OSArmor - blocker behavioralny od NoVirusThanks
#61
Test 38 i lista zmian

Cytat:So far this is what's new compared to the previous pre-release:

+ Block execution of cacls\icacls\xcacls.exe
+ Block execution of takeown.exe
+ By default "Block execution of taskkill.exe" is disabled
+ Improved detection of suspicious processes
+ Improved detection of suspicious command-lines
+ Improved detection of Bitcoin miner command-lines
+ Improved detection of PowerShell malformed commands
+ Improved OSArmor self defense (basic)
+ Self-protection (basic) is enabled by default and can't be disabled
+ Prevent wevtutil.exe from cleaning Windows Eventlog
+ Prevent Windows Firewall from being disabled via command-line
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#62
Here is a new v1.4 (pre-release) test39:

[Aby zobaczyć linki, zarejestruj się tutaj]


*** Please do not share the download link, we will delete it when we release the official v1.4 ***

So far this is what's new compared to the previous pre-release:

+ Prevent Base Filtering Engine (BSE) from being disabled via cmdline
+ Improved detection of suspicious command-lines
+ Improved OSArmor self defense (basic)
+ Fixed some false positives

To install it, first uninstall the previous build, then reboot (not really needed but may help), and install the new build.

Niby woleliby żeby nie podawać linków do bety.

Warto się tym interesować już?
Odpowiedz
#63
Hmm no z tym pobieraniem to racje mają. I ten tekst nie powinien nikogo szokować.

Instalka bardziej to chętnych testerów przeznaczona, a nie dla konsumentów i takie instalki nie powinny gościć na portalach mass mediowych z oprogramowaniem typu DobreProgramy.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#64
Też chyba się zgodzę, choć zdarzyło mi się tu którąś wersję podlinkować...z drugiej strony jesteśmy forum o specyficznym zasięgu wśród użytkowników, więc podejmowanie ryzyka przy testowaniu softu lub szkodników jest świadome raczej. Zawsze podkreślamy, że wersja beta jest próbna i może być kłopotliwa.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#65
Kolejny build testowy o numerze 40
Kod:
Here is a new v1.4 (pre-release) test40:

*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

So far this is what's new compared to the previous pre-release:

+ Joined "Prevent Base Filtering Engine (BSE) from being disabled via cmdline" and "Prevent Windows Firewall from being disabled via command-line" in "Prevent important Windows Services from being disabled"
+ Added Windows Defender, Security Essentials, Windows Update, Security Center to "Prevent important Windows Services from being disabled"
+ Block cmstp.exe from loading .inf files (AppLocker bypass)
+ Improved detection of PowerShell malformed commands
+ Advanced -> Block execution of processes on Public Folder (C:\Users\Public) -> Enabled by default
+ Advanced -> Block execution of processes on All Users folder -> Enabled by default
+ Advanced -> Block execution of .msc scripts outside System folder -> Enabled by default
+ Advanced -> Block reg.exe from hijacking Registry startup entries -> Enabled by default
+ Advanced -> Prevent attrib.exe from setting +h or +s attributes -> Enabled by default
+ Advanced -> Prevent wevtutil.exe from cleaning Windows Eventlog -> Enabled by default
+ Advanced -> Prevent important Windows Services from being disabled -> Enabled by default
+ Advanced -> Block reg.exe from disabling UAC (User Access Control) -> Enabled by default
+ Improved "Prevent important Windows Services from being disabled"
+ Block execution of regini.exe

To install it, first uninstall the previous build, then reboot (not really needed but may help), and install the new build.

Let me know if you find any FP with the 8 options enabled by default in Advanced tab.

Źródło oraz link do pobrania

[Aby zobaczyć linki, zarejestruj się tutaj]

Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#66
Wersja testowa 41 - lista zmian w stosunku do poprzedniego wydania
Cytat:+ Improved OSArmor self defense (basic)
+ Improved detection of suspicious processes
+ Improved detection of fake system processes
+ Added Event Log Service on "Prevent important Windows Services from being disabled"
+ Improved Block processes named like *keygen* or *crack*
+ Block execution of sc.exe
+ Block execution of net\net1.exe
+ Block execution of wmic.exe
+ Block execution of netsh.exe
+ Block execution of bitsadmin.exe
+ Block execution of reg.exe
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#67
Wersja testowa 42

Cytat:+ Improved detection of PowerShell malformed commands
+ Change Registry value ServicesPipeTimeout to 180000 via setup file
+ Modified the service to fix a rare crash on session change
+ Improved detection of fake system processes
+ Improved Block command-lines that match *\Start Menu\Programs\Startup\*
+ Added BitLocker Service on "Prevent important Windows Services from being disabled"
+ Improved Block unknown processes on Windows folder
+ Improved Block execution of .reg scripts
+ Block execution of xcopy\robocopy.exe
+ Block execution of diskpart.exe
+ Block execution of format.com
+ Block execution of tasklist.exe
+ Block execution of systeminfo.exe
+ Block execution of whoami.exe
+ Fixed some false positives

i test 43 z wczoraj
Cytat:+ Improved detection of system processes
+ Improved detection of suspicious processes
+ Block known UAC-bypass attempts
+ Block new and unknown UAC-bypass attempts (experimental)
+ Block known system processes used for UAC-bypass
+ Block ALL "autoelevate" system processes
+ Merged "Block execution of sdctl.exe\sysprep.exe\etc" with "Block known system processes used for UAC-bypass"
+ Block execution of Logoff.exe
+ Block execution of Vssadmin.exe
+ Block execution of Makecab.exe
+ Block execution of LxRun.exe
+ Block execution of Bash.exe
+ Block execution of Sdbinst.exe
+ Minor fixes and optimizations
+ Fixed some false positive
W tej wersji pojawiła się nowa sekcja związana z blokowaniem możliwości łamania zabezpieczeń UAC
Cytat:"Block known UAC-bypass attempts"

This option should not generate FPs (even if I added the orange icon).

It should block known (public) UAC-bypass attempts.

The other 3 options, may generate FPs:

"Block new and unknown UAC-bypass attempts (experimental)"

This experimental option should mitigate new and unknown UAC-bypass attempts that exploit system processes to elevate the malware payload. In my tests it performed well with very low FPs (on the work-PC, with just a few programs installed).

"Block known system processes used for UAC-bypass"

This option blocks the execution of known system processes used to bypass UAC, for example slui.exe, sdctl.exe, fodhelper.exe, wusa.exe, mmc.exe, dccw.exe, BitlockerWizardElev.exe, and some more. By preventing their execution we mitigate entirely the UAC bypass attempt, but in exchange we may get a few alerts (FPs) when they are legitimately executed by the OS.

"Block ALL "autoelevate" system processes"

This option blocks ALL autoelevate system processes and may be particularly useful for companies or officies to mitigate new and unknown UAC bypass attempts that exploit "autoelevate" system processes (generally used in targeted attacks against companies). This option may generate alerts (FPs) depending on the PC usage, i.e if the office PC is used to print\edit documents, read emails, open the web browser, open a few programs and such (doing the same routine all days), you may even get no alerts.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#68
Wersja testowa 44
Cytat:+ Fixed blocking of .cpl applets
+ Block execution of wscript\cscript.exe
+ Improved blocking of vbs\js\vbe\etc scripts
+ Block execution of .cpl applets outside System folder
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#69
Sporo się działo i poniżej listy zmian do ostatnich wyda...wciąż mamy wersję testową
test 45
Cytat:+ Improved Block suspicious command-lines
+ Show process username/domain and integrity level on the log file of blocked processes
+ Improved Block execution of syskey.exe\cipher.exe
+ Improved Block execution of .vbs\.vbe\.js\.jse\etc scripts
+ Improved Block execution of .hta scripts
+ Improved Block suspicious processes
+ Improved rules related to blocking UAC-bypass behaviors
+ Fixed some false positives

test 46

Cytat:+ Improved Block suspicious processes
+ Improved Block suspicious command-lines
+ Improved Block execution of .hta scripts (2)
+ Fixed some false positives


test 47

Cytat:+ Changed "Exit" to "Exit GUI" on main menu of OSArmorDevUI
+ New option: Prevent installutil.exe from loading .DLL files
+ New option: Prevent resgvr32.exe from loading DLLs
+ New option: Prevent odbcconf.exe from using {REGSVR} to load DLLs
+ New option: Prevent pcalua.exe from using -a to run processes
+ New option: Prevent AppVLP.exe from running processes
+ New option: Prevent SyncAppvPublishing.exe from running processes
+ New option: Block execution of SyncAppvPublishing.vbs
+ New option: Prevent rundll32.exe from using Control_RunDLL (shell32.dll)
+ New option: Prevent runscripthelper.exe from using surfacecheck
+ New option: Block PowerShell "-version 2"
+ New option: Block loading of .inf files via advpack.dll,LaunchINFSection
+ Option "Prevent pubprn.vbs from executing inline scripts" is enabled by default
+ Improved Block suspicious command-lines
+ Improved Block execution of .reg scripts
+ Improved Prevent regedit.exe from silently loading .reg scripts
+ Improved Block "WindowStyle Hidden" on command-line (PowerShell)
+ Improved Block "ExecutionPolicy Bypass" on command-line (PowerShell)
+ Improved Prevent wscript.exe from changing script engine
+ Improved Prevent cscript.exe from changing script engine
+ Improved Prevent ieexec.exe from loading remote files
+ Improved Prevent msiexec.exe from loading MSI files maskes as PNG files
+ Improved Block execution of .msi installer scripts
+ Improved Prevent AtBroker.exe from using /start switch to run processes
+ Improved Prevent schtasks.exe from creating tasks
+ Improved Prevent regsvcs.exe from loading .DLL files
+ Improved Prevent regasm.exe from loading .DLL files
+ Improved Prevent odbcconf.exe from loading .rsp scripts
+ Minor fixes and optimizations
+ Fixed some false positives
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#70
Jak na razie u mnie pierwszy komunikat Grin :

Date/Time: 2018-04-08 13:14:58
Process: [4676]C:\Windows\System32\schtasks.exe
Parent: [6388]C:\Windows\System32\cmd.exe
Rule: BlockSchtasksExe
Rule Name: Block execution of schtasks.exe
Command Line: Schtasks /run /tn "Driver Booster SkipUAC (Tibu_11)"
Signer:
Parent Signer:
User/Domain: Tibu_11/Homework
Integrity Level: Medium
Odpowiedz
#71
Ostatnio sporo wydań, a poniżej dwie ostatnie
test 54

Cytat:So far this is what's new compared to the previous pre-release:

+ Improved Block suspicious command-lines
+ Improved Block suspicious processes
+ Improved Block suspicious Svchost.exe process behaviors
+ Block execution of unsigned processes on user space
+ Block unsigned processes to run with high or system privileges
+ Block processes executed from netsh.exe
+ Block possible UAC bypass attempts [method 1]
+ Block possible UAC bypass attempts [method 2] (disabled at the moment, need to complete this)
+ Block execution of ftp\tftp\telnet.exe
+ Block suspicious process elevation attempts
+ Block InfDefaultInstall.exe if executed by unknown processes
+ Some rules have been moved to their appropriate section
+ Added text-link to reset statistics on Main GUI
+ Configurator GUI can be maximized and is resizeable
+ Added a dark-gray frame on the notification window
+ Removed Block ALL autoelevate system processes
+ Removed Block known system files used for UAC-bypass
+ Show parent process integrity level on log file
+ Show process md5 hash on log file
+ Minor fixes and optimizations
+ Fixed some false positives
test 55...to ostatnie na dziś wydanie

Cytat:+ Fixed Block suspicious processes
+ Block "tricks" used to run UAC-bypass system processes
+ Block unsigned processes to run with high privileges
+ Block unsigned processes to run with system privileges
+ Renamed and improved UAC-bypass mitigation rules
+ Renamed Block execution of unsigned processes on Common AppData (\ProgramData\)
+ Readded Block execution of ALL "autoelevate" system processes
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#72
Trzy kolejne wersje testowe
56

Cytat:+ Improved showing of main GUI via tray icon -> Show/Hide Window
+ Improved Block suspicious Svchost.exe process behaviors
+ Fixed some false positives
57
Cytat:+ Improved Block download of remote URLs via command-lines
+ Block unsigned processes outside system partition (e.g. C:\)
+ Block ALL processes outside system partition (e.g. C:\)
+ Fixed some false positives
58
Cytat:+ Show System File: True\False on log file
+ Show Parent System File: True\False on log file
+ Improved detection of parent processes
+ Improved detection of UAC-bypass attempts
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#73
Dwie ostatnie wersje testowe
test 62

Cytat:+ Improved Block suspicious command-lines
+ Minor fixes and optimizations
+ Fixed some false positives

test 63
Cytat: + Improved OSArmor self defense (basic)
+ Improved Block suspicious command-lines
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#74
test 64
Cytat:+ Improved Block suspicious processes
+ Improved Block execution of PowerShell malformed commands
+ Disabled by default "Block reg.exe from hijacking Registry startup entries" *only on clean/new installations*
+ Minor fixes and optimizations
+ Fixed some false positives
test 65
Cytat:+ Block rundll32.exe from using RegisterOCX
+ Improved Block suspicious command-lines (50+ new internal rules)
+ Improved Block loading of .inf files via InstallHinfSection\LaunchINFSection\etc
+ Fixed "Restore to Default" and disabling of "Block reg.exe from hijacking Registry startup entries"
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#75
Zbiorcze info o kolejnych wydania testowych
test 66
Cytat:+ Fixed some false positives
+ Improved Block processes located in suspicious folders
+ Improved Block execution of malformed PowerShell commands
+ Block execution of scp\ssh\sftp.exe (located on C:\WINDOWS\System32\OpenSSH\)
test 67
Cytat:+ Fixed some false positives
test 68
Cytat:+ New option to "Use only your own Custom Block rules"
+ Extended process and parent process cmdline to 8192 chars (max for Windows)
+ Block execution of IQY Excel Web Query files (Main Protections, enabled)
+ Block rundll32.exe from using InstallScreenSaver
+ Block msdeploy.exe from using RunCommand
+ Block execution of jjs.exe -scripting (related to Java)
+ Block execution of jsc.exe /out: (related to Java)
+ Updated Help/FAQs file with two new Q&A
+ Fixed all reported false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#76
OSArmor v1.4 wersja finalna

[Aby zobaczyć linki, zarejestruj się tutaj]


Cytat:v1.4.0.0

+ More than 250 built-in protection options to choose from
+ Thousands of internal rules to block suspicious process activities
+ Very effective in blocking MalDocs (DOC/XLS/RTF/etc) payloads
+ Block execution of scripts, unwanted programs, powershell.exe or cmd.exe
+ Options to mitigate UAC bypasses, whitelisting/device guard/applocker bypasses
+ Block unsigned processes elevated with high or system privileges
+ Really many smart protection options that you can enable with a click
+ Added "Anti-Exploit" module to protect commonly exploited programs
+ The Configurator has now 3 tabs: Main Protections, Anti-Exploit, Advanced
+ Integrated a smart caching mechanism to improve performances
+ Improved support for Fast User Switching and Logouts
+ Added "Passive Logging" to just log the blocked event without blocking it
+ Option to Enable internal rules for allowing safe behaviors
+ Option to disable protection temporarily, for 10 minutes, 30 minutes, 1 hour
+ Option to use only your own custom block rules (ignoring built-in protection options)
+ Option to play a WAV sound when something is blocked
+ Option to User must be in the Administrators Group to change protection
+ Extended process and parent process cmdline to 8192 chars (max for Windows)
+ Disabled /silent and /verysilent uninstallation
+ Added basic and process-termination self-defense
+ The program is now installed on Program Files
+ You can now exclude a process from being blocked
+ Added support for exclusions via Exclusions.db file
+ Added support for custom block-rules via CustomBlock.db file
+ Supports vairables (like %PROCESS%) on Exclusions and Custom Block rules
+ Added a basic GUI application to create exclusions
+ Added option "Disable Protection" on tray icon menu
+ Added option "Manage Exclusions" on main GUI and on tray icon menu
+ Added option "Custom Block-Rules" on main GUI and on tray icon menu
+ Support Secure Boot (drivers are co-signed by Microsoft)
+ Added a simple Help/FAQs file
+ Fixed all reported issues on Windows XP
+ Fixed all reported false positives
+ Many bug fixes and optimizations

Przy okazji: @ichito (bo program masz na pokładzie, chociaż pytanie do wszystkich, którzy są obeznani), czy program umożliwia objęcie ochroną w innych sferach niż VoodooShield, czy też działania programów są na tyle podobne, że można uznać je za konkurentów?
Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#77
uzywałem OSArmora razem z VS Pro jest wszystko dobrze tyle że troche wolniej mi sie system wyłącza i troche dłuzej włacza .
wnoszę jednak ze wchodzą sobie w kompetencje więc musiałem zrezygnować z jednego z nich w moim przypadku to z OSArmora.
teraz po zrezygnowaniu z jednego z nich jest wszystko OK.
więc mysle ze trzeba bedzie wybrać jednego z nich.
ale to tylko jest moje zdanie.
< Kaspersky Free +OSArmor +Hitman Pro> Lol
Odpowiedz
#78
OSArmor to bardziej bloker niebezpiecznych zdarzeń w systemie, co wynika z rodzaju pliku i/lub lokalizacji. Niby bloker behawioralny...niby anty-exe...ale indywidualnych reguł dla procesu czy pliku wykonywalnego w nim nie utworzysz...można dopisać własne reguły blokowania, ale tylko takie a sam sposób wymaga pewnych umiejętności i nie jest wygodny.
Program jest o tyle dobry, że domyślnie włączone reguły blokowania/ochrony są mocno przedyskutowane z użytkownikami...te eksperymentalne i ryzykowne również zresztą...i wszystko wskazuje, że są bardzo rozsądne i zapewniające skuteczność ochrony. To raczej program typu "zainstaluj i zapomnij". VS jest monitorem również i choć umożliwia tryb automatyczny pracy, to jednak daje możliwość podejmowania własnych decyzji jest bardziej konfigurowalny i tak szczerze mnie osobiście bardziej przekonywał jeśli chodzi o ochronę podatnych aplikacji zwłaszcza tych, które wymagają podłączenia do sieci/internetu.
Uznaje się, że ochrona OSA może być silniejsza niż VS zwłaszcza jeśli chodzi o szkodliwe skrypty, ale używanie OSA na tych ustawieniach bywa niewygodne i może być kłopotliwe, ponieważ zdarza się wtedy, że aplikacje istniejące pracują nieprawidłowo, a nowe nie dają się zainstalować.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#79
to by się zgadzało i dlatego miałem kłopoty z dłuższym wyłączaniem się systemu jak równiez włączaniem.
dlatego zrezygnowałem z jednego z nich. Albo VS albo OSArmor.
wybrałem VS zrezygnowałem z OSArmora.
teraz jest wszystko OK.
< Kaspersky Free +OSArmor +Hitman Pro> Lol
Odpowiedz
#80
Jak masz AppGuard to jeden dodatkowy HIPS albo Anty-exe ci wystarczy nie ma po co sie pchać w behavior blokera.
Lepiej ogarnij jakaś piaskownice albo wirtualizacje. i będzie miodzio.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości