OSArmor - blocker behavioralny od NoVirusThanks
#21
No sporo wszedło...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#22
Przeklikałem przez filmik - pokazujesz, które ransomware zostały odpalone, a które zatrzymane - ale nie widzę, czy sprawdzałeś, czy udało im się finalnie zaszyfrować też kopie cieniowe plików? Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#23
Hi

Akurat na tym konkretnym ransomie nie mogę tego sprawdzić, bo chociaż wykonuje ransom po kodowaniu odpowiednie komendy do usunięcia kopii cieniowych:

Kod:
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

to poza nawet zainstalowanym OSArmor można pliki przywrócić, czyli robi to w sposób nie umiejętny.

Jak będę miał więcej czasu to sprawdzę ochronę kopii cieniowych przez program OSArmor, na konkretnych ransomach które wykonują to zadanie prawidłowo.
Odpowiedz
#24
Sprawdziłem czy program zablokuje działania usunięcia kopii cieniowych za pomocą Ransomware Magniber - efekt jest taki że radzi sobie z tym działaniem i realnie zaszyfrowane pliki można przywrócić.

Kod:
Process: [2980]C:\Windows\System32\cmd.exe
Parent: [2616]
Rule: BlockDeletionOfShadowCopies
Rule Name: Block system processes from deleting shadow copies
Command Line: "cmd.exe" /c "C:\Windows\system32\wbem\wmic shadowcopy delete"
Odpowiedz
#25
Kolejna wersja

Cytat:Here is a pre-release (not final) of OSArmor v1.4:
http://downloads.novirusthanks.org/files/osarmor_setup_1.4_test.exe

*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

This is the changelog so far (will be updated on the next days):

+ The program is now installed on Program Files
+ Added support for exclusions via Exclusions.db file
+ Added support for custom block-rules via CustomBlock.db file
+ Added option "Disable Protection" on tray icon menu
+ Added option "Manage Exclusions" on main GUI and on tray icon menu
+ Added option "Custom Block-Rules" on main GUI and on tray icon menu
+ Fixed "Open Configurator" on Windows XP
+ Fixed display of tray icon on Windows XP
+ Fixed all reported false positives
+ Improved internal rules
Odpowiedz
#26
A autor grzecznie prosi by nie publikować... jak nie chcesz testować to nie testuj, ale uszanuj wole autora.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#27
Drogi Specjalisto, masz oczywiście rację, wahałem się czy zamieścić posta, ale, no właśnie ale,... autor prosi, ale sam zamieszcza Smile; zresztą może się komuś przydać, ktoś zauważy jakiś błąd; sumując, przekazanie linku może się przyczynić do rozwoju programu. Jeśli tak bardzo Ci przeszkadza, to usuń ten post i daruj sobie nauki moralne, heh.
Odpowiedz
#28
Usunął bym ale nie mam praw moderatora na tym forum.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#29
https://sjp.pl/usunąłbym

zacznij pisać poprawnie, to zostaniesz moderatorem,................a teraz na poważnie, może zróbmy głosowanie, czy powinienem usunąć post,....heh
Odpowiedz
#30
Demokracja w internecie nie sprawdza się.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#31
Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów.
Odpowiedz
#32
(26.12.2017, 09:52)zord napisał(a): Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów.
W jednym zdaniu ująłeś istotę zagadnienia. Smile
Odpowiedz
#33
Nareszcie instalatory mają w nazwie nr wersji...wszystkie poprzednie nazywały się tak samo Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#34
Nowa wersja

Cytat:Here is a new v1.4 (pre-release) (test2):
http://downloads.novirusthanks.org/files/osarmor_setup_1.4_test2.exe

*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

So far this is what's new compared to the previous pre-release (test1):

+ Prevent regsvr32.exe from loading .sct files
+ Block execution of any process related to SecurityXploded (unchecked by default)
+ Change the tray icon when the protection is disabled
+ Show the protection status on the GUI
+ Added more than 80 internal rules

This pre-release version can be installed over the top of the previous one.
Odpowiedz
#35
Kolejna wersja testowa -  osarmor_setup_1.4_test3.exe
Cytat:So far this is what's new compared to the previous pre-release:

+ Block execution of .js scripts
+ Block execution of .jse scripts
+ Block execution of .vbs scripts (unchecked by default)
+ Block execution of .vbe scripts
+ Block execution of .hta scripts
+ Block execution of .cmd scripts (unchecked by default)
+ Improved setup installer and uninstaller
+ Added button to reset protection options to the default values
+ Fixed all reported FPs

This pre-release version can be installed over the top of the previous one.
https://www.wilderssecurity.com/threads/...st-2727935
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#36
Wersja testowa nr 6

Cytat:Here is a new v1.4 (pre-release) (test6):


*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

So far this is what's new compared to the previous pre-release:

+ Prevent PowerShell from using Invoke-Expression via cmdline (unchecked by default)
+ Prevent wscript.exe from changing script engine via //E:
+ Prevent cscript.exe from changing script engine via //E:
+ Fixed all reported false positives
+ Added more than 100 internal rules
+ Minor fixes and optimizations

This pre-release version can be installed over the top of the previous one.
https://www.wilderssecurity.com/threads/...st-2728076
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#37
Jest kolejna wersja 1.4 test nr 9...w ostatnich wersjach naprawiono sporo błędów we współpracy z innymi aplikacjami...
https://www.wilderssecurity.com/threads/...st-2728434
Program się rozwija dynamicznie i fajnie...ale odnoszę wrażenie, że mamy powtórkę z rozrywki czyli niekończące się wersje testowe jak VoodooSheild i potem...dziwny koniec...
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#38
Była wersja 9,11...teraz 12 i widać nowości nie tylko "pod maską". Zmienił się ekran główny...ten nieco wcześniej...dodano dwa przyciski - jeden pozwalający na dodanie lokalizacji wykluczonych z ochrony (blokowania akcji) oraz drugi, otwierający listę tworzenia własnych reguł blokowania. Najbardziej jednak widać zmiany w rozbudowanym panelu konfiguracji, który został podzielony na 3 zakładki
- ustawienia podstawowe (Main Protections)
- reguły anti-exploit (Anti-exploit)...akcje na tych dwóch listach są domyślnie włączone
- reguły zaawansowane (Advanced) - reguły związane z blokowaniem określonych aplikacji, lokalizacji, plików wykonywalnych i skryptów...wszystkie akcje są domyślnie wyłączone.
Panel reguł pozwala ponadto na
- resetowanie ustawień do wartości domyślnych
- eksportowanie oraz importowanie ustawień.


Poniżej screeny z wersji testowej 1.4 test 12
ekran główny
   

panele konfiguracji reguł
   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#39
Wersja test 13

Cytat:So far this is what's new compared to the previous pre-release:

+ Added more applications on the "Anti-Exploit" tab
+ Added a basic GUI app to create exclusions
+ Added %FILESIGNER%, %PROCESSFILEPATH%, %PARENTFILEPATH%, %PARENTSIGNER% variables
+ Minor fixes and optimizations
oraz test 14

Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives
https://www.wilderssecurity.com/threads/...59/page-18

W ostatniej wersji autor wprowadził specjalną maskę, która ma ułatwić tworzenie reguł wykluczeń
   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#40
Kolejne wersje testowe i kolejne usprawnienia
test 14

Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives
test 15

Cytat:So far this is what's new compared to the previous pre-release:

+ Block execution of .jar scripts (unchecked by default)
+ Block execution of netsh.exe from specific processes (unchecked by default)
+ Block specific processes from self-executing (unchecked by default) *** Experimental ***
+ Exclusions.db and CustomBlock.db are now in UTF-8 format
+ Improved detection of suspicious Explorer behaviors
+ Minor fixes and optimizations

To install this pre-release, first uninstall the old one.

For final release we miss:

* Driver co-signed with MS for Secure Boot
* Some more days of testing to find out if there are other FPs to fix
* Probably enable "Block execution of .vbs scripts" by default
* Fix issues reported by @bellgamin and @Sampei Nihira on XP OS
test 16
Cytat:+ Block execution of .msc scripts (unchecked by default)
+ Block execution of .bat scripts (unchecked by default)
+ Improved some internal rules related to the options added on test15
+ Updated Configurator and "Exclusions Helper" GUI
+ Minor fixes and optimizations
+ Fixed some false positives
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz