Ne bas, moze i drugde da se upise, ali to nije poenta,. Mislim da ti spybot ima opciju da bude rezidentan i zabranjuje upise u registry. Takodje postoji i regprot koji ragi slicno. U svakom slucaju lepo je kad iskoci da nesto pokusava da ti se upise u registry i pita da li zelis da dopustis....

E pa to je relativno lako za napraviti...

Gde?



A od cega poceti? Radim u C#?

Gde??? Pa jos iz vremena win9x bilo je nesto autoexec.bat i slicno (nisam davno proveravao kako je to na novijim OS) , pa onda tu ti je win.ini,pa da ne kazem nesto pogrdno - u StartUp folder....
Pa onda tu su i servisi (koji se verovatno pokrecu iz registry-ja, ali nisam to proucavao)....
Sta si ti mislio, da moze samo iz regitry-ja da se pokrene program pri startovanju? ;)

Postoje ti nacini ali su na nekako "zastareli"...koliko sam ja imao iskustva svi virusi i spyware-ovi su svoje najjace uporiste imali bas u registry-ju ...

Voleo bi da napravim nesto tako ..dobra vezba...

Sta to ima u SpyBotu ja ne mogu da nadjem?

U pitanju je Tea Timer (moze se podesiti u advance modu), samo koliko sam ja primetio, prijavljuje-trazi odobrenje za promene u regisry bazi kada ti nesto instaliras, a ne kada ti se ubaci neki virus,trojan(bar je tako kod mene slucaj).

Kao prva pomoć može i regedt32.exe, koji je deo Windowsa.

Desni klik pa Permissions..

A šta misliš tačno da postigne sa Regeditom? To je običan, prost editor, ništa više.

@fedja

Pogledaj MJ Registry Watcher, samo ga podesi kako ti odgovara. Mali je, ali moćan.

http://www.wilderssecurity.com...p?t=32823&page=1&pp=25

- System Safety Monitor(odličan ruski program, ali mu ne moraš uključiti (pseudo)sandbox za aplikacije, nadgleda 'osetljiva' registry mesta, servise, BHO...), WinPatrol, Trojancheck ...

Pa nije tačno. Pod npr. Win 2000 postoji VELIKA razlika između regedit.exe i regedt32.exe. Drugo čak i nije editor registry-ja u tom slučaju.

Može da postavi dozvole na grane i to je, kako rekoh, prva pomoć. Slično kao NTFS dozvole za foldere.

Znam, ali ovde je reč o XP-u, tu nema razlike. Kako misliš da sa dozvolama postigne ono što hoće, a to je sprečavanje promena u Registryju od strane malicioznih aplikacija?

Pa jednostavno, neka postavi dozvole na čitave grane u registry-ju - zabrana pisanja za korisnika. Isto kao što NTFS dozvole sprečavaju običnog korisnika da menja npr. %systemroot% ili %ProgramFiles% foldere.

I opet, ponavljam, to je prva pomoć.

I da, reč je o XP-u, a tu je regedit/regedt32 više od običnog editora, baš zbog ove mogućnosti.

Uff, nadao sam se da ne misliš na to. :) Kako će onda normalno da koristi programe, instalira nove... Baš neelegantno rešenje, zar ne misliš?

Samo malo više... : )

Prvo, problem nije u registru, nego negde drugde (verovatno IE). Ok, može da pomogne ograničavanje prava nad granama (tzv budženje sigurnosti), ali tad je problam sa 3rd party softverom, često može biti problema. A monitori registra su tek gubljenje vremena, čak i filtriranih zapisa i izmena bude previše da bi se neko time zamarao na desktop mašini (time vs $).

Ufff.. i mene mrzi da dalje objašnjavam kako će. Ukratko: ne moraš da zabraniš pisanje po celom registriju, već samo na nekim mestima.. gde se ovi spyware obično i uglavljuju, a normalni programi ne.

Malo više ipak nije kao i bez toga.

Na koji problem misliš? (ne vidim da ga je fedja naveo)

Mislim da nisi u pravu. Prvo, zavisi šta i koliko nadgleda(š). Drugo, takvi programi (bolje rečeno - programčići) služe upravo da tu radnju automatizuju; niko naravno neće provoditi sate uz nekakve glomazne logove i analize. Na kraju, pošto je ovde reč o sigurnosti, upis malwarea u Registry je samo jedna karika, ako se uopšte i desi; ali je u nekim situacijama nezaobilazan.

Nemoj da te mrzi. :) Ovde smo da bi nešto naučili, zar ne? Šta ćemo sa 'normalnim' mestima, koje koriste i benigni programi, ali i oni 'nasty'?

Koja normalna mesta? Npr.?

I opet, ponavljam, to je prva pomoć :)

Ne treba da navodi. Velika većina treša ulazi preko IE ili eventualno maila. Ostali spyware koji se instalira uz programe ... recimo da je više stvar ljudskog faktora.

.

Upravo tako, ali poslednja karika — znači da su već probijene sve zaštite. Ručno pojačavanje sigurnosti na taj način je potpuno pogrešan pristup (ok, nekad ima smisla, ali u specifičnim scenarijima). To je kao da umesto blindiranih vrata na gajbi staviš katančić na svaki tehnički uređaj :o)

I mene zanima koja su to uobičajena/neuobičajena mesta, jer si napisao

Dakle, šta ćemo sa mestima koja koriste i jedni i drugi programi.

Ok, razumemo se. :) Samo sam hteo da pokažem kako je to što predlažeš toliko nepraktično, u glavi možda i radi, ali u praksi bi napravilo više muke, nego koristi. Naravno, govorim o sistemu koji se normalno koristi, ne samo za eksperimentisanje.


Slažem se. Jedino što se ne instalira svaki spyware uz znanje korisnika, a trojan i pogotovu.

Pa evo..

Za početak, imaš nalog admina koji koristiš da instaliraš programe za koje znaš pouzdano da nisu maliciozni (Office, AutoCAD, bla, bla).

Kad nisi siguran, koristiš drugi nalog, ali sa ograničenim pisanjem po registriju. U većini slučajeva dovoljno je da zabraniš prisanje po mestima kao HKLM/..../Microsoft/Internet Explorer (posebno granu Main u istom), HKLM/.../Windows/CurrentVersion/Run i RunOnce, kao i ponovo Internet Explorer. Startup folder lako proveriš posle instaliranja i izbaciš ako je nešto ubacio. Možeš da dodatno zabraniš još neka mesta, npr. Windows Script Host, OE i slično.

I rešio si dosta problema.

Kako Mihailo reče, ovo može biti mukotrpno (posebno za početnika), ali zato i jesam napisao da je to - prva pomoć.

Pa kako se instaliraju?

E da, samo da dodam, ovaj "ograničeni admin" nalog dodatno koristiš ovako: pre instaliranja sumnjivog programa, napraviš u Program Files folder gde ćeš da instaliraš program i onda tom "ograničenom adminu" dozvoliš da piše u taj folder. Eventualno možeš i da mu daš dozvolu pisanja za Common Files u Program Files, mada..

Kad instaliraš, koristiš, dakle, taj "ograničeni admin" nalog i programu naložiš da se instalira u taj folder u Program Files gde ima dozvolu pisanja.

Efektivno, ne može da brlja po kritičnim mestima u registriju, ne može da menja ostale Program Files foldere, kao ni Windows folder.

Malo discipline na Windowsu i jednostavno nemaš problema sa spyware.

Ako se dodatno ograničiš da ne stavljaš na komp sve živo, pogotovo sa P2P mreža, nema problema. Ili bar pročitaj komentare drugih korisnika pre instaliranja programa (koji skineš sa npr. Download.com). Obično ljudi, u prva 2-3 komentara, napišu da li program ima ad/spyware ili ne.

To sa različitim nalozima je stvar potpuno različita od ove o kojoj smo pričali. Znaš i sam.


Imaš forum Virii, top teme.

Ja sam tebi lepo objasnio kako će taj "obični" editor lepo omogućiti da se zaštitiš od malicioznog softvera, a da opet možeš bez problema da instaliraš programe.

Šta je drugi nalog nego samo promena dozvola na registri granama (i NTFS, ali to je ovde manje bitno)? Sa promenom naloga to ide brže, odnosno u drugom slučaju omogućuje da kritična mesta ostanu zaštićena. I to opet ne bi moglo bez tog "malo više" od običnog editora.

Sama promena naloga ( log on as->običan korisnik ) nije dovoljna jer ne dozvoljava da ostala (potencijalno bitna za rad programa, ali ne i da ti naprave haos na sistemu) mesta u registriju budu dostupna za pisanje. Bitno je da ovako štitiš kritična mesta, a ostatak registrija lepo može program da menja kako mu treba. Bez ovih podešavanja dozvola pomoću regedit/regedt32 to ne možeš da fino podesiš, koliko je meni poznato (odnosno, može, preko NTFS-a, ali nije tako očigledno).


E sad, bilo bi lepo da i ti meni objasniš kako se to ti programi instaliraju bez znanja korisnika.

Mogao sam i ja tebe da uputim na Google ili u neku biblioteku, zar ne?

Šališ se? Mi sve vreme u temi pričamo o upisivanja spywarea/trojana u Registry, da bi ti na kraju pitao kako se on instalira..?!

'Registy Firewall, da li postoji i koji valja' - da li ti je ovo poznato?
Ti si predložio pravljenje novog naloga, modifikaciju putanja, izmene u registryju sa sve dozvolama za poveći broj grana - sve to samo zbog zaštite registryja (i to samo od 'nevaljalih' aplikacija)? No comment.
Ako malware ne može da se instalira bez znanja korisnika, zbog čega bi sve te sigurnosne postupke uopšte trebalo preduzeti (po tebi)? Neće valjda korisnik (npr. fedja, custominstall, degojs) sam svesno da sebi čini štetu? Misliš da će znati da li je instaliran novi servis ili uneto nešto u HKEY_CLASSES_ROOT\exefile\shell\open\command\? Samo je pitanje kako??

I na kraju da ti odgovorim na tvoje nevino pitanje; nemaju svi ljudi iste navike i jednaku svest o zaštiti. Mnogi koriste P2P, jermenske sajtove; ne znaju da se uz free program instalira i neki 'search helper', and last, but not least - nemaju svi sve portove zatvorene. Svaki naročito (spolja)otvoren TCP port nosi određeni rizik (za sada).

Pa u čemu je problem?

"Poveći broj grana" se svodi na jedno 5-6 grana u registriju. Posao od 5 minuta. Ako znaš šta, naravno i ako si čuo da je regedit/regedt32 više od običnog reg. editora. Ako nisi, onda ti ostaje da teraš inat do novaka.

Ne moraš ni da menjaš naloge. Radi stalno pod tim "ograničenim admin", a kada treba da instaliraš pouzdan program pokreni ga sa Run As. Big deal.

Šta je to nego upravo firewall za registry, isto kao što je i NTFS firewall za foldere i fajlove, itd, itd?

I po 100-ti put, ja sam lepo napisao da je to prva pomoć. Ti sada dokazuješ da to nije "super rešenje", a ja to nikad nisam ni tvrdio. Za super rešenje trebaće ono što je Mihailo napisao u vezi ljudskog faktora..

Najbolje da se ovde zaustavimo, a ti ne moraš ni da objašnjavaš ovo kako se programi instaliraju bez znanja korisnika.

Živ mi bio :)

Ajde, navedi tih 5-6 grana i sve će biti jasno.


Ja sam ti, kao što vidiš, odgovorio, ali izgleda da je za Kralja Advocacyja potreban special treatment.


P.S. Lično ne verujem da si privatno tako zadrt čovek, samo ti je ovako zabavnije.

Pozdrav! :)

Spisak sam već dao, a ja recimo imam tu još i granu sa servisima (da ne bi mogli da se tamo dodaju). Čak i da hoćeš da dodaš još neku granu, to je posao od koliko, 'ebi ga? Toliko koliko ti treba da odeš na granu, desni klik i podesiš dozvole.

E da lociraš grane, trebaće ti 10 (max) minuta, a to ćeš sam da uradiš, ako hoćeš.

Nešto mi se čini da ćeš na kraju da mi kao i Mihailo onomad napišeš "samo te malo prc-prc", pa ***i ga, nisam toliko blesav da ti sad sve serviram.

Odoh ja na Advocacy :)

Mislim da i MS AntiSpyware ima neku primitivnu detekciju startup ključeva u registryu.

Korištenje regedita kao alatke jest vrlo moćno, ali i preteško za prosječnog korisnika. Nisu svi admini niti svi žele znati koje mračne tajne koji hive krije.

Osim toga, regedit za enumeriranje podključeva koristi ANSI verzije win32API-ja te neće moći detektirati UNICODE verzije startup ključeva, koje koriste neke sistemske komponente koje su važne pri bootu i čijom se modifikacijom vrlo lako može napraviti startup (recimo userinit.exe proces). Baš sam jednom dečku nedavno "otkrio" jednu takvu metodu :)

Mislim da registry "firewall", WSH/BAT bloker i sl. sve spadaju u kategoriju u koja bi trebala biti jedna od obaveznih metoda zaštite.

Što se konkretno registrya tiče, Regmon je vaš novi najbolji prijatelj..

>Osim toga, regedit za enumeriranje podključeva koristi ANSI verzije
>win32API-ja te neće moći detektirati UNICODE verzije startup ključeva, koje
>koriste neke sistemske komponente koje su važne pri bootu i čijom se
>modifikacijom vrlo lako može napraviti startup (recimo userinit.exe proces).
>Baš sam jednom dečku nedavno "otkrio" jednu takvu metodu :)

Jel mozes da me uputis na neki lnk, ili da plasnes neki asm code, gde je ovo
sto si otkrio decku podrobnije objasnjeno?

hmm sad mi pade na pamet... :)
Celu bazu registria stavimo na Read only :)
I kad zelimo neto da instaliramo lepo se skinete sa interneta stavite write permision. instalirate program podesite sta treba i opet Read Only na registry :) Jes da ce windows da se buni ko lud ali boze moj :)
Ideja mi ne zvuci losa.

Zvuci. Windows se nece buniti k'o lud jer nece raditi dovoljno da bi se bunio (nece raditi uopste). Zapravo, ne bi uspeo (standardnim metodama) ni da postavis read-only svojstvo na ceo Registry.