Д+ весьма неплох, но его кривые настройки могут свести оборону ПК на ноль, причем сделать это просто.
Использую Д+ на параноидальном режиме с включением контроля загрузки исполняемых файлов и стараюсь не допускать чтобы что-то происходило втихаря.
Всё бы ничего, но. Есть ряд приложений, которым необходим межпроцессный доступ к памяти.
Многие проги хотят доступа к explorer.exe и почти все юзают ctfmon.
Есть вероятность что зловреды могут пробираться в рамках разрешенных политик. Делается примерно так: зловред модифицирует код в памяти браузера и тем самым действует от имени разрешенного браузера, потом зловред дублируется в ктфмон, и т.д. и руки его развязаны, т.к. он может действовать от имени какого-либо доверенного приложения, т.е. защита обрушена не смотря на меры.
Есть в Д+ опция защиты памяти (сильная вещь, по умолчанию отключена для всех политик), вот думаю как правильно использовать данную меру.
У кого есть обоснованные соображения или решения на сей счет?
Если реально такой зловред существует, тогда интересно было б посмотреть.
Другое, но по теме. В основном, относительно сэйф мода Д+.
После версии 3.12 Д+ (настройки по умолчанию) перестало реагировать на попытку rundll32.exe запустить dll файл. Была тема на форуме, где упоминался вирус автозапуска, что-то похожее на:
rundll32.exe dflriujh.dll,Setup
dflriujh.dll содержит набор команд для блокировки диспетчера задач, восстановления системы и т.д. с помощью стандартных средств системы, таких как cmd.exe, mmc.exe и т.д.
Так вот, с настройками по умолчанию Д+ в сэйф моде обучается: rundll32.exe (безопасное приложение) запускает cmd.exe (другое безопасное приложение), cmd.exe (безопасное приложение) делает то-то и то-то, rundll32.exe запускает mmc.exe и т.д.
То есть в результате получалась поломанная система, несмотря на “безопасный” режим Д+.
Только если добавить *.dll в список “настройки контроля исполнения файлов”, только тогда будет предупреждение: rundll32.exe пытается запустить dflriujh.dll.
Побочный эффект от добавления *.dll в список (увеличенное число алертов Д+) можно решить, изменив политику для “все приложения” путем добавления похожих записей в разрешенные исключения для пункта “запуск приложения” (картинка).
Путей обхода модуля Defense+ с настройками по умолчанию очень много. Например ты запустил запустил присланный по почте .exe файл, он модифицирует доверенный исполняемый файл, который лежит в .rar архиве (Defense+ не заикнется на изменение .rar). Потом распаковав архив, ты запускаешь этот инфицированный исполняемый файл, даешь ему привилегии(так как считаешь его доверенным), и он может творить на твоем компе свои гадкие дела.
Чтобы такое не случилось нужно внести записи в “мои защищенные файлы” типа: *.rar *.zip *.iso и т.д.
Ломился в открытую дверь :-\
Вместо того, чтобы колдовать над настройками Комодо после версии 3.12, лучше запретить автозапуск съемных устройств с помощью патча КВ-971029 : информация и ссылки.
Хотя имеется “подвох”:
На некоторых USB-устройствах флэш-памяти имеется микропрограмма, которая определяет эти устройства как дисководы компакт-дисков при их подключении к компьютеру. Данное обновление не изменяет функций таких USB-устройств.
Для верности можно также отключить автозапуск всего чего только можно: