Вопрос № 114434: Здравствуйте!
Сегодня очередной раз приходится лечить комп от вирусов, но слава богу лишь системный диск и флэшку(до дистрибутивов ещё ни кто не смог пока добраться).
Как то после очередной вирусной атаки приходилось лечить 80 гигов exe файло...
Вопрос № 114.434
Здравствуйте!
Сегодня очередной раз приходится лечить комп от вирусов, но слава богу лишь системный диск и флэшку(до дистрибутивов ещё ни кто не смог пока добраться).
Как то после очередной вирусной атаки приходилось лечить 80 гигов exe файлов, и после этого я решил что самым лучшим будет защищать важные данные запретом на запись. Политиками NTFS я закрыл все свои дистрибутивы(которых сейчас около 200 гигабайт) на запись, и разрешил лишь только чтения, просмотр и выполнение. Все правила применены для группы "ВСЕ".
А сегодня очередной раз столкнулся с вирём которые портит exe файлы и что то жалко стало своии дистрибутивы.
Вопрос:
Могут ли вирусы обойти защиту файлов NTFS ом.
Все свои данные я защитил таким образом. Антиврь не хочется ставить уж больно ресурсы хавает.
Отправлен: 17.12.2007, 11:49
Вопрос задал: Dan Ger (статус: 3-ий класс)
Всего ответов: 4 Мини-форум вопроса >>> (сообщений: 19)
Отвечает: Алмин Александр Анатольевич
Здравствуйте, Dan Ger!
Да причем легко и не принужденно, вирусы запускаются от активного пользователя, который скорее всего имеет права администратора. И затем для того чтобы ему изменить файл, ему будет плевать какие файлу стоят разрешению, т.к. у него права администратора. Посему поменяйте антивирус и пользуйте для обычной работы пользователем не имеющем прав администратора (это хоть как-то осложнит жизнь вирусу)
Удачи
--------- Не бывает мистики! Надо копать!
Ответ отправил: Алмин Александр Анатольевич (статус: 9-ый класс)
Ответ отправлен: 17.12.2007, 11:57 Оценка за ответ: 3 Комментарий оценки: Неа... Я же говорю что стоит группа ВСЕМ тоесть и админам и так называемомму пользователю System(хотя в этом не совсем уверен). Тоесть админ не смотря на то что он админ имеет ЗАПРЕТ НА ЗАПИСЬ.Я под админом сижу-и это мне не позволяет править файлы-они для чтения у всех... Я так полагаю вирь может сбросить ACL (так как под админом) а потом уже пытаться писать что то...(вопрос,
многи ли вири так делают?) А вот и интересно было, могут ли вирусы с привелегиями недостаточными для записи что то натворить....
Отвечает: DimanG
Здравствуйте, Dan Ger!
Я лично сомневаюсь, что авторы вируса предусмотрели такой ход событий, возможно вы просто забыли запретить именно себе, и, следовательно, всем процессам, запускающимся с вашими привилегиями. Советую установить галку с запретом (это имеет более высокий приоритет перед разрешением), на ту же группу Все, тогда уж точно ни у кого не будет прав на изменение...
--------- Компьютеры позволяют решать множество проблем, которых до появления компьютеров не существовало.
Ответ отправил: DimanG (статус: 7-ой класс)
Ответ отправлен: 17.12.2007, 12:55 Оценка за ответ: 4 Комментарий оценки: Спасибо!У меня именно так и сделано, удалены полностью все пользователи, далее добавлен ВСЕ и установлен ЯВНЫЙ запрет на запись и разрешено лишь чтение, чтение выполнение, список содержимого папки, всё наследуется от корня диска.
Отвечает: kool
Здравствуйте, Dan Ger!
Если вирус написан соответсчтвующим образом,
то может обойти и эту защиту. Но это маловероятно
Если вирусы из НЕТА, то нужно ставит Файер.
А вообще поставьте DWEB.При правильной его настройке и
использовании вы скоро забудите, что он у вас установлен
Удачи!
--------- I am.
Ответ отправил: kool (статус: Практикант)
Ответ отправлен: 17.12.2007, 14:05 Оценка за ответ: 5 Комментарий оценки: Вот меня как раз этот вопрос и волновал, с такими пока не встречался...(и нехочу). А вы видели такие вирусы? Да наверно придётся ставить какой нить антивирь, больше склоняюсь к ноду, каспер если так буди проверить раз в месяц.
Отвечает: Crion
Здравствуйте, Dan Ger!
И где вы только вирусы ловите?
Скорее всего в интернете, защита средствами NTFS поможет если Вы выходите в интернет под учетной записью пользователя но не Администратора.
А антивирус ставить надо и кто сказал что он "ресурсы хавает", ведь кроме Касперского есть и другие, которые их не хавают-например Dr.Web(сам им пользуюсь 3 года и не собирась менять на другой).
Ну и совсем экзотический способ: Установить программу Shadow User (http://www.shadowstor.com ) и выходить в интернет(запускать компакт-диски,подключать флэшки и т.д. только в режиме Shadow Mode).
--------- Situation normal, all fucked up
Ответ отправил: Crion (статус: 10-ый класс)
Ответ отправлен: 17.12.2007, 16:57 Оценка за ответ: 5 Комментарий оценки: Вирусы то... В сетях ловим(сеть универа к примеру), на флэшках домой приносим....
В инете в основном скриптовые ловим(через браузер) Так админ это тоже пользователь-только с большими правами, а у меня И ЕМУ стоит запрет. Подумаю, так то др веб тоже когда то раньше нравился... пришлось отказаться от него, после того как он несмог лечить мои дистрибутивы
а каспер легко с этим справился. Прикольная программка спасибо, посмотрю(только вряд ли ей пользоваться буду) пока что политики не разу не подводили...при проверке тут заметил дырку в зашите, одна папка бла открыта, так в ней все экзешники заражены были а в закрытых местах всё цело... Просто интересно, реальная ли это защита NTFS ом или пока просто ври слабые попадаются..
