Касперский

Алекс, просвети нас сирых про "альтернативнуе способы", хоть чуть конкретики от Гуру. Буди добр, растолкуй чёпачём-чёкак, а?

Maksum, поставьте после касперского аваст и будете приятно удивлены, у каждого антивиря "свои понятия" А НОД32 всегда отличался качеством и не такой тормознутостью, так что в пору нашего безлимитного интернета...Ай даже говорить не хочется

ledokol <div class='quotetop'>Цитата</div><div class='quotemain'>Алекс, просвети нас сирых про "альтернативнуе способы", хоть чуть конкретики от Гуру. Буди добр, растолкуй чёпачём-чёкак, а?[/quote] Попытаюсь но это достаточно большая тема. Прежде всего что же такое вирус? вирус это такая же программа как и все остальные, локальный вирус может иметь расширения *.exe *.bat и очень редко *.com с разу оговорюсь под вирусами я имею ввиду программы с любым вредоносным кодом строго говоря вирус это программа способная к самораспространению, трояны - это программы способные пересылать вашу конфиденциальную информацию на компьютер заинтересованых лиц, наконец так называемые логические бомбы это программы которые сидят в компьютере до определённого момента, а потом производят разрушительные действия в операционной системе проще говоря при нажатии пользователем определённой клавиши или при наступлении какой либо календарной даты они стирают важные системные файлы, без которых загрузка или работа операционной системы становится невозможна. Для начала нужно включить отображения расширения зарегистрированных типов файлов, для этого нужно зайти в панель управления выбрать «свойства папки» и во вкладке «вид» снять галочку со строки «Скрывать расширения для зарегистрированных типов файлов» там же чуть ниже выбрать «Показыать скрытые файлы и папки», но это всё будет бесполезным если мы не отключим автозагрузку, для этого нужно создать файл с помощью блокнота и написать там следующее: <div class='quotetop'>Цитата</div><div class='quotemain'>Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000[/quote] сохранить файл с расширением *.reg запустить его и перезагрузить компьютер. Всё, автозапуск CD/DVD отключен.Чтобы восстановить функцию автозапуска нужно последний Нуль поменять на 1(еденицу).Теперь поговорим о том как защититься от главной сетевой угрозы – Java-скрипт.Технология Java в вашем браузере позволяет Интернет сайтам производить различные действия на вашем компьютере вплоть до создания файлов. Поэтому гуляя по неизведанным просторам Интернета особенно по порносайтам нужно отключать в браузере поддержку Java.Что касается браузера, то лучше использовать FireFox или Opera не потому что IE самый плохой, а потому что именно в нём чаще всего ищут уязвимости и используют их для того чтобы занести вредоносный код в ваш компьютер. На примере FireFox отключить джава можно так: кликните вверху окна «настройки» затем «опции» откроется небольшое окно в котором нужно кликнуть по вкладке «содержимое», там нужно снять две нижние галочки которые включают поддержку джава. Но не забывайте её включать когда заходите на почту или некоторые форумы которые не работают без поддержки джава, и соответственно выключать, когда посещаете неблагонадёжные сайты.
Так же в виндовс должен быть включен брандмауэр и желательно(хотя и не обязательно если Вы знаете что делаете) не работать в системе под администратором. Естественно не устанавливайте кодеки которые предлагают установить порносайты (кстати от них и антивирусы зачастую не спасают)что же касается флэш-карт, то пользуйтесь только своей флэшкой вы должны знать как никто другой что на ней записано. Это самые необходимые меры приняв которые вы защитите свой компьютер лучше любых антивирусных программ.</div></div>

Вот! Спасибо за конкретику. Я так толково не написил бы, а так - готовый совет. Хотя я считаю наличие антивиря обсолютно не лишним, и флешки чужие частенько юзать приходится, и от паранои помогает.</div>

Чо-та вы, батенька, в показаниях путаетесь. То "антивирус дерьмо, гемора много пользы мало, т.к. жрет ресурсы не в себя", то "Сейчас стоит НОД32 и Аутпост 2009, проблем не знаю".</div>

Как только ты найдёшь хоть один мой пост со словами "антивирус это круто", я немедленно с тобой соглашусь.


<div class='quotetop'>Цитата</div><div class='quotemain'>at_hacker Это писалось для www а не для локалки если быть точным, то как альтернатива DCC в IRC если заведёшь обрати внимание на скорость
Но ты меня убедил в своей "компетентности" ;-)[/quote]
Предполагалось, что я по страшного вида форме, которая на фоне цвета неожиданности содержит три кнопки и одно поле ввода должен сделать вывод о функциональности программы? Извини, телепаты, в том числе и зрящие в суть кода, в отпуске.

Кстати, делать к таким поделкам ещё и инсталлятор -- это полный моветон. Просто exe-шник выложить тебе понты не велят, я так понимаю?</div></div>

Тебе дали исчерпывающие советы. Удивительно, что флейм ты заметила, а советы -- нет.

<div class='quotetop'>Цитата</div><div class='quotemain'>Короче, на компе вирусов нет, скидывала на флешку информацию и носила на работу, там НОД 32 стоит, ничего не нашел. Посоветовали найти в Восстановлении системы точку отсчета, сегодня попробую, но у меня в Восстановлении системы все отключено, вчера смотрела, наверно придется винд переустанавливать. [/quote]
Проверка некоей мифической "информации" на флэшке ничего не даст. Вирус у тебя В СИСТЕМЕ, т.е. файлы расположены в глубине системных каталогов (windows и/или windows/system32), либо в пользовательском профиле, а не в "информации". Так что проверять надо не флэшку с несколькими файликами, а диски твоего компьютера.</div></div>

Гениально! Мега-круто! Теперь, я так понимаю, нам надо с нетерпением ждать публикации таблицы умножения в твоём изложении?

Полная чешуя. Как насчёт расширений .vmx? ;-) Вирусу пофиг, какое расширение он имеет. Грамотное прописывание себя в реестр позволяет ему вообще никаких расширений не иметь в том числе.

<div class='quotetop'>Цитата</div><div class='quotemain'>Теперь поговорим о том как защититься от главной сетевой угрозы – Java-скрипт.Технология Java в вашем браузере позволяет Интернет сайтам производить различные действия на вашем компьютере вплоть до создания файлов. Поэтому гуляя по неизведанным просторам Интернета особенно по порносайтам нужно отключать в браузере поддержку Java.[/quote]
Дружок, я тебе открою страшную тайну. Это нелегко, но тебе придётся как-то с этим жить. Javascript и поддержка java -- это две разные технологии.

Что касается авторана, то своим советом о правке реестра ты советуешь отключить только автопроигрывание CD. Которое ваще-то крайне (я бы даже сказал, исключительно) редко является средством заражения. А вот флэшек и жёстких дисков этот ключ не касается никоим образом. Авторан на всех приводо выключается без правки реестра, через интерфейс. Это тоже некоторым трудно принять, что винда на самом деле достаточно продумана и позволяет многое сделать, не копаясь в своих внутренностях. gpedit.msc -> Конфигурация пользователя -> Административные шаблоны -> Система -> Отключить автозапуск. Выставить во "Включить" и выбрать "Всех дисководов".</div></div>

at_hacker расслабся, парень просто хотел бляснуть знаниями
особенно сидел и плакал читая про расширения зверюшек и вообще методах борьбы с оными
п.с. даю бесплатно лучший метод борьбы, запатентованый отцом Федором, только для читателей данного топика бесплатно
6 раз на ночь перед системником прочитать отче наш и окропить святой водой и всяка зараза однозначно згинет

Окропить желательно внутренности системника. и из кружки с размаху. </div>

at_hacker
если ты хочешь доказать что ты круче, ради бога я не собираюсь этого оспаривать просто ledokol задал конкретный вопрос я попытался дать как можно более полный ответ
Что касается "запихивать екзешник в инсталлятор" то это всего лишь способ его ужать.
Кстати что ты имел ввиду под 13м прерыванием IRQ-13 или int13h?
судя по твоим словам насчёт "таблицы умножения" и "цвета неожиданности" я прихожу к выводу что твоё поведение похоже на поведение тролля, который ищет конфликтов но извини троллей не подкармливаю, так что мне на твои вырутасы абсолютно сиренево кстати Maksum тебя это тоже ксается <div class='quotetop'>Цитата</div><div class='quotemain'>Удивительно, что флейм ты заметила, а советы -- нет[/quote] тут же не все такие крутые как ты, если бы она знала те слова которыми ты так распиналсо, то она бы и не спрашивала совета. Ты видать подзабыл то время когда сам на компьютер с вилами бросалсо(специально для троллей поясняю: "с вилами бросалсо"это не значит что человек это действительно делал это всего лишь означает то, что человек не родился с этими знаниями и когда то тоже сидя за компом не понимал что это такое и что нужно делать)</div>

Этот ответ не только далёк от полного, но ещё и полон косяков.

<div class='quotetop'>Цитата</div><div class='quotemain'>Что касается "запихивать екзешник в инсталлятор" то это всего лишь способ его ужать.[/quote]
Нафига? По интернету отлично и архив бегает, а при лежании на винте какая разница -- 400 килобайт весит файл или 800? Ну и ваще-то белые люди придумали упаковщики исполняемых файлов.

<div class='quotetop'>Цитата</div><div class='quotemain'>Кстати что ты имел ввиду под 13м прерыванием IRQ-13 или int13h? [/quote]
Неужтно гугль уже забыл про ассемблер реального режима для x86?</div></div></div>

Галимый копирайт писал не я, но работать должно)) в виду своей лени нижеописанное не делал юзаю антивиря, ввиду паранои их у меня три)) +пара фаерволов
PS: Делайте поправку на 2006 год.
Защищенная ось без антивирусов и тормозов
Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус — это сама ось! Нужно только научиться правильно ею пользоваться!
Терминологические войны
Windows NT (и все производные от нее системы — W2K, XP и частично Vista) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, необходимо уточнить ряд определений.
Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS, когда единственным средством добычи новых программ были дискеты товарища или, в лучшем случае, FIDO и BBS. С эпидемиологической точки зрения, все это создавало крайне напряженную обстановку. Копировать программы друг у друга — все равно что ширяться из одного шприца. С другой стороны, антивирус годичной давности считается вполне свежим и актуальным. Основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.
С появлением сети пользователи стали закачивать дистрибутивы программ из инета, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно не обязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь. Такие вирусы принято называть червями, и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.
Еще существуют «психологические» вирусы, представляющие собой обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, web и ftp. Свою историю они ведут от «крэкеров интернета», завлекающих бесплатным доступом в сеть, а на самом деле, форматирующим жесткий диск. Этот подкласс заразы назвали Троянским Конем. Сейчас же времена первобытного варварства остались позади, и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливают шпионскую закладку, похищающую пароли и содержимое электронных кошельков. Такие компьютеры принято называть зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей. Например, рассылать спам.
Антивирусы — за гранью возможного
Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлы средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скачанной из сети.
Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами и проверяющий их на лету, — это дополнительные тормоза (подчас очень значительные): конфликты, критические ошибки, голубые экраны смерти и прочий ничем не оправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того, вирус, упакованный слегка подправленной версией крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП, и для их снятия требуется статический распаковщик, входящий в «движок» антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию, неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2), и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!
Впрочем, даже если антивирусу удастся побороть упаковщик и передать эвристику, распакованный код никаких вирусных признаков все равно там ни за что не обнаружит, ну разве что это будет пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле «rm -rf/» с высокой степенью указывает на зловредную программу, но их очень легко зашифровать. Еще эвристик может анализировать таблицу импорта и аргументы, передаваемые функции GetProcAddress. А если там встретится WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, он сделает вывод, что имеет дело с программой, способной внедряться в другие процессы. Верный признак червей и отладчиков. Ситуация сильно осложняется тем, что многие вирусные приемы сейчас активно используются протекторами, и, если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя! Да и вообще, если создатель вируса неглупый человек, то он многократно прогонит его через различные эвристики, добиваясь их полной и безоговорочной капитуляции.
Что же касается червей (и, в частности, нашумевшего MS BLAST, известного также под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют — что толку? Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же всегда существует вероятность, что кто-то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый никаким антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т.д.
Еще существует такой тип антивирусов, как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры также контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас винчестеры так разжирели, что процедура сканирования отнимает кучу времени, к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы, не говоря уже о том, что при правильной политике разграничения доступа сводит актуальность сканеров на нет, тем более, начиная с W2K, система сама контролирует целостность жизненно-важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.
Контроль над целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.
Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справится (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от интернета и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).
Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама — никакие дополнительные костыли ей не нужны!
Разграничение доступа — попробуй пробей
В отличие, например, от BSD, Windows NT не является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени, и прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения, и лишь потом… А вот в BSD все очень просто: нажал Alt-F#, переключился на соседнюю консоль — и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но механизма взаимодействия между пользователями как не было, так и нет.
Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это, во-первых, совсем не то, а во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что без бубна здесь не обойтись. Если нет бубна, то сойдет и обычный оцинкованный таз.
Идея противостояния вирусам заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале — на виртуальной машине типа VMware.
Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под «администратором», поскольку любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения «ремонтных» работ — установки новых драйверов, изменения параметров конфигурации и т.д. А все остальное время проводить под «опытным пользователем» или просто «пользователем» с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие «злачные» места. Зато потом наступает тишь да гладь — ни вирусов, ни другого малваре.
Необходимость в периодическом резервировании, естественно, до сих пор существует. Надежнее всего резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD-RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, «backup», зайдем под его именем в систему, создадим каталог general-stores (то есть общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку «свойства», а там — «безопасность» со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем «всех» напрочь, предварительно сбросив галочку «переносить наследуемые от родительского объекта разрешения на этот объект». Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть «backup»), может войти в раздел «безопасность» и вернуть «всех» на место. Внимание! Администратор не сможет этого сделать! Ну вообще-то, чтобы так не извращаться, после удаления «всех» можно добавить пользователя «backup», делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы, добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, неправда ли? Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя «backup»? Ведь тогда доступ к архиву не сможет получить никто! К счастью, штатная утилита chkdsk распознает такую ситуацию, и, если видит подобный каталог-зомби, она автоматически возвращает «всех», воскрешая информацию из небытия.
Песочница — не только детская радость
Нашей следующей задачей будет постройка «песочницы» для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, Fire Fox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, которые явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его, к примеру, «sandbox» (то есть песочница), однако в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).
Итак, создан ограниченный пользователь «sandbox», в свойствах «безопасности» каждого каталогов (или всех дисков целиков) «sandbox» добавлен, и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять «всех» совершенно не обязательно). По завершению этой нехитрой операции у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).
Попробуем запустить в песочнице, например, Firefox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в «свойства», затем — в «дополнительно» и там взводим галочку «запускать от имени другого пользователя». Говорим «ОК» и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И… Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем (в XP и выше проблем с конкретной Firefox также не возникает. — Прим. редактора). А здесь нужен бубен или более конкретно — файловый монитор Марка Руссиновича, показывающий, на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора: создаем ярлык и взводим уже известную нам галочку «запускать от…»! В данном случае файловый монитор запускается, потому что запрограммирован правильно, и мы быстрым спортивным шагом идем в Options -> Filter/Highlight или нажимаем <CTRL-L>. В появившемся диалоговом окне взводим все галочки, кроме «Log Successes», поскольку мониторить успешные операции нам незачем! Нам нужны ошибки! Нажимаем «OK» и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет — это нормально. А вот дальше Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают, и он тихо умирает.
Да… задача. Пробуем утилиту командной строки runas, запустив ее так: «runas /user:sandbox firefox.exe» (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и… ничего! Теперь Горящий Лис лезет в Document'n'Setting\Default User, куда ему также нет доступа! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: «runas /profile /user:sandbox firefox.exe». Теперь запуск проходит без проблем!
А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в «program files\opera».
Остальные программы «распутываются» аналогичным образом. Если не помогает файловый монитор, то качаем монитор реестра (www.sysinternals.com/Utilities/Regmon.html) и смотрим, в каких ветвях нуждается программа. Маленький подводный камень: перенаправить ввод с клавиатуры на файл, увы, не удастся, и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу, лишенную этих недостатков. Нам же главное — создать кучу пользователей, распределив права доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.
Заключение
Создание защищенной системы без использования антивирусов — это реально! Пускай на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных. Зато будешь знать наверняка, что, работая на твоей любимой машине, домашние ничего плохого с ней сделать не смогут.
ИНФО
Если в свойствах папки или файла ты вдруг не обнаружишь вкладки «Безопасность», можешь во всем винить парней из Microsoft. Ребята решили упростить все до безобразия и по умолчанию спрятали эти настройки от ушастого пользователя. Вернуть все на свои места можно через «Проводник -> меню Сервис -> Свойства папки -> Вид», где нужно снять галку с опции «Использовать простой общий доступ к файлам».
кто попробует просьба отписать можно в ЛС
at_hacker, @lek$ спор явно ни очем хотите помочь девушке и знаете как приедте в гости
Ув. Модераторы просьба не резать заранее спасибо

at_hacker <div class='quotetop'>Цитата</div><div class='quotemain'>Неужтно гугль уже забыл про ассемблер реального режима для x86?[/quote] Во первых: а при чём тут режим? мы говорим о прерываниях, во вторых мне эти вещи незачем гуглить, а в третьих прежде чем ввернуть верхушку которую ты где то схватил, изучи предмет, гугль здесь не поможет. В общем с твоими знаниями всё понятно <div class='quotetop'>Цитата</div><div class='quotemain'>Этот ответ не только далёк от полного, но ещё и полон косяков.[/quote] косяк возможно есть но это связано с тем что у меня стоит английская версия FireFox, но опять же это не значительно, кому нужно тот найдёт нужные опции
И ещё... я не совсем понял выражение: <div class='quotetop'>Цитата</div><div class='quotemain'>автопроигрывание CD[/quote] этот ключ в реестре включает и отключает реакцию ОС на чтение файла autorun.inf со всех CD/DVD приводов находящихся в системе.

P.S.
at_hacker ты хоть сам то понимаешь что хочешь доказать? Если хочешь доказать что больше знаешь, то доказывай знаниями а не выражениями типа: <div class='quotetop'>Цитата</div><div class='quotemain'>Гениально! Мега-круто! Теперь, я так понимаю, нам надо с нетерпением ждать публикации таблицы умножения в твоём изложении?[/quote] если мой ответ не полон, дополни его, но зачем изливать желчь на аффтара? тем более как я сказал:" Мне абсолютно сиренево на твои выкрутасы " так что ты выбрал "неправильную жертву" </div></div></div></div>

@lek$ спасибо, что отнес меня вместе с хакером к троллям, приятно честно говоря находится в такой компании
но все же твое поведение в данном топике больше похоже на троллинг, видимо исчерпав аргументы ты прибег к самому сильному в стиле "сам дурак", но к сожалению на него я не поведусь, бесполезные холивары разводить с вами вломак ибо по теме я все отписался, причем в смыловом контексте именно для девушки, повтор считаю неуместным, а вступать с вами в полемику бессмысленным
ибо
1. не фиг писать не по теме топика
2. чую что некое создание, в причастности к которому меня заподозрили, все-же мой оппонент и желает тут слеганца оторваться

Статья верно излагает положение дел в сфере вирусов. Тока малость однобоко трактует положение и полезность антивирусов.

Дырвеб стоит 990 рублей на год. Это немалые деньги? 82.5 рубля в месяц. Касперский -- примерно столько же. Купить на два года -- получится и того меньше. Продление -- процентов на 30 дешевле, т.е. на год -- меньше 700 рублей.

<div class='quotetop'>Цитата</div><div class='quotemain'>Если в свойствах папки или файла ты вдруг не обнаружишь вкладки «Безопасность», можешь во всем винить парней из Microsoft. Ребята решили упростить все до безобразия и по умолчанию спрятали эти настройки от ушастого пользователя. Вернуть все на свои места можно через «Проводник -> меню Сервис -> Свойства папки -> Вид», где нужно снять галку с опции «Использовать простой общий доступ к файлам».[/quote]
Угу, это всё так. Тока опять же, статья умалчивает о том, что вкладки "безопасность" может и не быть в принципе, по той просто причине, что диск отформатирован в FAT32.

Способ, конечно, хороший, позволяет сэкономить на антивирусе. Остаётся тока упомянуть, какая потребуется квалификация, чтобы грамотно отстроить систему прав доступа на объекты файловой системы для учётных записей-песочниц. По-моему, тут книжек и интернета придётся потратить больше, чем стоит антивирус Так что для рядового юзера можно ограничиться тремя рекомендациями -- поставить антивирус, отключить автораны и не работать под админом.

Что касается деятельности антивирусов, то для антивируса достаточно хотя бы возбухнуть, когда в системе начнёт происходить что-то не то. Этого уже более чем достаточно, и даже если антивирус не справится с вирусом сам, вирус можно будет замочить и "ручками". Вирусы, конечно, крутые есть, но другая положительная сторона в том, что они легко убиваются руками, при наличии нужных знаний. С файловыми вирусами такой ход не прокатил бы.

Очень неприятно будет узнать, что на компе троян, который сливает твои пароли, допустим, от клиент-банка куда-нибудь налево, вместе с ключами. Никакой файрвол тут не поможет, вирус сможет сделать это из вполне белого процесса -- из того же браузера, отправив соответствующий запрос на свой сайт. Файрвол, естественно, это не заблокирует, потому как для браузера такая активность как раз является целью его существования.</div></div>

Ну как-то щас не принято пользоваться прерываниями BIOS в защищённом режиме. Все системы, которые работают в этом режиме, BIOS не используют вообще.

<div class='quotetop'>Цитата</div><div class='quotemain'>во вторых мне эти вещи незачем гуглить[/quote]
Чо ж тогда глупые вопросы задаёшь про разницу между IRQ и int13h?

<div class='quotetop'>Цитата</div><div class='quotemain'>И ещё... я не совсем понял выражение: этот ключ в реестре включает и отключает реакцию ОС на чтение файла autorun.inf со всех CD/DVD приводов находящихся в системе.[/quote]
Не то же самое я сказал? Но основная мысль не в этом, а в том, что компакты или DVD сейчас -- очень редкий источник заражения. Ну разве что у другана перепишешь софт какой с трояном, но от этого запрета авторана на CD не поможет. Основные заражения через авторан происходят с флэшек. Так вот твой совет никоим образом эти заражения не остановит и даже не усложнит. Он просто ортогонален автозапуску флэшек.

<div class='quotetop'>Цитата</div><div class='quotemain'>at_hacker ты хоть сам то понимаешь что хочешь доказать? Если хочешь доказать что больше знаешь, то доказывай знаниями а не выражениями типа: если мой ответ не полон, дополни его, но зачем изливать желчь на аффтара? [/quote]
Доказать я хочу следующее -- не обладая полным набором знаний по теме, не стоит выдавать свои слова за истину в последней инстанции. А уж тем более делать выводы, что антивирусы -- бесполезная лажа. Поверь мне, у меня работа состоит процентов на 20 из занятий антивирусным экзорцизмом, так что у меня несколько больше оснований судить об эффективности и полезности антивирусов.

<div class='quotetop'>Цитата</div><div class='quotemain'>тем более как я сказал:" Мне абсолютно сиренево на твои выкрутасы " так что ты выбрал "неправильную жертву" [/quote]
То-то я смотрю, что ты активно продолжаешь поддерживать дискуссию, которая тебе "абсолютно сиренева" ;-)</div></div></div></div></div>

Ну вот... накатал нечто вроде мануала, а про самое главное забыл.... Во всех BIOS с которыми я сталкивался, постоянно почему то была отключена опция Write BIOS Protection (=Disabled) которая при включеном состоянии запрещает перезапись BIOS но если вирус будет использовать алгоритмы типа nTunes то снести BIOS ему не составит большого труда, и после перезагрузки можно попрощаться с этим компьютером.Для тех кто не знает чем это грозит, обьясняю: материнскую плату после этого можно смело выбрасывать на помойку если только не найдёться другой абсолютно такой же материнской платы и диска (дискеты,флэшки) с вашей версией прошивки BIOS. Так что желательно проверить и включить эту опцию, если она не включена.
P.S.
В разных версиях BIOS она может называться несколько иначе, но слова BIOS Protection обычно присутствуют.

О господи, где ты тока траву такую берёшь. Насколько я помню, вирусов, убивающих BIOS, было всего два -- приснопамятный CIH, и ещё Win32 KRIZ, который был передран с CIH'a. И оба они умерли уже много лет назад. Так что угроза содержимому BIOS со стороны вирусов -- это уже давно неактуально.</div>

at_hacker <div class='quotetop'>Цитата</div><div class='quotemain'>Так что угроза содержимому BIOS со стороны вирусов -- это уже давно неактуально.[/quote] может ты и прав, но раз это позволяется сделать какой нибудь программе, то кто нибудь рано или поздно этим воспользуется. Кстати есть ещё одна программа которая может вывести железо из строя, только речь идёт о видео картах называется она PowerStrip кто нибудь может и её эскплойты заюзать. Так что у вирусописателей ещё много способов преподнести убойный сюрприз.</div>

флудеры блин
и нафига все это знать человеку задавшему вопрос, может стоит выделить это в отдельную ветку,
ибо у нормального юзверя от ваших речей "вскипит разум возмущенный "

алекс с арсением пищите еще, давно такого бреда не читал

Ты просто не осознаёшь современных тенденций. Вирусописательство сейчас поставлено на широкую ногу не просто так, а с коммерческими целями. Коммерческие цели подразумевают, что после заражения система будет использоваться для чего-нибудь, например, для рассылки спама. А убийство BIOS означает и выведение заражённой системы из строя наглухо, то есть ни для каких целей её больше не поюзаешь. Нахрен никому не надо этим заниматься.

Зашли-ка ссылку про удачные выпаливания видео-карты с помощью PowerStrip. В децтве её юзал в разных позах, но видюха умирать решительно не желала ;-)

Tr1aL, тссс, не спугни! </div>

at_hacker, сагласин

at_hacker про убиение Железа в лице мат платы) видел 2 раза)) 1 машина 086 (типо искра)))) и 486 мега четверка)),
по поводу выкинуть мат плату эт все зависит от рук и склада ума
Но Имхо выкинуть проще