Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Wykluczałem całe foldery na c:/ i za każdym razem to samo. Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze, po przeskanowaniu i usunięciu części plików wracają one po restarcie. Czyli mimo wykluczenia SD chroni przed modyfikacją, czy usunięciem?
Wykluczałeś najpierw przed włączeniem trybu shadow mode(tryb ochrony) , czy tryb był włączony i wtedy dodałeś te foldery?
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Przed włączeniem trybu ochronnego. Nie wiem czy dobrze wyjaśniłem, nowo powstały folder w folderze wykluczonym SD został po restarcie, natomiast pliki które zostały usuniete przez av zostały przywrócone...
Dokładnie tak ma być, bo tak działa , wszystkie operacje zostają na woluminie zapisane, bo folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Ambient napisał(a):Zauważyłem, rzecz następującą: rozpakowałem paczkę z virkami w wykluczonym folderze , po przeskanowaniu i usunięciu części plików wracają one po restarcie.
No cóż...nie chcę być nieuprzejmy, ale wg mnie popełniłeś ewidentny błąd, tak nie należy robić i zaraz to spróbuję naświetlić. Andrzej próbował zwrócić na to uwagę, ale chyba nie dość zdecydowanie
andrzej76 napisał(a):folder(y) są wykluczone z ochrony , czyli tak jak byś działał na wyłączonym SD.
Wykluczenie folderu z tryby wirtualizacji powoduje, że cały obszar dysku/zawartośćfolderu nie będzie wirtualizowana i tym samym zostaje zawsze w niezmienionej postaci po restarcie(bez względu czy przechodzisz tym ponownie do zwirtualizowanego systemu, czy do rzeczywistego). Może to mieć konsekwencje w tym, że nie znając dokładnie mechanizmów przechowywanych w nim infekcji możesz narazić pozostałą część zasobów komputera (inne wydzielone dyski) na potencjalną infekcję. Przypomnij sobie tylko Duqu i jego unikalne możliwości modyfikacji i tym samym sposobów wnikania do systemu.
Nie wiem Ambient, czy pliki z próbkami przechowujesz na dysku C (systemowym) czy na innym...pamiętaj tylko, że SD ma możliwość wirtualizacji wszystkichwykrytych dysków włącznie z napędami USB. Jeśli włączysz Safe Mode dla wszystkich mając te swoje wykluczenia dla folderu z malware, to jest nadzieja, że niczego nie popsujesz...ale np. zapisując w swoich dokumentach jakieś wyniki analiz, możesz je po restarcie stracić...w końcu zależy nam również na ochronie własnych danych, niezwiązanych z systemem. SD nie chroni przed "wyciekiem danych" ale tylko...i aż...przed ich modyfikacją.
Kiedy pisałem wcześniej o wykluczeniach, miałem na myśli foldery pozostałych programów "security" działających w tle i pobierających aktualizacje...taka forma działania SD może być przydatna. Ale nie sądziłem, że wykluczysz folder z infekcjami, które testujesz
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 670
Liczba wątków: 16
Dołączył: 05.02.2011
Reputacja:
29
Teraz to wyszedłem na kompletnego idiotę i ignoranta Po prostu mam wykluczony pulpit z ochrony, tam mi się ściągają pliki z netu i tam często zapisuję przejściowo swoje rzeczy. Do końca nie przemyślałem sprawy...
Lepszym pomysłem będzie tak jak ichito wcześniej napisałeś, przed wyłączeniem systemu po prostu zastosować zmiany w wybranych folderach.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Eeee tam od razu "ignoranta"
Rada jeszcze jedna...nie zapisuj plików na pulpicie...ja wiem, że tak bardzo często jest domyślnie (nawet system tak chyba ma), ale pulpit jest częścią systemu i nie daj Boże, żeby coś się w nim spipcyło, co zmusi Cię do przywrócenia go do poprzedniego stanu. Jeśli będziesz przezorny, to skopiujesz/przeniesiesz pliki z pulpitu...jeśli w panice tego nie zrobisz (a to się często w takich przypadkach zdarza), to masz pozamiatane i tracisz wszystko, co na nim było. To nie jest teoria...doświadczyłem tego sam
A propos wykluczeń folderów programów do zabezpieczeń jeszcze...żeby namierzyć konieczne foldery przydatny może być czeski program System Explorer. To bardzo przydatny i rozbudowany menadżer/analizatorzasobów systemu (procesy, autostart, połączenia z siecią, sterowniki, usługi, wydajność, itp.) - posiada funkcję sporządzania migawek/punktów przywracania systemu, które możesz tworzyć w dowolnym momencie i porównywać zmiany między sobą...pokazuje zmodyfikowane, stworzone i usunięte pliki/foldery dzięki czemu dowiedzieć się można, co "pracuje" w momencie aktualizacji softu.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Wrzuciłby ktoś do analizy przez pracownika Valkyrie instalke SD w wersji .325 albo .326 ? Bardzo proszę.
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
Valkyrie (przynajmniej mi) nie działa .
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 474
Liczba wątków: 67
Dołączył: 28.09.2011
Reputacja:
10
Cytat: analizy przez pracownika
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
ichito napisał(a):A co Valkyrie da w tym momencie?...przecież to też tylko zespół skanerów z funkcją reputacji...więcej i innych skanerów, niż VT na pewno nie posiada...z reputacją bywać może różnie zwłaszcza w stosunku do takmało popularnego softu, jak ostatnia wersja SD.
VT posiada silniki antywirusowe, valkyrie to silniki heurystyczne. Takze to jest cos innego
[Aby zobaczyć linki, zarejestruj się tutaj]
|