[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
для нас наших гуру - элементарно

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3777
  • Репутация:27

    [+] [-]
  • Откуда: BG
88129для нас наших гуру - элементарно
... но не и для меня. ab
Ок, а какое мнение про известных утилит antiransomeware?
У касперски и битдефендер есть такие. Они предостерегают, или вовсе невозможно положиться на них?

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
... но не и для меня.
https://directorymonitor.com/
Отслеживайте и обнаруживайте, кто вносит изменения в ваши каталоги и сетевые ресурсы в режиме реального времени.
Directory Monitor может использоваться для наблюдения за каталогами и / или общими сетевыми ресурсами и будет уведомлять вас об изменениях файлов, доступе, удалениях, модификациях, новых файлах и бездействии в режиме реального времени. Также можно обнаружить пользователей и процессы, вносящие изменения. Directory Monitor также предоставляет текстовые журналы, автоматизацию посредством выполнения скриптов / приложений, отправку по электронной почте, запись в базу данных, звуковые уведомления, печать и многое другое.
Разве что слегка жирновата...

[Цитировать]

    Gemostarter
  • 15956
  • Стаж: 7 лет 7 месяцев
  • Сообщений: 323
  • Репутация:35

    [+] [-]
88070Оба варианта (использование драйвера ProtectIt и скрытого раздела) имеют одну и ту же уязвимость: когда-то их придётся "открыть" для записи бекапа и в этот момент туда можно просунуть волосатое счупальце.
Именно. Но ProtectIt лучше потому, что доступ к данным происходит, если я правильно понял, его внутренними средствами, без посредничества ОС. Это поднимает защищённость очень высоко - только целенаправленная атака именно на этот метод защиты и конкретную версию ProtectIt даст злоумышленнику шанс.
Скрытый раздел же, ИМХО, защиты добавляет мало. Спасёт лишь от тех, кто даже не пытается повысить привилегии хотя бы до админа.
Read-only через сторонний драйвер (imDisk) выглядит посерьёзнее, чем просто скрытие раздела, но если зловред будет работать на уровне ядра, то этот финт он рискует обойти, даже не заметив, что он был.
Повторю ещё раз, если не понятно: пока диск подключён (физически) к компьютеру и его хоть как-то видит ОС, он доступен и на чтение, и на запись. Если, конечно, запись не запрещена аппаратно.
Я повторю ещё раз: не потребуется "менять атрибуты раздела", не потребуется "перемонтировать раздел", вообще нет нужды возиться с томами типа C:, D:, и так далее.
Не утверждаю, что такие шифровальщики есть, говорю лишь об очень высокой вероятности использования некоторыми из них низкоуровневых методов доступа к дискам. Потому что реализовать это очень просто, и получится довольно универсально. Даже велосипедов городить не нужно - берём опенсорсный редактор разделов, копипастим нужный код, профит.
З.Ы. К "сыру" я ещё не придумал, как докопаться, но постараюсь, обещаю af

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3777
  • Репутация:27

    [+] [-]
  • Откуда: BG
korsak7, спасибо.
IFW лучший способ, только не понял как именно включить ProtectIt? Искал в меню программы, но ничего не нашел. ac

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    sam_sobi
  • 2839
  • Стаж: 8 лет 8 месяцев
  • Сообщений: 198
  • Репутация:3

    [+] [-]
88155korsak7, спасибо.
IFW лучший способ, только не понял как именно включить ProtectIt? Искал в меню программы, но ничего не нашел. ac
В TBMenuClassic343 (от dialmak'a) в "\TeraByte Drive Image Backup and Restore Suite\utility\" есть install_protectit.cmd для включения и uninstall_protectit.cmd для отключения "врукопашную"... По умолчанию защита ВКЛЮЧЕНА. В твоём ImageW346.exe такого к сожалению нет ah aa


Последний раз редактировалось: sam_sobi (2021-08-19 08:57), всего редактировалось 4 раз(а)

[Цитировать]

    Гость
  • Репутация:0

    [+] [-]
берём опенсорсный редактор разделов, копипастим нужный код, профит.
Если стоит задача поломать файловую систему, согласен - самое оно. Но перечитать таким макаром кучу файлов, попутно их зашифровав и сохранив обратно, с возможностью вернуть всё взад... Это уже нужно быть спецом ооооочень высокого уровня. Я вот для User2Go перелопатил кучу различных утилит, и нашёл лишь две, использующие MFT (файловая таблица для NTFS) для ускорения обработки файлов. Причем, только для чтения (запись в MFT минуя ОС - это отдельная история). Хотя тема подробно документирована. Так вот, доступ напрямую через редактор к файлам без монтирования - это работа с MFT, только на порядок сложнее.
Тот, кто реально может это сделать, вряд ли будет промышлять рядовым вымогательством с риском для свободы. И уж точно он в курсе ходовых контейнеров бекапов, и как раз их поломать намного проще - достаточно первый мегабайт зашифровать.

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3777
  • Репутация:27

    [+] [-]
  • Откуда: BG
sam_sobi, Понял. ay
Если protectit по умолчанию включена, то проблем вовсе нету. Но я ето тбменю от Диалмака подключу на всякий случай в TTC, чтоб был под руку.
Но раз так, получается самый простой и надеждный способ ето сделать ext4 партишан и там при помощи IFW бекапить нужный раздел раз в неделю например. Получается двойная защита aa
TBMenuClassic343.exe

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3815
  • Репутация:127

    [+] [-]
Gemostarter, драйвер элементарно выключается через net stop. Я бы рекомендовал после установки переименовывать драйвер в нечто невразумительное. Вот тогда даже целенаправленная атака будет затруднительна (не перебирать же все драйверы/службы системы). Имхо, разумеется.

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
после установки переименовывать драйвер
Там вся установка в inf и батнике - можно в них заранее переименовать.
Только как к этому потом IFW отнесется?

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3815
  • Репутация:127

    [+] [-]
korsak7, поднимать/опускать такой драйвер только руками, разумеется. Зачем нужен IFW? Ты, вроде, был ярым адептом wimlib-а...

[Цитировать]

    korsak7
  • 107
  • Стаж: 9 лет
  • Сообщений: 1063
  • Репутация:62

    [+] [-]
Потому и спросил, потому что я руками и wimlib ah Кто их там этих терабайтов знает...

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3815
  • Репутация:127

    [+] [-]
korsak7, шаловливо пробежался ручонками по драйверу

Красным - менять
Зелёное - "палевные" следы, по которым драйвер ещё можно найти

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 11 месяцев
  • Сообщений: 3777
  • Репутация:27

    [+] [-]
  • Откуда: BG
Ander_73, может я слегка глупость напишу ab , но если в регистри начнем менять что то по драйверу, ето не будет ли слишком опасно? А и нужно ли? КМК мало вероятно, что рансомуер начнет такие непривычные вещи делать.

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 9 месяцев
  • Сообщений: 3815
  • Репутация:127

    [+] [-]
korsak7, вот, для прикола, примерчик: драйвер Z4sh1t4 ad
Скачать

Страница 3 из 4


Показать сообщения:    

Текущее время: 23-Ноя 10:56

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы