Архив форумов ЦИТФорума

[Sharkky]

Аналогия - firewall. Может работать в обучающемся режиме. Когда неизвестная до сих пор программа лезет в сеть, он может создавать для неё правило. Такой же контроль хочу для запускаемых процессов. Чтобы можно было составить список программ, которым на моём компе запускаться можно, а остальные пусть сосут... лапу.

[Гость]

ОТвет - политика безопасности (список разрешенных приложений)
только подумайте хорошенько а то и Эксплорер не запустите...

[Sharkky]

Спасибо за подсказку!
Но у меня всё равно вопросы есть.
1. Там можно создавать для программ только "path rule". То есть можно запретить, например, запускать c:\program files\far\far.exe. Но, при этом far спокойно может запуститься через ярлык. Это можно полечить?
2. Как с помощью этих правил можно запретить запускать нечто, что в списке процессов обзывается switch?
3. Мои попытки забить Microsoft Debug Manager(mdm.exe) при работающей студии, тоже закончились неудачей. Не надо спрашивать зачем мне это понадобилось. Просто сам факт такой возможности показывает, что правила эти не абсолютные.
4. К сожалению, я не знаю какие программы мне нужны, а какие нет. И в общем-то меня парит каждый раз залезать в process list и удивляться тому, как много оперативки уходит у меня в никуда. Поэтому мне хочется, чтобы по умолчанию все (все - в пределах разумного) программы были запрещены, и, чтобы меня каждый раз спрашивали нужна такая-то программа или нет. А если я говорю, что НЕТ, то прележно запоминали бы мой ответ.

[fv]

[Sharkky]

У меня стоит Kerio Personal Firewall, но я не смог там найти ничего такого. Может можно чуточку поподробнее?

[and3008]

Можно, можно. Есть такие проги.
Не вижу технических причин, чтобы такая функциональность была нереализуема. Прога должна работать аналогично антивирусу. Т.е. перехватывать обращения к носителям информации и проверять их на проф.пригодность.

[Sharkky]

and3008. А можно поинтиресоваться как называются подобные механизмы. Это не рациональный интерес, просто я задумался как это может быть реализованно, и ничего не придумал. Я просмотрел MSDN, на тему создания hook'ов, но не нашёл там никакой информации о том как можно отследить создание нового процесса.
Собственно вопрос есть: Как "перехватывать обращения к носителям информации"?

Я нашёл такого рода программу, называется WinTasks, она может работать в режиме AllowList, и задавать вопросы относительно тех программ которые в этом списке не находятся. Правда нормальный crack к ней у меня найти не удалось - прискорбно. Может кто может помочь решить эту проблему?

[Sharkky]

Организационные вопросы решены - кряк нашёлся. Но от использования этой программы особо хороших впечатлений не осталось. В неё конечно есть свои приятности, такие как встроенный скриптовый язык. Но на нём не напишешь ничего более существенного чем, "уменьшить приоритет процесса, если он занимает слишком много проца". А, что касается allow list'a (который для меня был так важен), то он оказался "тихим", не о чём тебя не спрашивают - вноси изменения ручками...

Это всё отступления... хочется услышать какие-нибудь мнения о том, как такая программа может быть организована.

[and3008]

Ну в теории так:
Перехватывается драйвер диска. Антивирусы это уже давно делают и ничего криминального в этом нет.

Затем прога переходит в режим "обучения". Т.е. прогоняются нужные программы. Всем разрешенным exe-шникам и dll-кам присваиваются контрольные суммы и кладется это все в базейку.
Так же указывается какому exe-шнику и dll-ке можно в какие каталоги лазать.

Собственно все.

Естественно геморой заключается в обучении этой проге. И лазейки все равно останутся. Но безопасность повысится в несколько раз.
Тут уж решайте сами, что для вас важнее: удобство или безопасность.