Я тебе не о том Я говорил, что современные фаерволы и прочие приблуды для безопасности очень надежно защищают систему. Мимо них проскочит только то, что использует уязвимости против систем безопасности, а не против системы в целом Потому и отнес эксплоиты (которые против твоего софта, а не винды) к 0.01% Я извиняюсь, но именно так современные системы и работают. Неопытный пользователь может просто поставить Аутпост на максимальные настройки и забыть про все. Средний пользователь - поставить на средние настройки с запросами/уведомлениями... Это все уже есть и работает В чем твоя новизна? Не подумай, что осуждаю - мне правда непонятны эти моменты. Сейчас и так любой фаер можно настроить, чтобы он не беспокоил пользователя и сам все блокировал. А можно чтобы и не блокировал.
это все уже есть в современных фаерволах одни лучше, другие хуже детектят руткиты, но это все уже есть. И никакого диалога (по крайней мере нового) я здесь не вижу. Если пользователь увидит твой запрос, он тупо разрешит, как разрешал до сегодняшнего дня в комодо, аутпосте, зоналарме... да в том же виндовом брендмауере...
Ответ простой - нивчем. Суть вопроса я изложил ранее. Вопрос в том будет ли "новизна" которую я сделал для противоэксплоитов частью противовирусного по или это будет 4fun, мой дипломный проект, ну может строчка в резюме. Вопрос тока в этом. Была бы новизна, был бы интерес делать что-то новое дальше я бы так и сидел и делал один все, но тут рутина которая уже сделана до нас (лично мне это неинтересно. Если сидеть и делать что-то одному с прицелом на 4fun то я предпочитаю делать то что интересно). Сделана зачастую неплохо. Ну я и подумал а почему бы и нет - может кто захочет свой проект? Чем черт не шутит. Не захочет и ладно. Я не сильно расстроюсь. Такие пироги. На рынке (в широком смысле слова) сегодня мало только хороших антируткитов. и еще противоэксплоиты неочень. ну в том смысле что теоретически если сильно вывернуться через плечо и прогнуться через жопу то их конкретные реализации (не идеи даже а существующие реализации) можно обойти. Ну и еще в том что никогда еще не предполагалось создать противоэксплоит не роняющий программу при атаке. Все остальное действительно есть. Увы мы не в 80ых и не 90ых.
Фух, блин, теперь понял. Ок, больше пока не дикутирую Просто меня сильно сбило с мысли твое желание получить абсолютную защиту. Тут как минимум новизна нужна Удачи и творческих узбеков (знаю, старая шутка, пинать не надо)
Проблема та же что с коммунизмом. Это идельная модель общества но она неосуществима из-за человечьего несоевршенства. Тоже самое и тут. Для совершенной защиты нужен вообще иной подход к организации пользовательского рабочего места и самой ОС: забыть про администраторский аккаунт (использовать его только по прямому назначению), выделять пользователю только те ресурсы системы которые не допускают даже в теории эскалации привелегий, бэкапить данные туда где их нельзя достать без легального поднятия привелегий и тд и тп. А противостоять зловредному ПО как таковому универсально нельзя. Просто потому что неясно что это такое - где грань? Для меня например MS Word вредоносное ПО, он у меня однажды сохранил .doc файл так что он потом не видел одну страницу по середине документа. Взял и запорол мне данные гад, ну не malware ли
Dunkan В первом посте написано: Почему собссна сломя голову набросился не зная ника в #45 Многа думал...
Две страницы ни о чем. "A causes B. Let's make C!", где А - помидор, B - размер растра в пикселах, а C - количество конфет у Пети в кармане перед злочастной прогулкой с динамщицей Машей. Dunkan намного лучше было бы оформить те сорсы что мне кидал и в нормальном виде выложить, приправить каким-то кратким описанием и нашлось бы сразу о чем поговорить, вместо пол сотни постов флуда.
Код (Text): proc: xchg eax, [esp] inc eax/dec eax/neg ax/xor eax, XXX jmp eax что тут должно по вашему вызвать alarm. это один из легальных простейших приемов против дизассемблеров, когда 1 сбивается дизассемблер, 2 определяется адрес загрузки (для простого вируса это не типично, но для более сложного это нормально, и тут нет ничего нелегального) далее. какую еще хип. выделяем страницы. перед вызовом создаем секцию. все четко. ничего похацкерского. или вот вам еще один приемчик Код (Text): proc: xchg eax, [esp] xor ax, dx jmp eax ... shadow_proc: add eax, [Tbl+ecx*4] xchg eax, [esp] ret подпрограмма без возврата (но спокойно может выполнить код в динамически выделенной памяти)
max7C4 1ый случай фолс аларма не будет. Второй не знаю надо подумать. В любом случае оно понятно что есть хитрожопые программы написанные на ассемблеры где инструкции коолов и возвратов пользуются не-по-назначению. Там даже само по себе переполнение буфера может быть использовано например как трюк против отладки. О таких приложениях пользователь просто предупреждается отдельно. Например если при старте программы сразу вылетает фолс аларм, надо сказать ему о том что возможно защитить приложение стоит после того как оно загрузится или попробовать оставить для него только какую-то часть настроек скажем ASLR.
тем более что ни первый ни второй случай ничего не нарушают. а если в твоем случае второй пример может вызвать alarm, то ни о каком полиморфном коде говорить не получится. нафиг нада такую защиту.
нафиг такой софт. я как пользователь не хочу, чтобы меня постоянно беспокоили какими-то сообщениями в которых я не хочу разбираться. если программа спрашивает меня о чем-то - значит она не знает этого сама - значит это глупая программа - значит ну ее лесом. если на программе написано что она защищает меня от ..., и при это она постоянно требует от меня чтобы я указал ей что делать - значит это уже непосредственно я защищаю свой комп. если проект будет опенсорсным, никто этим УГ пользоваться не будет. если проект будет коммерческим - никто его не купит. это какбэ точка зрения массового пользователя, который у себя на компе 95% времени юзает прикладные программы, а не ипется с компом.
GoldFinch +1 вот и я про что. есть куча разных приколов в программировании, на которые это будет срабатывать. в свое время у меня из-за этого вылетел outpost (до этого я его пол года пытался оптимально настроить, но когда начал писать сетевое приложение и эта скотина начала постоянно на меня орать, то судьба ее была предрешена)
вывод: для рядового пользователя (читай почти ламера) надо писать тихую и умную программу, для продвинутого пользователя надо писать простую и очень умную программу, которая ему не помешает.
Вообщем вы ничего нового не сказали. Написанием "умных" программ занимаются сотнями программисты в антивирусных компаниях, как вы сами видите безуспешно. Пока действительно умных программ ненаписано, подобные системы есть им альтернатива. Показывает сообщения - плохо, не показывает - тоже плохо. Все это правильно только вот говорить что создание такого ПО обречено на провал по причине выбора им такой концепции это глупо, тк других-то и нету концепций. max7C4 Ну я понял значит ты считаешь что аутпост тоже УГ раз ты-великий с ним не ужился. У меня тоже например никогда не стояло и не стоит защитного ПО потому что меня раздражают его постоянные сообщения толку от которых мало, так же как и отсутствие сообщений которое говорит либо о том что оно курит пока мой комп могут взломать или о том что блокирует все тихой сапой в результате некоторые программы могут работать не так как я от них этого ожидаю. Ну что поделать
нет. я считаю, что его настроить на нужную работу можно, но очень сложно и не удобно т.к. порой требуется одна реакция, а порой другая. аутпост же каждый раз перенастраивать задача нетривиальная и занятие это не для слабонервных. твоя система тоже не будет отличаться простотой, а с ней и умом и сообразительностью (в отличие от говоруна). можно как минимум доработать эту систему до такого состояния, в котором она: во-первых не будет сильно мешать (т.е при вылезании сообщения не придется искать на экране мышку в одном углу, тащить ее в другой, чтобы отреагировать на сообщение и возвращать обратно, особенно если до этого пользовался клавиатурой и до мышки надо еще дотянуться), во-вторых сделать ее легко перенастраиваемой (т.е. без туевой хучи не весть каких опций, с которыми еще надо пол дня разбираться), в третьих придется очень сильно постараться написать механизм адекватного детекта (свести к минимому ложные срабатывания и по минимому ограничить легальное ПО).
