Защита реестра

Ранее использовал 2ipStartGuard, который мне на каждую попытку прописаться в реестр выдавал алерт.
Решил защитить реестр с помощью проактивной защиты, чтоб на каждую попытку прописаться мне также прыгал алерт, но вот как-то не удалось…
Прописал 9 ключей автозагрузки в защищенные ключи реестра. Далее тестирую: попробовал в ручную прописать ключ - всё тихо… Удаляю осла из автозагрузки и запускаю его - от проактивки ноль внимания, осёл в автозагрузке. Чё он тогда защищает?
Заглянув повторно в защищенные ключи реестра, заметил, что они там уже присутствовали… Если я не ошибаюсь, то ранее он мне выдавал при установке “неизвестных” приложений алерты на автозагрузку, но, имхо, этого маловато… Надо чтоб на любую попытку любого приложения вылазили красные и жёлтые сообщения.

Параноидальный режим + корректировка политик для доверенных приложений.

это слишком много алертов, а если это единственный выриант то отдам предпочтнение 2SG

Не знаю, как работает 2IP StartGuard, но если у него будет один алерт на прописание ключей в реестр на всё устанавливаемое приложение, тогда зачем он нужен. Если 2SG будет реагировать на изменение каждого ключа реестра с устанавливаемым приложением, то это будет тот же самый Параноидальный режим проактивки CIS, с большим количеством алертов. Ведь, я так понял, в 2SG пользователь сам будет решать нормальная программа или нет. Только отличие в том, что CIS посредством Песочницы(если включена) и облаков проверяет еще цифровую подпись устанавливаемого приложения и сверку по белым спискам доверенных вендоров, а 2SG этого не умеет(или я ошибаюсь?) и то что вы разрешите прописать в реестр - Ваша ответственность.
Если использовать совместно с CIS, то неизвестно как будет реагировать проактивная защита на его присутсвие. Может быть придётся её отключить…

Но это всё предположения. Нужно тестировать 2IP StartGuard…
Отпишитесь, если будете использовать дальше 2SG, - какие впечатления… подтвердились ли мои предположения и т.д.

Вовсе нет. Если вдумчиво перенастроить пресеты, то можно добиться практически показателей одно приложение - один алерт.

всегда использовал CIS совместно с 2SG и никогда никаких проблем не наблюдалось. Алерты 2SG выдаёт на каждый новый строковый параметр в реестре (у меня контролирует 9 веток автозапуска). 2SG не какие файлы ни с чем не сравнивает и никуда не отправляет, он просто спрашивает у пользователя разрешить прописать в такую-то ветку реестра такую-то программу. А тут пользователь уже сам решает доверяет он этой программе или нет И хочет ли он чтобы она автоматически запускалась.

Чтобы конкретно затестить всю эту систему нужны батники… Скинте пару штучек и я отпишу что как…

Имхо, бред. Паронаидальный режим всегда вызывает много алертов, и всю систему одним алертом никак не защитить… Если я не прав, то посвятите, я потом опробую ваш споб.

Может дело в том, что Вы экспериментируете с известными/доверенными приложениями? CIS прежде всего расчитан на защиту от вредоносов, и таким он прописаться не даст, а нормальные программы … видимо такой поворот событий разработчик не предусмотрел.

Сейчас попробовал протестировать… При вкл 2SG.
Удаляю 2GS (которому comodo вроде как не доверяет) из автозагрузки, удаляю GuardMailru (которому comodo вроде как должен доверять). Создаю батник который их прописывает обратно. В итоге от comodo имеется один алерт на допуск батника к regedit (чего явно не достаточно). Дальше реагирует только 2SG (двумя алертами) и вся ответственность ложится на меня.
В любом случае я от comodo ожидал алерта, а не его самостоятельного решения; думал что алерты будут так же скакать как и в 2GS…
Думаю 2ipStartGuard лучшее дополнение для любого комбайна; в любом случае прога укрепит защиту, а при использовании совместно с проактивной защитой добавит как минимум некоторое удобство.

Что бред? Будьте так добры, следите за языком. Я обычно пишу не “бред”, а то, в чём уверен. Или бред, что можно настроить пресеты так, как мне нужно, на те алерты, которые мне нужны и потом каждой программе просто указывать соответствующий пресет?

Одно приложение - один алерт? Это для уже настроенных приложений. При любой установке приложений меня (пользователя) будет ожидать бессмертная куча алертов. Я ошибаюсь?
Будьте добры приведите пример с вашими настройками на приложения…
У вас на любое приложение пытающееся прописать себя в реестр выскакивает алерт, будь оно прописаное в политике или нет?

Я не писал “Одно приложение - один алерт”, я писал “то можно добиться практически показателей одно приложение - один алерт”. Это не одно и то же.

Каких настроенных? На любое неизвестное приложение выскакивает алерт, где я просто указываю соответсвующий пресет и забываю о нём навсегда. Всё.

Зависит от того, что Вы хотите получить. Если Вы хотите получить алерты только на ключи автозапуска для, скажем, доверенных приложений, значит ставите в соответствующем пресете запрос на операции с реестром, заносите в разрешенные все группы ключей, кроме автозапуска и при запуске нового приложения, которому Вы в целом доверяете, но хотите следить за автозапуском этот пресет. И т.д.
[/quote]
ЗЫ. Туфта этот Ваш 2ipStartGuard, запись через ntdll он в упор не видит.

это где мне надо заносить их? я чёт конкретных ответов на поставленые вопросы не получаю… Приведите мне какой-либо конкретный пример.

Я не менял всю проактивную защиту на 2ipStartGuard, я её использую как дополнение… Тем не менее попрошу вас накинуть мне какой либо пример, чтобы я мог убедиться на личном опыте, что это как вы утверждаете “Туфта”. Мне ещё не разу не приходилось жаловаться и замены никакой близко не вижу (имхо, лучше безопасный режим проактивной защиты + 2SG, чем перебирать всю политику проактивной защиты)!

Задайте конкретный вопрос, получите конкретный ответ. Кстати, ответы в мои оязанности не входят. :wink:

Политику защиты нужно перебирать не ради “замены”, а ради требуемого результата. Я лично в этом никакой проблемы не вижу, поскольку её всё равно приходится так или иначе подгонять под конкретные условия. Вашу “2SG” тоже надо настраивать, в ней по умолчанию и десятка ключей нет. А почему она туфта, я уже написал, потому, что она не ловит даже модификацию реестра через ntdll.dll, не говоря уже про прямые системные вызовы, “защита” без драйвера это самообман. Можете проверить с RegHide.

WinPatrul по моему на много лучше. И автозагрузку контролирует, delayed start, registr monitoring, сервисы, куки, ActiveX, Hidden fails, планировщика, надстройки браузера, онлаин анализ на своем сервере, и еще… :wink: