Лидеры форума

priv8v, я имел в виду ваши PDM тесты, а у нас - на kadets.info.ru

Для того, чтобы отключить перехваты, до них нужно дотянутся. Это не так просто- MD это делает с уровня драйвера.

Трейсы уже и не нужны - баг в KIS2010, вызванный PDM, удалось поймать - разработчикам о нем известно.

Ну, это кому как нравится. Я привык сам создавать правила в процессе запросов, после того, как они созданы - все, никаких алертов. Плюс ощущение того, что все под твоим личным контролем, и что ты - хозяин на компе и принимаешь окончательное решение. А MD, на мой взгляд, и не только на мой - лучший поведенческий анализатор на сегодня. Тесты, собранные priv8v, проходит стопроцентно.

Ну, в общем, вот что у меня получилось. Установил я этого шпиона. Потом пошел запуск процесса и куча алертов от хипс (стоит у меня Malware Defender), запросы шли в основном четырех типов: запуск процесса, установка глобального перехватчика на сообщения, отправка сообщения другому процессу и сетевая активность. Здесь очень важно было разобраться и дать разрешения на запуск процесса, на ведение мониторирования и на ведение лога, но запретить все остальное. Очевидно, я переусердствовал и запретил лишнего, поскольку он запустился, повис в трее, но окошко не открывалось. Пришлось удалять правило и создавать заново. При этом я сразу создавал правило либо разрешения, либо запрета. Очевидно, и здесь я ошибся, и на этот раз лишку разрешил - через минут 7 после запуска проги выяснилось, что все логи пусты, кроме снимков экрана - он сделал один снимок по расписанию через 5 мин. Тогда я сделал следующее - установил интервал снимка в 1 мин, плюс еще делать снимок при открытии нового окна, потом открыл окно MD и переместил данную прогу в разряд блокируемых. После этого продолжил серфинг. Больше ни одного снимка не было сделано, и другие логи остались чистыми. Из всего этого делаю вывод: с помощью хорошего поведенческого анализатора (в моем случае - MD) заблокировать активность подобных шпионов не только возможно, но и достаточно просто. .

1. С какого именно сменного носителя был произведён запуск? Если с флешки- то значит не установлено "Автоматически запускать прилоджения со сменных носителоей как недоверенные" (которая установлена по умолчанию). 2. Для контроля локальной сети нужно установить "Запускать из локальной сети как недоверенный". Конечно нехорошо, поскольку DefenseWall... так и не поступает. А, тогда всё понятно. Нужно ставить галку на "Считать CD/DVD как недоверенные". Просто обычно на CD/DVD идут покупные игрушки, для обмена файлами они не удобны.

@ Vadim Fedorov На конференции или в докладе о безопасности они ответили бы по-другому. Но на таких пиар-событиях, на которых задают вопросы, ответ на которые можно просто гуглить другое я лично не ожидал. Мне кажется, что они достаточно лаконично всё сделали - то есть: как надо. Про 'специалист мирового уровня в области информационной безопасности', например, я лично воспринимал с улыбкой. Я не хочу сказать, что Е.К. таким не является, но в контексте ответа на заданный вопрос девушки я не могу эту фразу иначе воспринимать как: дружная шутка со стороны А.Г. P.S.: Можно говорить про ликбез, например, и про то, что надо работать как ограниченный пользователь, но 1) это не лучший ответ для продвижения продукта; 2) у Е.К. и А.Г. хватает жизненного опыта для того, чтобы осознать, что всё равно почти никто этим заниматься не будет. Paul