| Author |
Message |
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
 Posted:
Thu Mar 19, 2009 9:01 pm |
  |
Данный материал еще не закончен и будет пополняться постепенно.
Что обязательно нужно знать перед установкой программы
Помните о том, что это первая БЕТА версия программы и она не является окончательной.
Мы не рекомендуем устанавливать её пользователям, которые имеют слабое представления о системных процессах, реестре, файлах, сетевых соединениях. Так как программа контролирует все события, происходящие в системе (не зависимо от того, "плохой" или "хороший" процесс осуществляет это действие), и пользователь будет вынужден принимать решения "Заблокировать" или "Разрешить" - самостоятельно.
Не продвинутым пользователям рекомендуется подождать окончательного релиза, в котором интерфейс будет более простым и дружелюбным.
Общие рекомендации по использованию программы
- Будьте готовы к тому, что во время своей первой загрузки программа будет задавать вам очень много вопросов.
- Старайтесь создавать правила (а не выбирать варианты Allow Once/Deny Once), чтобы уменьшить количество этих вопросов в будущем.
Достаточно в возникшем окне нажать на кнопку Create Rule и сохранить открывшееся правило (кнопкой OK) - все необходимые данные в него уже будут помещены.
О том, как создавать и редактировать правила вручную, а также более частные пояснения по каждому из типов правил можно почерпнуть ниже.
- Если вы не уверены по поводу события, вы можете разрешить его временно (кнопкой Allow Once). А далее, загрузив систему, уточнить на форуме, чтобы в последствии создать нужное правило.
- Помните, что если вы однажды потратите время на создание правил для своей системы, то в будущем вы получите надежную и полноценную защиту вашего компьютера (которая будет "беспокоить" вас только в действительно опасных ситуациях).
- Старайтесь не отключать, не передвигать и не изменять правила с префиксом Preset, которые есть в программе по умолчанию. Большая часть таких правил необходима для нормальной работы системы и в случае бездумного отключения (без понимания того, для чего они нужны), никто не может гарантировать вам то, что система будет работать стабильно.
- Будьте осторожны, создавая запрещающие правила (это в первую очередь касается системных процессов), так как если вы запретите критичные для Windows события - последствия могут быть не предсказуемы.
|
|
|
   |
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Wed Mar 25, 2009 8:14 pm |
|
Основные действия, которые можно выбрать в запросах программы
Allow Once - разрешить действие однократно
Deny Once - запретить действие однократно
Disable network access for the process until it is restarted - заблокировать данному процессу доступ в сеть до тех пор, пока он не будет перезапущен. Данная опция позволяет лишний раз обезопасить себя от утечки каких-либо данных, если вы до конца не доверяете программе, которая проявляет какую-либо активность в системе.
Create Rule - создать правило для этого действия
Примечение. По умолчанию в создаваемом по запросу правиле указано решение Allow (разрешать). Измените его, если вы хотите создать запрещающее правило. Просто кликните по соответствующему переключателю мышью:
 |
|
|
|
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Wed Mar 25, 2009 9:42 pm |
|
Правила (общая информация)
Дерево процессов (Process Group Tree)
В дереве процессов находятся:
- отдельные процессы
- группы процессов
- группа Default Rules for Processes (правила для всех процессов системы)
Процессы
Любой процесс, для которого создается правило по запросу программы, автоматически добавляется в дерево, как отдельный процесс (т.е. вне любой из созданных групп), если он там еще не присутствует.
Также вы можете добавить любой желаемый процесс вручную (с помощью кнопки Add или через контекстное меню: Add Process).
Группы
Группа объединяет в себя несколько процессов и дает возможность создать для них общие правила. При этом для каждого процесса внутри группы могут быть созданы его собственные правила, которые не будут влиять на работу других процессов группы.
Группы полезны в случае, если на компьютере установлено несколько приложений, которые выполняют однотипные действия (например, браузеры: Internet Explorer, FireFox, Opera). И создать правила для всех подобных процессов одновременно гораздо удобнее и быстрее, чем создавать набор правил для каждого из них по отдельности.
Группу можно создать через пункт контекстного меню: Add Group в дереве процессов. Добавить процессы в группу можно путем перетаскивания, либо с помощью кнопки Add/контекстное меню Add Process.
Также обратите внимание на группы Trusted Applications и Blocked Applications. В них можно заносить безусловно доверенные (недоверенные) процессы, которым разрешены (запрещены) любые действия.
Примечание. Стоит отметить следующую особенность. В случае если приложение находится в группе Trusted – для него разрешены и сетевые соединения (при желании это правило группы можно легко отключить: Firewall > Firewall Rules > группа Trusted Applications > убрать галочку рядом с Allow network connections > и Apply).
Группа Default Rules for Processes
Правила, созданные для этой группы будут влиять абсолютно на все процессы системы. Однако лишь в том случае, если контролируемое действие не подпадает ни под одно из правил отдельных процессов или других групп (подробнее см. Приоритет обработки правил).
Эта группа не может быть удалена.
Примечание. Дерево процессов проактивной защиты и сетевого экрана едино (т.е. если вы добавите процесс/группу в закладку Protection, он автоматически появится и в закладке Firewall).
Создание и редактирование правил (общая информация)
Правила проактивной защиты находятся: Protection > Application Rules
Правила сетевого экрана: Firewall > Firewall Rules
Чтобы создать правило вручную (т.е. не автоматически при запросе программы), мышкой выберите нужный процесс или группу, для которого или которой вы хотите создавать правило. После чего нажмите кнопку Add New Rule. Откроется диалог создания правила.
Далее выберете нужный тип правила:
И задайте требуемые параметры (помощь по каждому типу правил см. ниже).
Примечание. В качестве примеров при создании правил можно также использовать предустановленные правила, расположенные, в частности, в группах Programs и Default Rules for Processes.
Кнопка Duplicate дублирует выделенное вами правило. Эта функция может быть полезной в случае, когда вам нужно создать два похожих правила, и вы не хотите вносить несколько раз одни и те же данные (просто создайте дубликат пурвого, как основу, и внесите в него необходимые изменения).
Кнопка OK в редактируемом правиле не будет гореть, если вы в нем ничего не меняли (эта функция может быть очень полезной в случае, когда вы, открыв правило, случайно внесли туда изменения).
Любое правило при желании может быть временно отключено.
Для отключения снимите галочку с нужного вам правила и нажмите на Apply.
Приоритет обработки правил
Правила обрабатываются в определенном порядке.
- Если правила относятся к одному и тому же процессу, то работает правило, расположенное выше в списке.
т.е., если вы создадите для одного и того же процесса два правила, в одном из которых действие будет разрешено, а в другом точно такое же действие будет запрещено - сработает правило, находящееся выше.
- Используйте кнопки Move Up и Move Down, чтобы изменить положение и, соответственно, приоритет исполнения правила.
- Также существует определенный порядок обработки правил отдельных процессов, процессов в группах и правил групп. Этот порядок следующий:
- правила для отдельных процессов
- правила для процессов внутри группы
- правила для группы процессов
- правила группы Default Rules for Processes
Т.е. приоритет отдаётся правилам, созданным для отдельных процессов.
Примечания
Любые изменения, сделанные в программе вручную (добавление, удаление, отключение, изменение, перемещение чего-либо) нужно сохранять с помощью кнопки Apply (пока вы её не нажмете - изменения в силу не вступят):
|
|
|
|
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Fri Mar 27, 2009 9:57 pm |
|
Политики
В случае, если вы хотите отключить защиту на время, вы можете просто изменить действующую политику.
Это может пригодиться, например, при установке новой программы, которой вы полностью доверяете, и выдача большого количества запросов в этот момент нежелательна. Или наоборот, при подозрении на заражение компьютера и необходимость блокировать сетевую активность для максимального количества процессов.
Переключить политику можно через контекстное меню иконки OSSS  в трее (как показано выше на скриншоте).
Или через настройки программы:
настройки проактивной защиты: Protection > Protection Settings
настройки сетевого экрана: Firewall > Firewall Settings
Политики проактивной защиты
На данный момент существует две политики проактивной защиты:
- Learning Mode - режим обучения или работа по правилам (включено по умолчанию)
- Allow All - любые действия в системе разрешаются
Помимо изменения политики, в закладке Protection Settings вы можете также отключить отдельные виды контроля.
Для отключения снимите галочку возле соответствующей опции и нажмите на Apply.
- Process Execution Protection – отключает контроль запуска процессов
- Process Termination Protection – отключает контроль уничтожения процессов
- Registry Protection – отключает контроль реестра
- Registry Hives Protection – отключает контроль сохранения и восстановления кустов реестра
- Files and Folders Protection – отключает контроль над файловыми объектами и ADS
- Executable Files Protection – отключает контроль над созданием и модификацией исполняемых файлов
- System Drivers Protection – отключает контроль над операциями с драйверами
- System Services Protection – отключает контроль над операциями со службами
- Keyboard and Mouse Protection – отключает контроль над перехватом мыши и клавиатуры
- DLL Inject Protection – отключает контроль над внедрением динамических библиотек в другие процессы
- Process Threads Protection – отключает контроль над потоками в других процессах
- Process Memory Protection – отключает контроль над работой с памятью в адресном пространстве других процессов
- Physical Disks Protection – отключает контроль прямого доступа и низкоуровневых операций с физическими дисками
- Physical Memory Protection – отключает контроль доступа к физической памяти
- Windows Scheduled Tasks Protection – отключает контроль над созданием заданий для Windows Task Scheduler
- Windows HOSTS File Protection – отключает контроль над изменениями файла HOSTS
Примечание: правила, относящиеся к отключенному виду контроля, будут отображаться курсивным шрифтом серого цвета (чтобы вы могли видеть то, что правило на текущий момент неактивно):
Политики сетевого экрана
Существуют следующие политики сетевого экрана:
- Learning Mode - режим обучения (работа по правилам)
- Allow before service starts - разрешать события, возникающие до того, как была запущена служба OSSS
- Deny before service starts - запрещать события, возникающие до того, как была запущена служба OSSS
- Allow All - разрешается любая сетевая активность
- Block All - любая сетевая активность полностью блокируется
- Allow Most - разрешается сетевая активность, которая не запрещена существующими правилами
- Block Most - запрещается сетевая активность, которая не разрешена существующими правилами
Примечание. Если для сетевого экрана была выбрана одна из политик Block, все текущие соединения замораживаются, а не обрываются совсем (т.е. при желании вы можете их восстановить).
Также опции в закладке Firewall Settings позволяют отключить контроль следующих действий:
- Protocol Registration Control – отключает контроль регистрации протоколов
- Protocol Binding Control – отключает контроль привязки протоколов к адаптерам
|
|
|
|
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Mon Mar 30, 2009 2:54 pm |
|
Логгирование событий
OSSS позволяет логгировать все события, происходящие на вашей системе.
Просмотреть их можно в первой вкладке программы, Events:
По умолчанию логгируются события, по которым было принято решение Allow Once или Deny Once.
А также события, обработанные по правилам, для которых была включена опция Log this action:
Поиск событий
Чтобы логгирование легко помогало вам отслеживать различную активность процессов, была создана гибкая система сортировки и поиска.
- Переключатели Start Date и Finish Date дают возможность задать период возникновения интересующих вас событий.
- Если требуется вывести события определенного типа (например, только сетевые соединения), воспользуйтесь настройкой Event Types, благодаря которой можно отключить вывод ненужных типов событий (для отключения снимите галочки с соответствующего и нажмите OK):
- Чтобы найти все действия, которые выполнял какой-либо конкретный процесс, используйте поле Process (просто введите в него имя интересующего вас процесса и нажмите на кнопку Search):
- Поле Object позволяет найти все события, связанные с каким-либо конкретным объектом. Под объектом в данном случае может подразумевается любой конкретный файл, ключ реестра, IP адрес, драйвер, служба, динамическая библиотека, процесс, протокол, физический диск, физическая память, задание планировщика задач, файл HOSTS.
- Опция Show user decisions дает возможность отображать (или не отображать) события, залоггированные по решению пользователя (т.е. решения Allow Once и Deny Once).
Примечание. Для более гибкого поиска в полях Process и Object поддерживаются маски. Так, символ звездочки (*) - заменяет любое количество символов:
Примечание. Для своего удобства вы можете перемещать панель поиска в любое желаемое место (это особенно может пригодится при просмотре записей с большим количеством данных - для "экономии" места):
Кнопки тулбара:
Refresh - обновляет данные по событиям.
Save - сохраняет все выведенные события лога в текстовый лог.
Примечание. Сохранить отдельные строки можно также при помощи пункта контекстного меню: Copy.
Clear - удаляет залоггированные события (обратите внимание, что при нажатии на эту кнопку удаляются ВСЕ залоггированные события, а не только те, которые отображаются на тот момент).
Общий вид лога содержит:
- Time – время обработки события
- Process – процесс, вызвавший активность
- Action – тип события (действие, которое выполнял данный процесс)
- Object – объект действия (файл, ключ реестра, IP адрес, физический диск и т.д.)
- Status – информация о том, было ли действие разрешено или запрещено.
- Reason – источник решения, согласно которому было обработано действие (User - при выборе Allow Once/Deny Once; Application Rule - правила проактивной защиты; Firewall Rule - правила сетевого экрана, Integrity Control - система контроля целостности)
Расширенное логгирование
Каждый тип события может быть просмотрен в более детализированном виде.
Дважды кликните мышью по интересующему вас событию - и по нему откроется более подробная информация.
пример расширенного логгирования запуска драйвера
Также, для просмотра более детальной информацией по каждому из отдельных типов событий, можно воспользоваться опцией фильтра:
Ряд пояснений по детальному логгированию для отдельных типов событий
Network Connections Control (сетевые соединения)
Remote Address – адрес удаленного компьютера
Remote Port – удаленный порт, через который устанавливается соединение
Local Address – адрес локального компьютера
Local Port – локальный порт, через который устанавливается соединение
Protocol – протокол (в текущей реализации логгируются только соединения, установленные по протоколу TCP)
Sent – количество исходящего трафика
Received – количество входящего трафика
Total Traffic – суммарное количество входящего и исходящего трафика
Duration – длительность соединения
Direction – направление соединения (входящее или исходящее)
Adapter Group – группа адаптеров, через которую было установлено соединение
Sequence – внутренний идентификатор сессии (при сортировке по этому столбцу записи о начале и завершении одной и той же сессии отобразятся рядом)
Registry Protection (контроль реестра)
Object – контролируемый ключ реестра
Value – параметр ключа, который создается, изменяется или удаляется
Old Data – старое значение параметра
New Data – новое значение параметра
Description – описание сработавшего правила (в случае, если такое описание есть)
Files and Folders Protection (контроль файлов и ADS)
Object – контролируемый файл
Rename To – новое имя файла в случае его переименования
ADS – имя ADS (Alternate Data Stream) в случае, если операция производится с ним
System Drivers Protection (контроль над операциями с драйверами)
Registry Key – ключ реестра, соответствующий этому драйверу
Driver Type – тип драйвера
System Services Protection (контроль над операциями со службами)
Registry Key – ключ реестра, соответствующий этой службе
Service Type – тип службы
Keyboard and Mouse Protection (контроль за перехватами мыши и клавиатуры)
Module – путь к внедряемому модулю
DLL Inject Protection (контроль за внедрением динамических библиотек)
Module – путь к внедряемому модулю
Integrity Control (контроль целостности)
Shared – показывает, является ли модуль общим (значения Yes или No)
Memory Hash – хэш модуля в памяти
Base – адрес, по которому модуль загружен в память
Size – размер виртуально памяти, выделяемой под модуль
Process Memory Protection (контроль над работой с памятью в адресном пространстве других процессов)
Memory Type – атрибуты доступа к памяти
Base Address – базовый адрес, с которого начинается чтение (read), запись (write) или изменение атрибутов (change protection) памяти
Size – размер участка памяти, над которым производится операция
Physical Disks Protection (контроль прямого доступа и низкоуровневых операций с физическими дисками)
Requested Access – запрашиваемый тип доступа к диску
Physical Memory Access (контроль доступа к физической памяти)
Requested Access – запрашиваемый тип доступа к физической памяти
Protocol Binding Control (контроль привязки протоколов к адаптерам)
Adapter Friendly Name – имя адаптера, которое показывается пользователю в системе (например, в свойствах сетевого соединения)
Adapter Name – внутреннее имя адаптера, используемое системой |
|
|
|
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Mon Mar 30, 2009 8:10 pm |
|
Registry Protection - Контроль реестра
С помощью OSSS вы можете контролировать доступ приложений к реестру.
Благодаря чему ни одна программа не сможет прописаться в автозапуск без вашего на то желания; не сможет испортить или изменить критичные настройки системы; или, к примеру, поменять домашнюю страницу Internet Explorer'а.
Соответствующие правила дают возможность следить за созданием и удалением ключей; созданием, изменением и удалением параметров; изменением данных в параметрах.
Поскольку многие приложения работают с реестром очень активно, доступ к его бо'льшей части по умолчанию разрешен. Предустановленными правилами контролируются только наиболее уязвимые его области и настройки системы, влияющие на безопасность компьютера (например, автозагрузка программ и их модулей, изменение настроек браузера и проводника, создание ограничений для текущего пользователя, создание COM-объектов и пр.). Т.е. контролируется только то, что наиболее часто используется вирусами в реальной жизни.
Тем не менее, при желании, вы можете создать правило для любого ключа или параметра, которое будет контролировать любые попытки внести туда изменения.
Чтобы создать правило:
- Откройте: Protection > Application Rules
- Выберите процесс или группу, для которых будет действовать это правило (для всех процессов выбираем: Default Rules for Processes).
- Нажмите кнопку Add New Rule.
- В открывшемся окне создания правила выберите тип правила: Registry Protection:
- В окне создания правила нажмите на кнопку Add, чтобы появилась форма добавления ключа:
- В поле Registry Key введите желаемый ключ.
- Если требуется контролировать все подключи для этого ключа, поставьте галочку рядом с опцией Include Subkeys.
- Если требуется контролировать только параметры, выбранного ключа, отметьте опцию Monitor the registry key values only. И затем выберите один из следующих вариантов:
Any value of the key - контролировать любые параметры ключа
Value - контролировать введеный вами параметр (введите нужное в соответствующее поле)
{Default} value - контролировать только (Default) параметр выбранного ключа (в русской Windows он называется: "По умолчанию")
- Выберете желаемые решения для каждого из типов действий (Create - создание ключа или параметра, Modify - изменение параметра, Delete - удаление ключа или параметра):
Ask - спрашивать
Allow - разрешать
Deny - запрещать
Ignore - не задавать решения для этого типа активности (т.е. как будто бы вы ничего здесь не выбрали)
- В поле Description можно ввести пояснение для себя.
- Сохраняем созданное правило (OK и Apply).
Примечание. Для более гибкой работы в реестровых правилах поддерживаются маски. Так, звездочкой (*) может быть заменено любое количество символов. А знаком вопроса (?) заменяется один символ.
Примеры
Чтобы, например, запретить приложению доступ ко всему реестру, нужно создать два подправила. Отдельно для контроля ключей и отдельно для контроля параметров (такое разделение сделано из-за того, что во многих случаях контролировать нужно только конкретные параметры, а обращения к самим ключам не так важны).
Для запрета: везде, где возможно, выбираем Deny.
В одно правило можно добавить несколько ключей и/или параметров (подправил).
Приоритет обработки таких подправил будет таким же, как общий: более приоритетным является то, что находится выше. Таким образом, вы можете создать для процесса запрещающее или, наоборот, разрешающее правило на весь реестр, сделав исключения для определенных ключей, подняв эти ключи-исключения выше.
Например, следующее правило выдаёт запрос на любую модификацию параметров ключа HKCU\Software\Microsoft\Internet Explorer\Main. Но разрешает модифицировать без запроса (Allow) параметр AutoSearch:
 Для изменения порядка подправил используйте кнопки Вверх/Вниз:
|
|
|
|
|
Julia
Malware Analyst
Joined: 08 Nov 2007
Posts: 121
|
| Posted:
Mon Mar 30, 2009 11:18 pm |
|
Files and Folders Protection - Контроль файлов на диске
Благодаря файловому контролю ни один файловый вирус (такой как Sality, Virut, Hidrag, Parite и др.) не сможет заразить исполняемые файлы вашей системы; ни один троян, автоматически запущенный, к примеру, с флешки или через уязвимость в браузере, не сможет создать исполняемый файл на вашем диске и в последствии причинить какой-либо вред.
В OSSS реализовано два типа контроля над файлами:
Executable Files Protection – контроль над созданием и модификацией исполняемых файлов (.exe, .dll, .sys и любых других бинарных исполняемых файлов).
Files and Folders Protection – более расширенный контроль над любыми типами файлов, а также контроль над операциями с ADS (Alternate Data Streams).
По умолчанию контролируется: создание и модификация исполняемых файлов; операции с ADS; плюс для наиболее уязвимых файлов системы созданы предустановленные правила (например, правило для AUTORUN.INF).
Также, при желании, вы можете создать своё правило для любого необходимого каталога или отдельного файла, и настроить его по собственному усмотрению.
в процессе написания... |
|
|
|
|
|
|
|
View next topic
View previous topic
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
Powered by phpBB
© 2001, 2002 phpBB Group :: FI Theme ::
All times are GMT + 3 Hours
|
