korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
для нас наших гуру - элементарно
|
dimo70
- Стаж: 7 лет
- Сообщений: 3784
- Репутация:27[+] [-]
- Откуда: BG
|
88129для нас наших гуру - элементарно ... но не и для меня. Ок, а какое мнение про известных утилит antiransomeware? У касперски и битдефендер есть такие. Они предостерегают, или вовсе невозможно положиться на них?
_________________ Подпись отключена за нарушение правил форума
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
https://directorymonitor.com/ Отслеживайте и обнаруживайте, кто вносит изменения в ваши каталоги и сетевые ресурсы в режиме реального времени. Directory Monitor может использоваться для наблюдения за каталогами и / или общими сетевыми ресурсами и будет уведомлять вас об изменениях файлов, доступе, удалениях, модификациях, новых файлах и бездействии в режиме реального времени. Также можно обнаружить пользователей и процессы, вносящие изменения. Directory Monitor также предоставляет текстовые журналы, автоматизацию посредством выполнения скриптов / приложений, отправку по электронной почте, запись в базу данных, звуковые уведомления, печать и многое другое. Разве что слегка жирновата...
|
Gemostarter
- Стаж: 7 лет 8 месяцев
- Сообщений: 323
- Репутация:35[+] [-]
|
88070Оба варианта (использование драйвера ProtectIt и скрытого раздела) имеют одну и ту же уязвимость: когда-то их придётся "открыть" для записи бекапа и в этот момент туда можно просунуть волосатое счупальце. Именно. Но ProtectIt лучше потому, что доступ к данным происходит, если я правильно понял, его внутренними средствами, без посредничества ОС. Это поднимает защищённость очень высоко - только целенаправленная атака именно на этот метод защиты и конкретную версию ProtectIt даст злоумышленнику шанс. Скрытый раздел же, ИМХО, защиты добавляет мало. Спасёт лишь от тех, кто даже не пытается повысить привилегии хотя бы до админа. Read-only через сторонний драйвер (imDisk) выглядит посерьёзнее, чем просто скрытие раздела, но если зловред будет работать на уровне ядра, то этот финт он рискует обойти, даже не заметив, что он был. Повторю ещё раз, если не понятно: пока диск подключён (физически) к компьютеру и его хоть как-то видит ОС, он доступен и на чтение, и на запись. Если, конечно, запись не запрещена аппаратно. Я повторю ещё раз: не потребуется "менять атрибуты раздела", не потребуется "перемонтировать раздел", вообще нет нужды возиться с томами типа C:, D:, и так далее. Не утверждаю, что такие шифровальщики есть, говорю лишь об очень высокой вероятности использования некоторыми из них низкоуровневых методов доступа к дискам. Потому что реализовать это очень просто, и получится довольно универсально. Даже велосипедов городить не нужно - берём опенсорсный редактор разделов, копипастим нужный код, профит. З.Ы. К "сыру" я ещё не придумал, как докопаться, но постараюсь, обещаю
|
Отправлено: 19-Авг-2021 07:45
(спустя 2 часа 35 минут)
dimo70
- Стаж: 7 лет
- Сообщений: 3784
- Репутация:27[+] [-]
- Откуда: BG
|
korsak7, спасибо. IFW лучший способ, только не понял как именно включить ProtectIt? Искал в меню программы, но ничего не нашел.
_________________ Подпись отключена за нарушение правил форума
|
Отправлено: 19-Авг-2021 08:52
(спустя 1 час 6 минут)
sam_sobi
- Стаж: 8 лет 9 месяцев
- Сообщений: 198
- Репутация:3[+] [-]
|
88155korsak7, спасибо.
IFW лучший способ, только не понял как именно включить ProtectIt? Искал в меню программы, но ничего не нашел. В TBMenuClassic343 (от dialmak'a) в "\TeraByte Drive Image Backup and Restore Suite\utility\" есть install_protectit.cmd для включения и uninstall_protectit.cmd для отключения "врукопашную"... По умолчанию защита ВКЛЮЧЕНА. В твоём ImageW346.exe такого к сожалению нет
Последний раз редактировалось: sam_sobi (2021-08-19 08:57), всего редактировалось 4 раз(а)
|
|
берём опенсорсный редактор разделов, копипастим нужный код, профит. Если стоит задача поломать файловую систему, согласен - самое оно. Но перечитать таким макаром кучу файлов, попутно их зашифровав и сохранив обратно, с возможностью вернуть всё взад... Это уже нужно быть спецом ооооочень высокого уровня. Я вот для User2Go перелопатил кучу различных утилит, и нашёл лишь две, использующие MFT (файловая таблица для NTFS) для ускорения обработки файлов. Причем, только для чтения (запись в MFT минуя ОС - это отдельная история). Хотя тема подробно документирована. Так вот, доступ напрямую через редактор к файлам без монтирования - это работа с MFT, только на порядок сложнее. Тот, кто реально может это сделать, вряд ли будет промышлять рядовым вымогательством с риском для свободы. И уж точно он в курсе ходовых контейнеров бекапов, и как раз их поломать намного проще - достаточно первый мегабайт зашифровать.
|
Отправлено: 19-Авг-2021 12:36
(спустя 1 час 32 минуты)
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
после установки переименовывать драйвер Там вся установка в inf и батнике - можно в них заранее переименовать. Только как к этому потом IFW отнесется?
|
Ander_73
- Стаж: 7 лет 10 месяцев
- Сообщений: 3832
- Репутация:127[+] [-]
|
korsak7, поднимать/опускать такой драйвер только руками, разумеется. Зачем нужен IFW? Ты, вроде, был ярым адептом wimlib-а...
|
korsak7
- Стаж: 9 лет
- Сообщений: 1063
- Репутация:62[+] [-]
|
Потому и спросил, потому что я руками и wimlib Кто их там этих терабайтов знает...
|
Ander_73
- Стаж: 7 лет 10 месяцев
- Сообщений: 3832
- Репутация:127[+] [-]
|
korsak7, шаловливо пробежался ручонками по драйверу
Красным - менять Зелёное - "палевные" следы, по которым драйвер ещё можно найти
|
dimo70
- Стаж: 7 лет
- Сообщений: 3784
- Репутация:27[+] [-]
- Откуда: BG
|
Ander_73, может я слегка глупость напишу , но если в регистри начнем менять что то по драйверу, ето не будет ли слишком опасно? А и нужно ли? КМК мало вероятно, что рансомуер начнет такие непривычные вещи делать.
_________________ Подпись отключена за нарушение правил форума
|
Ander_73
- Стаж: 7 лет 10 месяцев
- Сообщений: 3832
- Репутация:127[+] [-]
|
korsak7, вот, для прикола, примерчик: драйвер Z4sh1t4 Скачать
|
Страница 3 из 4
Текущее время: 03-Дек 20:15
Часовой пояс: UTC + 3
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы
|
|