RegTest - jak skuteczna jest Twoja ochrona rejestru?

[ichito]

06 wrz 2010, 11:23

GhostWall - prostą w konfiguracji zaporę zna wielu użytkowników...ale oprócz tego Ghost Security ma do zaoferowania kilka innych produktów (mi.in. bardzo sympatyczny HIPS pod nazwą AppDefend znany również jako GSS - Ghost Security Suite), których lista pod linkiem
http://www.ghostsecurity.com/products/
Chciałbym jednak chwilę zatrzymać się i zaproponować tester ochrony rejestru czyli RegTest. Program przeprowadza 2 testy-symulacje:

Test nr 1 - próbuje otrzymać dostęp do niektórych pozycji autostartu w rejestrze, które wczytują się przy każdym uruchomieniu systemu, a następnie szybko przeprowadzić ich modyfikację zmieniając oryginalną zawartość. Ten test wskazuje jak skuteczna i jak szybka jest ochrona rejestru przy wyłapywaniu takich zmian. Wiele programów, których zadaniem jest ochrona m.in.rejestru potrzebuje jakiejś tam ilości czasu - choćby kilku sekund - na sprawdzenie i zarejestrowanie zmian w rejestrze...te kilka sekund wystarczy, by zostać skutecznie zainfekowanym.

Test nr 2 - próbuje otrzymać dostęp do różnych lokacji auto-startu w rejestrze i następnie zasymulować restart komputera. Ten symulowany restart odbywa się po koniecznym do jego przeprowadzenia planowym restarcie - jeśli ochrona komputera jest skuteczna, mamy tylko 1 restart i drugi ręczny, po którym otrzymamy komunikat. Jeśli test zostanie wykonany (czyli ochrona jest nieszczelna) po drugim automatycznym restarcie otrzymamy odpowiedni komunikat, że nasz system jest podatny na tego typu infekcje. Jeśli otrzymasz komunikat ze strony swoich programów po restarcie to również oznacza, że twoje programy nie chronią cie przed takim atakiem.

Instrukcja:
1 - zrób kopię rejestru, ponieważ działanie programów zabezpieczających może spowodować niespodziewane i niekorzystne zmiany...koniecznie!!
2 - włącz wszystkie programy monitorujące zmiany w systemie (sprawdzić czy wszystkie mają włączony start z systemem)
3 - przeprowadź obydwa testy
4 - chyba najlepiej będzie teraz przywrócić rejestr

Test do pobrania tutaj http://www.ghostsecurity.com/registrytest/
Test nr 1 - tak powinno być http://a21.idata.over-blog.com/0/22/17/ ... test-1.jpg
Test nr 1 - tak nie powinno być http://www.ghostsecurity.com/images/regtest02_large.jpg
Test nr 2 - tak nie powinno być http://a33.idata.over-blog.com/0/03/91/ ... gtest2.jpg

Jak z testem u mnie?... test nr 1 - Symantec nawet nie jęknął, a SpyShelter zapytał czy uruchomić test (przynajmniej tyle)...potem już poszło gładko czyli żadnej ochrony przed modyfikacjami...test nr 2 - reakcja przed uruchomieniem taka sama jak wyżej...po czym ten drugi zasymulowany przez test restart.
Wniosek pierwszy - moje zabezpieczenia nie bronią przed takimi atakami...
drugi - chyba sobie zainstaluję jakiegoś "prawdziwego" HIPSa.

[Eru]

06 wrz 2010, 15:50

Dziwne bo SS u mnie pytał przy każdej próbie modyfikacji przez ten test - w 1 teście

[ichito]

06 wrz 2010, 18:56

U Ciebie Eru przeszedł pomyślnie? To jak masz ustawionego SS? Na gorąco jeszcze kilka uwag...
- Dynamic Security Agent tylko spytał czy uruchomić test...2 razy bo uruchamiane są dwa pliki (podobnie było u SS)
- Malware Defender 2.7.1 (ostatnia darmowa wersja z wiosny tego roku) nawet nie spytał...i w jego przypadku przydała się kopia rejestru, o której wspominałem...jego deinstalacja odbyła się z kłopotami tzn. zostawił po sobie kilka plików (sterowników), które stale się uruchamiały...nawet usunięcia ich odwołań w Autoruns nie dało się przeprowadzić, bo odnawiały się po starcie systemu
- jak dam radę, to jutro spróbuję z System Safety Monitor i AppDefend oraz RegDefend (te 2 ostatnie od Ghost Security właśnie).

[Eru]

06 wrz 2010, 19:00

Ja mam SS na standardowych ustawieniach

[ichito]

06 wrz 2010, 19:43

Kurna...to co jest z SS u mnie? Ale OK...w takim razie, co z testem nr 2 u Ciebie?

[Eru]

06 wrz 2010, 19:52

Posypał się explorer i musiałem się wylogować i zalogować ponownie Potem wolałem nie eksperymentować

[zord]

06 wrz 2010, 19:57

u mnie 1 test zaliczony 2 test robiłem 2 za pierwszym razem SpyShelter wyswietlał monity a potem mnie wylogowało z systemu za 2 razem razem musiałem sam restartnąć bo najpierw były monity SS a potem ekran mrygnoł i zostało tylko okienko ghosta

[ELWIS1]

06 wrz 2010, 20:31

Ja nawet tego testu nie moglem odpalic:P

AVG IDP go usunal

[Meir]

06 wrz 2010, 22:45

Test 1-zaliczony...przy Teście 2-wali się explorer(próbowałem dwa razy)...nie ma żadnych restartów ani wylogowań...musiałem tylko uruchomić explorer.exe.

BTW.Kopii rejestru nie robiłem(wskazówki Ichito doczytałem po testach )

[ichito]

13 lis 2011, 11:36

OK...wiem już czemu SS nie przeszedł u mnie testu...przy pierwszym teście powinienem blokować każdą akcję modyfikacji rejestru w autostarcie - kiedy tak robiłem, żadna modyfikacja się nie dokonała i test nr 1 zaliczono pomyślnie. Przy 2 teście SS pyta 2 razy - i obie operacje zabroniłem...nastąpił pierwszy konieczny restart, a drugi został wymuszony ręcznie - wygląda więc, że wszystko w porządku, choć okna żadnego na koniec nie dostałem...hmmm.
Natomiast Malware Defender i DSA poległy chyba tylko z tej przyczyny, że obydwa HIPSy były w trybie uczenia się - więc po podstawowych zezwoleniach, dalej zezwoliły na wszystko. Nie przyszło mi do głowy, że to błąd z mojej strony Nie będę niestety próbował ponownie z włączonym trybem "pytaj o wszystko", bo to zbyt dużo zabawy, żeby potem system wyczyścić.
Zainstalowałem na koniec AppDefend (Regdefend nie instalowałem osobno bo już jest zaimplementowany jako osobny moduł w AppDefend). Tu było sporo zabawy...
- test 1: AppDefend spytał o uruchomienie testu (1 raz przy zezwoleniu na wszystko i 5 razy przy jednorazowym), potem spytał RegDefend - zezwoliłem obu, potem odezwał się RegDefend i 7 razy (tyle ile prób modyfikacji rejestru) spytał o decyzję...zabroniłem i test nr 1 został zaliczony pozytywnie
- test nr 2: RegDefend spytał o uruchomienie i zabroniłem...potem szybki restart i ukazało się okno z prośbą o oczekiwanie na wykonanie testu...okno było zamrożone przez kilkanaście minut, więc zrobiłem ręczny restart...normalne logowanie i praca systemu, żadnych okienek z komunikatem...zrobiłem drugi restart i też to samo...sam się zastanawiam, czy wszystko poszło OK.
System Safety Monitor nie był testowany, bo nie udało mi się go prawidłowo zainstalować...przy 2-krotnej instalacji od nowa zawsze przy próbie uruchomienia miałem komunikat, że bark sterowników w systemie i prośba o reinstalację.
Ostatnie uwagi...tak sobie myślę, że i widać to było u mnie na samym początku...wirtualizacja dysku systemowego chroni przed takim zagrożeniem, bo po restarcie nic się nie działo (w końcu został uruchomiony czysty system ) tak zadziałał Shadow Defender, ale podejrzewam, że każdy program do wirtualizacji dysków da ten sam skutek...czyli żadnej modyfikacji i infekcji. Ciekaw jestem, jak poradziłyby sobie programy bazujące na polityce piaskownicy...może ktoś z GeSWall lub DefenseWall spróbuje tego testu?
Na koniec wniosek ostatni...mam teraz sporo zabawy z ręcznym czyszczeniem rejestru, ale czego nie robi się dla "nauki"