Вообще с более корректной русификацией программы нужно что-то делать. Английская версия работает безукоризненно. Русская – тормозит, приводит к зависанию компьютера, напрочь не хочет "дружить" с некоторыми программами, а то и вовсе валится в синий экран! А программа – то просто замечательная, необходимая, имеющая уникальные возможности, которые не присутствуют больше ни у одной программы. Специалисты в этой области! Займитесь, пожалуйста.

Чего-то второй день не загружается база цифровых подписей
(после установки обновлений Windows 7)

Цитата:

Не удалось загрузить базу цифровых подписей.

Раньше такого не наблюдалось...

Цитата:

Не удалось загрузить базу цифровых подписей.

У меня для XP - качает нормально.
На кетайском форуме по поводу Windows 7 написано -
В гугль-переводе на английский:
The latest patch up the loopholes in Microsoft's 40 win32k be used to prevent suspended some version win32k public symbol download

На русский:
Последний патч до лазейки в 40 win32k Microsoft, быть использован для предотвращения приостановлены некоторые версии win32k публичного скачивания символ
Трудно скачать что это значит...
Вроде они имеют в виду, что Microsoft как-то препятствует скачке.

xChe

Цитата:

У меня для XP - качает нормально.

Пробовал на виртуалке XP - тоже без проблем.

Цитата:

Вроде они имеют в виду, что Microsoft как-то препятствует скачке.

Наверное так оно и есть

После недели скачалась база цифровых подписей, обновлений Windows 7 не было, что-то изменилось...

А он файервол заменяет? То есть можно установить только антивирус и Malware Defender?

Voodoocage Нет конечно