» Malware Defender (360.cn)

MikeN, попробуй запуск от имени администратора.

KismetT
У меня вообще-то UAC напрочь отключен. Но и насильный запуск от имени администратора ведет к тому же результату.

Добавлено:
Странный путь в реестре указан:

\??\c:\windows\system32\drivers\mdcore.sys

Это мне кажется подозрительным...

Win 7 x64 ?

KismetT
Да. Посмотрел на офсайте, что только для x32.

В этом.

Прекрасная программа.
Однако, появляется резонный вопрос.
Бесплатна ли для коммерческого использования, в офиссах?
И, если бесплатна, то как убедить в этом проверяющего?

Цитата:

Странный путь в реестре указан:
\??\c:\windows\system32\drivers\mdcore.sys

совершенно нормальный путь.
возьми WinObject от SysInternals и ещё и не такое увидишь

SealXTX
посмотрим документ последней инстанции, оговаривающий вещи, не оговоренные ГК, УК, АК и т.п. -- лицензионное соглашение (license.txt из инсталлера):

Цитата:

Malware Defender Licence Agreement

This is a legal agreement between you (either an individual or an entity), the end user, and 360.cn regarding use of the software

Всё. Либо индивидуум (физик) либо "сущность" (юрик, НКО и т.п) -- и всё, что идёт в тексте дальше, применимо и к тем и к тем.

Но вообще этот вопрос немного философский [more]проверяющие, как любые менты, часто берут на понт.
но быстро "сливаются" (ну, или наоборот "лезут в бутылку", дураки-то везде) при аргументированных возражениях.
поэтому всё зависит от настроя руководства -- готово ли оно "нагнуться" и/или "отсосать", потому что "так проще" или "как бы чего не вышло", или -- нет, и может в случае чего и "пободаться" (и при необх. подключить юриста и т.д.)[/more] да и малёхо офтоп.

вот, перенёс в тему.

Цитата:

Но как фаер, он ничто

речь идет о MD.

не соглашусь.
практически, это лучший "фаер".
им можно всё.

вот на примере:
разбираете ваши программы на доверенные - которым можно ходить в сеть по указанным направлением.
и ограниченные - которым нельзя в сеть.
все системные - под контроль и запреты. правила затачивал под локальную сеть и интернет.
импортировать для всех невозможно, слишком индивидуальные настройки.
на вкладке "сеть" можно убедиться, что самое гибкое правило, набор правил, влезет и будет исполняться от и до.
да и вся система с иерархией глобальное-список приложений(например "доверенные")-личные, являются лучшим решением в любой задаче.
да много чего ещё!
например: вы можете лично запретить приложению (тому же браузеру) соединение с определенным адресом/диапазоном. чем не дополнительное средство контроля?
а для локальной сети вообще незаменим.
попробуйте прикрыть сеть MD и просканируйте например MyLanViewer или аналогом, обещаю, удивитесь.
ни один фаер не запечатывает систему до почти полной невидимости, где будет аукаться только адрес.
метасплоитом бесполезно даже тыкать. даже на хрюше.
включил всплывающие сообщения - и все простукивания наяву.
да много чего там есть, всего не перенесёшь в буквы. надо пробовать.
так что.
даже близко подобного нет.

так как у меня и скриншоты морока, вот пару видео (не мои) о сетевых правилах для MD.
в рамках развенчания "Но как фаер, он ничто".
https://www.youtube.com/watch?v=GW0lA4dXrJ0
https://www.youtube.com/watch?v=muH9RN5jy5w

и пожалуйста, уделите время справке (MalwareDefender.chm), которая идет комплектом.
там много чего интересного.
от себя:
после настройки и/или обучения не забывайте переводить MD в

Цитата:

Тихий режим

почти все, кто начинал, игнорируют или не знают для чего он предназначен.
а потом истерика от выскакивающих окон с несущественными запросами и как следствие - обвинение в избыточности и недружелюбии MD.
что ещё:
ни одного винлокера и мбр-локера, не важно свежий он и как закриптован - не пропустила.
обновлений, баз, для этого не требуется
вроде всё по красавице.

Цитата:

Работа программы основана на поведенческой HIPS системе (Host Intrusion Prevention Systems — Система Отражения Локальных Угроз) с функцией файерволла, в скромной форме, реализованной в некоторых современных антивирусах и сетевых экранах.

означает ли это, что ее можно использовать с др. антивирусами?

Добавлено:

Цитата:

а потом истерика от выскакивающих окон с несущественными запросами и как следствие - обвинение в избыточности и недружелюбии MD.

так окна действительно есть? отчего?

Цитата:

означает ли это, что ее можно использовать с др. антивирусам

ни одного конфликта не встречал и не слышал про такое.
если у кого другое мнение, прошу огласить.
да, не забываем плотно подружить(читать:обучить и настроить) MD с остальными программами.
так как MD драйвер ядра окончательная инстанция, если ему что не знакомо и не понравится - финита ля комедия)


Цитата:

так окна действительно есть? отчего?

да, всё контролируется, даже мелочи.
например:
вы решили прямо из архива, не распаковывая, запустить на выполнение файл (это может быть и .exe, И .txt)
MD, если она не обучена или не настроена, проинформирует о создании дочернего процесса архиватором. для многих вот такие не нужные вопросы - напряжение духовных сил.
если перевести в тихий режим - всплывающих окон не будет, но и запустить любой дочерний процесс напрямую из архиватора, не получится. только распаковка, а потом как обычно.
но если зайти в правила для архиватора и на вкладке "разрешения" > "создание новых процессов" выставить разрешение или напрямую, в всплывшем окне вместо одного конкретного приложения вставить "*" (это значит все), больше такие окна всплывать не будут.

вообще "*" - универсально.
если вы не хотите заморачиваться с настройкой правил, и хотите например доверяемой программе разрешить всё, вместо определенного действия впихивайте это - *.
например творить что угодно в папке темп
c:\users\name\appdata\local\temp\*
на определенном диске
d:\*
и создание, управление, доступ к процессам, реестру, сетевые правила. и далее, и далее.
а можно всё это вставить в файловое правило или глобальное.
тогда:
c:\users\name\appdata\local\temp\*
будет действовать на группу файлов (файловое правило) или на все файлы (глобальное).
но не забываем! высшими правами обладает личное правило приложения.
то есть, если вы разрешили autoruns.exe всё, а в глобальных и файловых правилах есть ограничения, то они игнорируются.
autoruns.exe - можно всё!

что ещё.
например при вставке usb, будет всплывать окно, если не включен "тихий режим".
система пытается запомнить устройство и оставить информацию-идентификатор.
а для MD, вся эта скрытая возня в файловой системе (rundll32.exe), реестр - подозрение.
результат, всплывающее окно к барину - рассуди.
а при "тихом режиме", все эти ненужные телодвижения блокируются по умолчанию.
в итоге, тот же результат без всплывающего, фактически не нужного окна.



Добавлено:
так, добавлю, чтобы не путались в иерархии.
личное>файловое>глобальное
первое, наиглавнейшее.
теперь нюанс, который не улавливают иногда.
глобальные и файловые имеют следующие разрешения:

Цитата:

Игнорировать
Спросить
Разрешить
Запретить
Запретить и завершить процесс

личные, всё выше, кроме "Запретить и завершить процесс"
так вот.
если глобально "запретить создание новых процессов", а в explorer.exe, в личном правиле стоит "игнорировать", то исполняется глобальное. то есть - запрещено.
если в explorer.exe "спросить" - всплывёт окно к барину.
то есть.
обращайте внимание на "Игнорировать", если вам кажется, что порядок выполнения правил нарушен.
та же картина в сетевых и правилах реестра.

Цитата:

означает ли это, что ее можно использовать с др. антивирусами?

Единственный негативный опыт был с Антивирусом Касперским 6.0 Windows Workstations, в этой версии можно было при установке отключить сетевой экран, веб защиту, и оставить только режим антивируса. Я будучи уверенным, что Касперский работает только как антивирус, а MD как сетевой экран и проактивка, спокойно работал, не подозревая о том, что сетевой экран не работает совсем, так как Касперский даже с отключенным модулем сетевого экрана продолжал пропускать все через себя, создавая дыру для внешних атак.
На мой взгляд самая лучшая связка с нашим MD это Comodo 5-й версии, работает стабильно (6-ю версию не тестировал). Например, на одном из моих ноутбуков, стоит comodo c включенной проактивкой в режиме "параноидальный", и сетевой экран включен по максимуму и при этом MD одновременно работает в таком же режиме, и друг другу они не мешают, а скорее дополняют функционалом. А чтобы не было лишних запросов во время работы, в MD включен тихий режим, а в Comodo "родительский контроль".
Еще у меня comodo не пускает в инет MD, а MD в свою очередь не пускает comodo - так как я считаю что им там обоим делать не чего ))
Конечно, одновременная установка MD и COMODO это излишняя параноя, но я обычно это практикую там где реальный ip адрес, и комп не находится за nat.

SovaRu
Разве в решениях Kaspersky (KIS продукты) не реализован HIPS ? - не получается дублирование функций???

obtim
имхо, в решениях Касперского чёрт ногу сломит в интерфейсе. Они в плане лаконичности интерфейса и прозрачности правил и рядом не стояли с MD, у которого сейчас только один веский косяк - отсутствие х64 (что лично для меня не проблема вообще - скорее сдерживающий фактор, не позволяющий ставить MD всем подопечным, кто понапокупал ноутов с 4-8г оперативы, и соответсвенной платформой.. [кстати, видел 7 х64 на ноутах и с 2г - вот уж маразм так маразм..] Единственное, что причиняет более менее существенный баттхёрт - это что на серверные оси, начиная с 2008 не поставишь, а ведь так привык к возможностям..).

Короче, MD легковеснее и удобнее в использовании Касперских продуктов. Не вижу смысла вообще совмещать, если только не сидишь в режиме обучения MD, что, мягко говоря, странно.

ST4NN
Есть какая-нибудь личная статистика по "пропускам" данного продукта: была ли хоть одна машина, которую потом пришлось лечить с LiveCD ?

см. матусека. остальная "статистика", даже если и есть, показывает качество прокладок м-ду клавой и креслом, а не "продукта"

obtim, пропусков не было, т.к. когда виря ловят 100% из-за собственной тупости, в цвет отключив защиту (и не просто отключив, а переведя в режим обучения) - это не пропуск, а диверсия. А к самому MD претензий аще никаких, окромя того, что рушит порой в синьку tcpip.sys при шибкой большой сетевой активности в системе.

Цитата:

рушит порой в синьку tcpip.sys при шибкой большой сетевой активности

на XP SP3+ не сталкивался ни разу -- но у меня везде tcpip.sys пропатчен против 4226 (aka макс. полуоткрытых)

Цитата:

Защита папки от доступа

Вы можете создать глобальное файловое правило для защиты папки от доступа.

Например, чтобы защитить "c:\aaa\bbb", вы можете создать файловое правило "c:\aaa\bbb\*", и установить разрешение на чтение и запись в режим "Запретить". Если вы хотите скрыть список файлов в "c:\aaa\bbb", вам следует создать ещё одно файловое правило, написать "c:\aaa" в первом поле и "bbb" в поле "Файл или подпапка".

это из фака.
у кого работает сие?
(папки, папки. интересуют папки)

ни глобально, файлово, персонально, не получается.
даже не знаю на чего думать.
а функции администрирования вкупе - было бы неплохо.

folta

Цитата:

у кого работает сие?
(папки, папки. интересуют папки)
ни глобально, файлово, персонально, не получается.
даже не знаю на чего думать.

Опередили Присоединяюсь к вопросу. Как только не пробовал, папки называл и кириллицей, и английскими короткими и длинными словами и одиночными буквами\цифрами - не срабатывает, файлы\папки удаляются без вопросов... (

Кто знает ответ ?

Спасибо.

folta
Там у file rules приоритет ниже чем у application rules...

В смысле - если существует правило например для Тотал Коммандера, разрешающее ему читать любые файлы-папки, то этот запрет на доступ к этому "c:\aaa\bbb" на него не будет действовать.
Ну а например на Проводник - будет, если соответственно для Проводника нету правила, разрешающего ему всё подряд.

xChe
эт я вкурсе.
эксперементировал за пределами фака (напрямую с правилами explorer.exe и ключами реестра через md), но это не дело.
даже через личное правило explorer.exe нельзя прописать это для папки (именно папки!)

Цитата:

Защита папки от доступа
Вы можете создать глобальное файловое правило для защиты папки от доступа.

как??
опускаем правила приложений, личные правила, файловые менеджеры. ну это понятно.
у кого работает-то объявленная возможность?

чуется решение настройки этой возможности только через реестр. забиндить ключи внаглую)

folta
Вот в картинках:


Само правило выглядит так:


Реакция Проводника на попытку войти в закрытую папку d:\test\forbidden


Добавлено:
Консоль тоже не пускает:

xChe
так, мы немножко разбежались.
из-за меня.

Цитата:

глобальное файловое правило для защиты папки от доступа

я имею ввиду добавить невозможность удалить эти объекты.
мой ми пардон.
то есть, скорее надо рыть в сторону системного приложения, отвечающего за это.

folta

Цитата:

я имею ввиду добавить невозможность удалить эти объекты

Тогда глобальное правило будет такое:


Реакция соответственно такая:


ЗЫ: Malware Defender - отличная штука всё-таки...

а d:\test; forbidden находится в приоритете вторым, после

Цитата:

*

?

это есть в глобальных файловых правилах?
\device\namedpipe\*

у меня в правилах бардак, запустил, теперь пожинаю нестыковки.

Цитата:

находится в приоритете вторым

Да - там именно так и считается. Чем больше цифра, тем выше приоритет

всё. нашел косяк.
у меня в личном правиле explorer.exe для файлов стояло *

так и живём, до первой звезды)

теперь md и инструмент администрирования системы для пользователя

Вам-то всё понятно, а нам ? )
Как в голом MD (который вообще без никаких правил) запретить удаление\изменение содержимого папки ? (например, папка с разными файлами "D:\вася")

Прошу по возможности (для полного чайника) выложить скрин или готовое правило (rules.dat) для изучения .

Спасибо.

P.S. MD - мощный и безальтернативный инструмент, но немного сложный для понимания (для меня).

mbrz

mbrz
я без скрина постою)

создать правило>файловое правило
в открывшемся окне (см.красоту выше), впихиваем нужные папки (или тома, подкльчаемые диски) и правила для них, подпапок, файлов.
поднимаем приоритет к потолку (особенно если много всяких дополнительных правил)
всё.

если опять "не робит", проверяем личные файловые правила explorer.exe (или кто там у вас файлокомандером работает). не должно быть безоговорочных разрешений.
обращаем внимание на групповые правила, если файлокомандер уже в группе.
вроде всё.