Pytanie o zabezpieczenie "alternatywne" nie-antywirus


(sensu) #1

Witam!

 

No i chodzi o to, że nie wiem dokładnie jakich narzędzi użyć. Sprawdzenie wszystkich zajęłoby mi parę miesięcy. Dlatego proszę o pomoc Was.

Proszę o parę rad:

  1. W tle działający, jakiś LEKKI bloker behawioralny, najlepiej nie łączący się z siecią, nie wymagający aktualizacji, mający podgląd na uruchomione procesy, autostart, monitorowanie niechcianych zmian rejestru - myślę poważnie na programem Winpatrol. Są jakieś ciekawe alternatywy?

  2. Antywirus do skanowania całego dysku (skanowałbym sobie komputer przed wykonywaniem kopii zapasowej) - podoba mi się Emsisoft Emergency Kit. Coś lepszego?

  3. Skaner na żądanie z menu kontekstowego - Tutaj nie wiem co. Da się ustawic, aby Emsisoft działał z prawego przycisku myszy do każdego pliku? A może jakaś chmura z VirusTotal? Dodatkowo później chciałbym zintegrować skaner z dodatkiem Download Status Bar w Firefoxie, aby skanować wybrany plik po kliknięciu opcji virus scan.

  4. Czy wyłączenie autostartu nośnika tj. usługi wykrywanie sprzętu powłoki skutecznie uchroni mnie przed podłączaniem zainfekowanego pozyczonego pendriva, aparatu fotograficznego czy płyty cd/dvd?

  5. Chcę również zabezpieczyć przeglądarkę programem Spyware Blaster.

  6. Oraz filtrami uBlock i Ghostery, self destructing cookies.

Co o tym myślicie? Warto coś zmienić albo dodać?

 

 


(pionner) #2

Szczerze? Windows Firewall, skan antywirem raz na jakiś czas i używanie mózgu. To powinno bezproblemowo wystarczyć.


(ichito) #3

Cześć kajjj…

mało kto pyta w tak konkretny sposób, więc postaram się odpowiedzieć też konkretnie, choć inaczej może wyglądać ochrona na XP, a inaczej na Win 10.

  • nie ma w tej chwili samodzielnych i wciąż rozwijanych blokerów behawioralnych poza jednym mi znanym programem, który zahacza o taką nazwę - to KATANA od Dr.Web, ale to program w wersji eksperymentalnej (jako samodzielna aplikacja). Jest płatny i można gdzieś znaleźć wersję na 90 dni - ma dodatkową ochronę anti-exploit…nie ma niestety jakiś testów potwierdzających jego skuteczność. Inne programy typu ThreatFire, Dynamic Security Agent, czy Mamutu są nierozwijane, ale wciąż możesz znaleźć ich instalki…Mamutu już chyba jednak nie zainstalujesz, bo nie da się go zarejestrować a wersji darmowej nie było. WinPatrol jest o tyle skuteczny, że jest zespołem kilku przydatnych w ochronie narzędzi, ale pokazuje rzeczy/zmiany już po…jako narzędzie wykrywania OK, jako narzędzie prewencji już nie.

  • EEK od Emsisoft to porządny skaner i warto go mieć, dodałbym Cristal Security jako skaner reputacji (na bazie wyników VT) wraz z opcją anti-exe…nie używam innych, ale jest ich wiele w postaci multiskanerów jak Hitman

  • Spyware Blaster jest jeszcze w porządku, ale odchodzi nieco w niepamięć, bo i ataki poprzez przeglądarki są inne, niż lata temu…odpuściłbym

  • na Twoim miejscu jednak wziąłbym jakąś zaporę - przyzwoicie spisuje się TinyWall (bez modułu ochrony proaktywnej)

  • a generalnie: praca na koncie o niskich uprawnieniach, ponieważ aplikacje powinny pracować z najmniejszymi możliwymi prawami do ingerencji w system…jeśli nie, to przynajmniej ograniczenie uprawnień dla wybranych procesów, co oferują niektóre zapory (Privatefirewall, Comodo) albo aplikacje typu DropMyRights lub coś bardziej rozbudowanego czyli Sandboxie _izolacja i restrykcje. Do tego lekki i skuteczny anty-exe w postaci ostatniej testowej wersji ExeRadar Pro - jest wciąż darmowa - skutecznie blokuje uruchamianie nieznanych proceów czyli uruchamia tylko te, które program we wstępnej konfiguracji lub potem na podstawie Twoich decyzji dopisze do listy zaufanych (White List).

A tak w ogóle - spróbuj SpyShelter FW - to bardzo dobry, skuteczny i coraz bardziej wszechstronny program, który daje również możliwość ochrony własnych plików/folderów, co u Ciebie może się sprawdzić.

 


(KAZDAN63) #4

Antywirusa żadnego nie mam (w tym Windows Defender) . Jestem na koncie administratora z najwyższymi uprawnieniami . Zapora systemu Windows z zabezpieczeniami zaawansowanymi zamknięta na “cztery spusty” . Wirusa to ja nie widziałem od 5 lat tj. instalacji systemu Windows . I tak sobie “żyję” w przeświadczeniu , że antywirusy (oprócz tych bootowalnych z płyt DVD) to darmozjady obciążające system , polegając przede wszystkim na własnym rozsądku . UBUNTU 15.04 na płycie DVD (wypróbuj) - płatności , bo jeżeli chodzi o pieniądze , to Windows-owi w tej sprawie nie zaufam nigdy . Skanowanie systemu programem antywirusowym to dla mnie “monkey business” (~45 min + wątpliwości czy aby na pewno wszystko zostało usunięte) skoro mogę odzyskać system z lustrzanej kopii zapasowej umieszczonej na zewnętrznym (szyfrowanie zawartości dysków przez wirusy) HDD (~15 min) . 

Słowem : PZU* (Przezorny Zawsze Ubezpieczony) .

* - Kontaktów z firmą o tej nazwie to wystrzegam się jak “diabeł wody święconej” (to w kwestii ew. zarzutu kryptoreklamy) .

Dobrze , że napisałeś to przynajmniej się dowiedziałem , że w ogóle istnieją takie programy , ale podobno człowiek “uczy się przez całe życie” .


(sensu) #5

Cześć!

Natomiast ExeRadar Pro jest bardzo fajny, czegoś takiego szukałem (szybki chociaż ciut mniej ramu mógłby brać). Dziwne jest tylko domyślne wykluczenie folderu Program Files, ale już sobie odhaczyłem. ExeRadar Pro uświadomił mnie, jak często uruchamia się proces wmiprvse (z 10 razy na dzień), o którym nawet nie wiedziałem i już go wywaliłem :D. Niby jakiś sytemowy, ale poczytałem w internecie, że można usunąć i teraz mam spokój. Myślę, że zostanie u mnie na dłużej,a dodatkowo Winpatrol i EEK. Tylko jak dodać EEK do menu kontekstowego?

SpywareBlaster - zrezygnować?


(ichito) #6

Po pierwsze…nie napisałeś, jaki masz system, a to ważne, bo niektóre programy mogą nie instalować się na nim (jak choćby DSA). Po drugie pisałem, że Mamutu już nie da się zainstalować. Po trzecie - wszystkie wymienione blokery (poza DSA) korzystają z zasobów sieciowych producenta (chmura/społeczność) w celu ułatwienia użytkownikowi weryfikacji nieznanego procesu czy działania…w każdym z tych programów można to wyłączyć i wtedy zostajesz sam ze zgłaszana akcją i decyzja do niej. Podobnie działają teraz wszystkie programy/moduły do ochrony proaktywnej -  taki jest trend, by decydować automatycznie za użytkownika.

Kolejna sprawa - dziwi mnie trochę, że chcesz programy, które z definicji dają komunikaty, ale równocześnie zarzucasz im, że to robią. Robią, bo taka ich rola i musisz zdecydować, czy naprawdę Ci to potrzebne i czy dasz radę je poprawnie obsłużyć…chodzi o trafność decyzji głównie.

ERP jest bardzo dobrą propozycją - w trybie “lockdown system” automatycznie zablokuje uruchomienie każdego procesu, którego nie ma na liście zaufanych, w trybie “alert” będzie, jak bloker czy HIPS, pytał o decyzję…tryby nauki i zezwalania nie blokują i nie generują alertów - pierwszy tworzy reguły zezwalające dla uruchamianych procesów, drugi nie. Te 2 ostatnie tryby nie powinny pracować stale, bo wtedy program nie chroni.

Nie pamiętam domyślnych ustawień ERP - możliwe, że tak jest jak piszesz - często zezwolenie dla Program Files, procesów Microsoft czy innych z wbudowanych list zaufanych jest opcjonalne, ponieważ szkodniki mogą się podszywać pod znane aplikacje, mogą się instalować w Program Files, mogą posługiwać się sfałszowanymi podpisami cyfrowymi. Im więcej dasz automatycznych zezwoleń, tym mniej będziesz musiał reagować, ale tym więcej kontroli się pozbawiasz.


(sensu) #7

Już się poprawiam.

System z którego korzystam to Windows XP. Mam jeszcze drugiego XP na innym komputerze oraz Windows 8, którego nie lubię, na trzecim. Korzystałem chyba ze wszystkich popularnych systemów: 95, 98SE, 2000, ME, XP, 2003 Server, 7, 8; 8,1 i powiem, że najbardziej podoba mi się XP. 2000 też miło wspominam. Windowsa 10 znam tylko z youtuba i bardziej już nie chcę poznać. Jeśli dziesiątka ma być ostatnim Windowsem to już chyba żadnego nigdy nie nabędę.

Zabezpieczenie chcę sobie ustawić pod system XP, chcę jeszcze trochę z tego systemu korzystać.

Co do Twojego “po trzecie” to nie wiem czy masz rację. ERP wydaje się nie korzystać z chmury w ogóle. W ogóle ta “chmura” to dla mnie marketingowe pojęcie i bardzo przereklamowane.


(ichito) #8

Skoro masz XP, to spytam, czy może zajrzałeś do dwóch moich wpisów na blogu

http://www.dobreprogramy.pl/ichito/Bezpieczenstwo-Windows-XPkrotki-poradnik-czesc-II,53465.html

Poza tym to sprawia, że może zainteresujesz się świetnym HIPSem, który jest w polskiej wersji czyli System Safety Monitor…program jest rewelacyjny nawet w darmowej wersji i choć nierozwijany od dawna, to dla mnie “miód” - wymaga niestety interakcji z użytkownikiem :slight_smile: Możliwe, że spróbujesz w takim razie również GeSWall w darmowej wersji (2.93) - to program HIPS bazujący na polityce piaskownicy - właściwie bezobsługowy po wstępnej konfiguracji i bardzo lekki dla systemu.

Ponieważ u mnie też wciąż pracuje XP, to zaproponuję zestaw, który ma aktualnie od ponad roku

  • zapora XP jest kiepska…moja propozycja to Kerio 2.1.5 free…ostatnia darmowa wersja tej zapory do wzięcia stąd

http://www.321download.com/LastFreeware/page7.html#Kerio Personal Firewall

a do tego SeconfigXP, który wyłącza niepotrzebne usługi i zamyka porty

http://external.informer.com/seconfig.sytes.net/

Na tej maszynie jest jeszcze SpyShelter Premium oraz Exe RadarPro właśnie, o którym pisaliśmy wyżej. Nie ma AV pracującego w tle, a wszystko opiera się na monitorowaniu systemu i restrykcjach na lokalizacje dysku, aplikacje w tym blokada nieznanych przez ERP.

Jeśli chcesz widzieć aktywne połączenia to, pobierz i uruchom CrowdInspect…kiedyś pisałem o nim krótko tu

https://safegroup.pl/temat-crowdinspect-wykrywanie-podejrzanych-polaczen-sieciowych_7956?highlight=crowdinspect

 

 

 

 


(sensu) #9

Nie czytałem, ale jutro nadrobię.

 

Na szybko sprawdziłem SeconfigXP. Po uruchomieniu widzę, że mam zaznaczone Disable SBM, Disable RPC i te cztery usługi.

NetBios mam włączone i wydaje mi się, że chyba musi tak zostać. Kiedyś miałem programik wwdc i tam chyba też była ta opcja. Po jej zaznaczeniu nie było internetu, musiałem cofnąć.

Muszę doczytać o co chodzi z tymi opcjami na samym dole. Masz jakiś poradnik?

 

Dziwne, ale crowdinspect jest domyślnie blokowane przez ERP. Czy na pewno nie ma tam nic złego? Komunikat: Invalid or revoked certificate.

Nad zaporą jeszcze pomyślę.

 


(ichito) #10

Przypuszczam, że Twój XP to samodzielna maszyna i nie współdzielisz zasobów z innymi maszynami…więc NetBios nie jest potrzebny, a może wręcz być szkodliwy. XP powinien łączyć się z siecią tylko za pośrednictwem aplikacji tego koniecznie wymagających. Poradnik Seconfig jest na stronie programu.

CrowdInspect to zaufane narzędzie i nie mam informacji, żeby coś się zmieniło w tym temacie…fałszywe alarmy zawsze mogą się przydarzyć. CrowdStrike jest znaną organizacją zajmującą się bezpieczeństwem i usługami w tym zakresie.


(sensu) #11

Samodzielna maszyna, ale wpięta w router z innymi. Może to mieć jakiś wpływ?


(sensu) #12

Cześć

Przeczytałem twoje 2 poradniki. Są ciekawie napisane, chętnie przeczytałbym następną trzecią część.

Zaryzykowałem i w programie seconfig xp wybralem opcje home i zapisalem. Na szczęście internet działa, program zablokował mi porty od 1025 do 1095. A ty które wybrałeś?