ОС без антивируса - советы и рекомендации

Ответить на тему
 
Автор
Сообщение

leon024 ®

Пол:

Стаж: 3 года 7 месяцев

Сообщений: 1151

Репутация: 632 [+] [-]

Откуда: Россия

Пост 26-Авг-2013 11:44

[Цитировать] 

ОС без антивируса - советы и рекомендации-
Данная тема является логическим продолжением предыдущего поста - Социальные трояны и продажные антивирусы
Современные вирусы - мифы и реальность
Как только человек приобретает компьютер, ему сразу же начинают после установки ОС вешать "лапшу на уши" про вирусы. Почему лапшу? - Да потому, что в пример сразу же начинают приводить всякие "чернобыли" сжигающие БИОС, черви грызущие все файлы подряд и прочие ужасы. Выгодно это только антивирусникам PROFIT!!!
А на самом деле? БИОС вам никто уже не уничтожит, чернобыль работал только под Windows 95/98, так же как и большинство других червей, а потом их эра расцвета пошла на спад. Почему? да пропал так сказать "трудовой энтузиазизьм" - народ стали интересовать только деньги. Выгода - вот, что нынче всех интересует, включая и вирусо-писателей. Поэтому самое распространенное явление нынче это банальный ТРОЯН ворующий ваши данные с целью продажи.
Далее идут горячо любимые в среде хомячков порно-баннеры. Это семейство называется официально Trojan.Winlock блокирует работу ОС и требует бабло. Данные пользователя не уничтожаются (оно им надо?), для разблокировки понаписана туева куча программ, загрузочных дисков реаниматоров и прочей ху*ты. В связи с повальной эпидемией на это дело обратили внимание даже опытные хакеры. Где взять эти самые порно-баннеры? - Элементарно: разносчик заразы это социальные сети - зарегистрируйтесь в "вконтакте", посетите "одноклассники", побывайте везде где бродит подобное быдло и результат не заставит вас долго ждать. Впрочем порно-сайты тоже рулят, что кабэ символизирует - одни от других недалеко ушли.
Далее - очень модно стало "продавать" хомяков оптом. Первыми это делали естественно "социальные сети" - они продавали БД хомяков оптом. Для этой цели они собственно изначально и создавались. Например БД "одноклассников" шли в продажу от 10 000 голов баранов, цену ей богу не помню - давно было, но не дорого.
Далее - вирусо-писатели естественно не отставали, в моду вошли так называемые "боты" из которых стали создавать зомбо-сети. В обиходе мы их называем "карженные машины". Карженных тоже продают как рабов, цена зависит от качества и от количества машин хомяков, обычно это десятки тысяч долларов (а вы как думали). Самые вкусные - пожалуй геймеры т.к. у них самые мощные машины, одни видеокарты чего стоят. Завалить в даун подобными видюхами используя всего 15-20 ботов какой нить "депозит файлес" ничего не стоит. При желании тот же ботнет можно и не создавать, а просто арендовать на нужное вам время. Предложений на рынке подобных услуг хватает.
Как стать зомби? - да элементарно! Во-первых нужно чувство жадности (деньги), во-вторых ЧСВ, в-третьих хорошее железо (геймеры)... короче проще - зайдите например СЮДА, скачайте то что предлагают и ждите дивидентов (паитивэн). Именно таким путем (партнерки) чаще всего ботнет и передается + конечно те машины которые пробил вредоносный "сплойт" при заходе на нужные страницы в сети.
TDSS TDL-4 - опять партнеркаВ общем современные вирусы интересует только выгода, а нарваться в сети на старый нынче практически нереально. Компьютерный вирус - это тоже программа, и как и все остальные программы имеет те же недостатки. Вы можете сейчас в сети скачать программу (любую) какой нить старой версии, которую выкладывали в сети года 3-4 назад? Попробуйте, уверяю вас это очень проблематично, все ссылки битые будут. А о поддержке ОС не забыли? зайдите на офф-сайт какого нить вирусо-писателя и задайте вопрос - поддерживает ли его прога новые операционные системы. Вам смешно? мне тоже - как правило апгрейда своих произведений они не делают, и если прога была написана под win 98, то на какой нить висте или семере работать она однозначно не будет. Autorun.inf или защита от сменных носителейМногострадальный файл Autorun.inf предназначенный для автоматического запуска программ со сменных устройств. Сколько же народу от него "полегло", тысячи раз твердили миру на всех форумах - отключите, но... В связи с тем, что настройки отключения у мелкомягких размещены не совсем удобно, для большинства хомяков это оказалось неподсильной задачей. Вот один из способов его отключения:
Откройте диалоговое окно «Выполнить» (Win + R) и введите gpedit.msc. Нажмите Enter, чтобы запустить «Редактор локальной групповой политики»
В редакторе локальной групповой политики перейдите в следующий раздел:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Политики автозапуска:

Вот и все проблемы, чего его бояться то. На самом деле штука довольно удобная, особенно когда что нибудь "чайникам" даешь которые нихрена не соображают, а объяснить им как то надо.Ну и пишешь типа: Код:
[autorun]
shellexecute=introduction.hta
icon=logo.ico
В обычном текстовом блокноте и сохраняешь как Autorun.inf Первая строчка отвечает за запуск, вторая выводит логотип иконки на привод. Вот и все ужасы. Вирусы запускают в основном так же по виду:
shellexecute=virus.exe
а самому исполняемому файлу и файлу Autorun присваивают в свойствах атрибут "скрытый" (для просмотра жмем "показать скрытые папки и файлы" в "свойствах папки", открываем Autorun, читаем что там предназначено для запуска). Далее поступаем по обстоятельствам. Теоретически прямо в сам файл тоже можно вписать само тело так называемого "текстового вируса", но мне например на практике такие не совали. Совет: работаете сами, без дураков - авторан можно и включить, а отдали флеху чужому считайте ее по дефолту "зараженной" и открывайте аккуратно вручную. Вполне возможно что вас ждет приятный сюрприз. Сам вирус не уничтожайте сгоряча - он вполне может вам пригодится, просто заархивируйте с паролем и отложите в специально отведенную для этих целей папку. Зачем? Вопрос резонный - при большом желании вы можете выйти на того кто его написал и отомстить обидчику. Как его найти? Потом расскажу - есть несколько проверенных вариантов.
Кратко о конфигурации самой ОСиЕсли вы все еще думаете что ваш любимый антивирус защитит вас от напастей интернета, то можете поставить для успокоения антивирус на обновление и дальше не читать. Для неисправимых параноиков можно дать пару дельных советов поклонникам винды. На одном небезызвестном форуме есть очень опытные аксакалы, которые путём долгой ёбли мозгов себе и друг другу выработали политику огораживания NT-системы, настолько задротскую и эффективную, что она позволяет не только навсегда забыть об антивирусах, но даже пускать за компьютер школоту и представителей интеллектуальных меньшинств. Даже если вы целыми днями только и дрочите на порно-сайтах. Если вам неохота это все читать, вот краткое изложение самых основных мер огораживания своей системы:-1. Полная переустановка всей системы. Выделение системе отдельного логического диска, который не будет захламляться, для ускорения восстановления, дефрагментации, бекапа и прочих нужд.
2. Отключение автозапуска на всех съёмных дисках (Обязательно! Делается стандартной утилитой gpedit.msc, кому-то проще скачать AVZ4, но тру-одмины делают это вручную через regedit(авотхуй! тру-одмины делают это через редактор групповой политики): очищают подразделы подразделы Run, RunOnce в кустах HKLM и HKCU), но это не защитит от двойного щелчка по значку флэшки с последующим срабатыванием авторана, для предотвращения этого нужно установить скрипт VirusVaccine для ленивых или же вручную в реестре прописать Код:
"AutoRun"=dword:00000000
В ветке
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom
и для особо хитрожопых программ в ветке
Код:
HKEY_SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
т.к. в этой ветке программа ищет особые файлы, найдя которые не станет автоматически запускаться. Поэтому по умолчанию присваиваем значение «все файлы».
3. Создание пользователя с ограниченными правами (Если не в состоянии их настроить, ставьте права гостя).
4. Пользование нормальным браузером, запущенным из-под пользователя с ограниченными правами (Это делается из-под любого пользователя батником с одной строчкой, удивительно? Аффтар запускает браузер из-под рута батнегом с содержимым runas /user:%название пользователя% /savecred «%ProgramFiles%\Opera\opera.exe»[5] и напоминает всем, что сидеть под пользователем с уже ограниченными правами, имея батник на запуск под администратором какого-нибудь тотал коммандера гораздо кошернее). Ещё лучше — браузером с огороженными ява-скрипт (Под лисой делается плагином NoScript, под оперой вот этим), ибо нехрен всяким говносайтам давать жрать ценнейшие ресурсы вашей любимой машинки и запускать на них руткиты, это следует разрешать только веками проверенным.
5. Не запускать что попало, появившееся на компьютере. Если сильно жмёт, то для проверки появившегося как раз и используется антивирус, в этом случае антивирус должен обновляться хотя бы раз в неделю и иметь включенный мониторинг файлов. Можно также политикой запретить исполняемые файлы.
6. Иметь включенное автоматическое обновление критических апдейтов системы.
7. Желательно также иметь нормально настроенный стандартный фаерволл.
8. Запускать непроверенные программы внутри виртуальной машины.
Если же вы желаете уберечь себя от страшных и ужасных уязвимостей типа 0-day, вредоносного кода типа сассера, кидо и т. д. помогут следующие действия, при условии наличия домашнего компутера с интернетом и отсутствие Active Directory, средств разработки ПО, СУБД или еще каких то специфических программ. После применения некоторых пунктов, особенно касающихся DCOM и отключения анонимного доступа к именованным каналам, проверить работоспособность специфических программ.
9. При соблюдении условия повседневной работы под пользователем с ограниченными правами необходимо также задать пароль встроенному админу позаковыристее
10. Отключите через services.msc и реестр вот этот список служб для повышения производительности системы.
11. Для общего доступа к файлам и принтерам в настройках брандмауэра оставить только порт TCP 445 (если никому свои шары предоставлять не планируете, то закрывайте и этот порт, а в настройках сети на всех интерфейсах снимайте галки на «общем доступе к файлам и принтерам»)
12. Отключить в диспетчере устройств драйвер NetBIOS over TCP/IP (Диспетчер устройств — Вид — Показать скрытые устройства — Драйверы устройств не Plug and Play — NetBIOS over TCP/IP — заходим в свойства и устанавливаем состояние «Отключено» и перезагружаемся). Стоит отметить, что далеко не во всех компьютерах стоит это делать, иначе просто после перезагрузки не выйдешь в интернет.
13. Через соответствующую оснастку запретите анонимный доступ к DCOM (c:\WINDOWS\system32\dcomcnfg.exe — Службы компонентов — Компьютеры — Мой компьютер — на нем правой кнопкой — Свойства — Безопасность COM. Там же можно пройтись по отдельным компонентам системы)
14. Разрешить политику Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями (через gpedit.msc, раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности)
15. Настроить политику Сетевой доступ: разрешать анонимный доступ к именованным каналам (открыть ее и удалить все, что там перечислено: COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, browser).
16. Настроить политику Сетевой доступ: разрешать анонимный доступ к общим ресурсам (открыть ее и удалить все, что там перечислено)
17. Настроить политику Сетевой доступ: пути в реестре доступны через сетевое подключение (открыть ее и удалить все, что там перечислено)
Дополнительно о конфигурации ОСи1. Настройки подобного занимают уйму времени, а ОСь нужно и перестанавливать, поэтому если слепите себе собственный дистрибутив не забудьте сделать с него "слепок" например тем же Acronis TrueImageHome причем без привязки к железу (а вдруг "маму" смените).
2. Ну то что сам дистрибутив нужно оригинальный взять, а не сборку Васи Пупкина я думаю ежику понятно - там троянов меньше.
3. Что такое WINDOWS - правильно, это ОКНА. Они нам и нужны, а не то что по умолчанию входит в дистрибутив. Остальное - нах, пользуйтесь продуктами сторонних производителей. Так что удаляем все ненужное, можно использовать например утилиту nLite - она дает возможность удалить ненужные службы и компоненты или классическим способом с помощью утилиты командной строки sc.exe
Например программа Windows Messenger вам нужна? - НЕТ. Ответ правильный. В командной строке Пуск - "Выполнить" печатаем следующее:
«RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove» и жмем «OK».
После перезагрузки Windows Messenger у себя на компьютере вы больше не найдете. А нет программы - нет от нее и проблем (зачем вам на нее обновления-заплатки от мелкософт). Ну и по аналогии так же далее...
Защищенная ось без антивирусов и тормозов
Как удалить вручную вирус из системыТема "КАК НАЙТИ И ОБЕЗВРЕДИТЬ ВИРУС ВРУЧНУЮ" вообще долгая и увы бесполезная. Начало будет "за здравие", а конец "за упокой". Начиная с азов: открываем стандартный "Диспетчер задач" (который них*я не видит - но в этом и его прелесть) и запускаем параллельно Process Explorer от Марка Русиновича и визуально сравниваем. Если в Process Explorer процесс есть, а в Диспетчере задач его нет, значит он маскируется. Делаем вывод: Руткит. Далее - берем МУХОБОЙКУ и... ОПА - те, кто умеют ей владеть им незачем читать что я написал, но их 0,001 % от общей массы пользователей. Ну что, приехали? Вот те и пост писать.
Вот нашел в сети тот самый номер журнала где об этом Крис Касперски писал:
Хакер № 06/07 (102)
Хакер № 07/07 (103)
Абсолютно безопасная WindowsКак известно абсолютно безопасной Windows не бывает в принципе. Вы можете использовать для ее защиты различные программы позволяющие работать например в режиме тени - тот же Shadow Defender например или Deep Freeze о котором мы писали. Вот еще программы подобной тематики. Но 100% защиту можно получить лишь сэмулировав винду на виртуальной машине под люникс. Тогда точно ни один вирь не пройдет - различия файловых систем.
[Торрент-статистика]
[Профиль]  [ЛС] 
Показать сообщения:    
Ответить на тему

Текущее время: Сегодня 20:34

Часовой пояс: GMT + 4



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы