Конкурс О роли антивирусов в жизни современного человека.

НЕМНОГО "ОТСЕБЯТИНЫ".
​

На написание этой статьи меня толкнули несколько факторов: это и предложенный мною марафон пользователю oappot, и участие в конкурсе авторов, и мои утренние размышления. Но главным мотиватором послужила тема установка антивируса Debian. Как обычно, хотелось ответить в теме простым постом, но он получается настолько длинным, что информации хватает на целую статью.
В упомянутой выше теме автор задался вопросом установки антивируса на Linux, что не могло "пройти мимо меня". Дело в том, что на протяжении нескольких лет я не пользуюсь программами-антивирусами и считаю это нормой.
Думаю, что прежде чем начать обосновывать своё отношение к антивирусам, необходимо растолковать читателю бытовые условия, в которые поместила меня Госпожа Судьба. В настоящее время в моей жизни наступила "полоса" которая имеет один из оттенков серого. Мне приходится много времени проводить за компьютером: иногда кажется, что мы начинаем чувствовать друг друга аналогично тому, как автомобилист чувствует каждый неестественный звук в своём автомобиле. Любой неконтролируемый мною процесс на моей машине не может быть незамеченным и при подозрительной активности в дело вступают Procmon64, procexp64, Wireshark и TCPMonitor.

Мой железный друг имеет довольно приличный запас мощности: память никогда не загружается более чем на 20 %, процессор впору привлекать к административной ответственности за тунеядство. Роль компьютера в моей жизни трудно переоценить: он является мне и другом, и порталом для выхода в виртуальный мир, и источником знаний, развлечений, источником эмоций, и ещё много чем ещё... (секс не входит в этот список: любителей БДСМ прошу расслабиться).
Думаю,что я не одинока в своих взаимоотношениях с цифровыми машинами, нас много. Они (компьютеры), незаметно для нас самих, отвоёвывают у нас нашу реальную действительность, отнимают всё больше и больше нашего жизненного пространства. И чем больше оцифровывается наша жизнь, тем большее значение в ней принимают такие понятия, как "криптовалюта", "Android", "социальная сеть" и многие другие, произношение которых десять лет назад могло закончится приводом в психиатрическую лечебницу) В этом списке понятие "ВИРУС" занимает, на мой взгляд, самое почётное место.

Вы не заметили, как в преддверии наступающей зимы, на протяжении многих лет заголовки различных информагенств гласят: "Нас ожидает самая суровая зима за прошедшие сто лет" ?
Вы не заметили сколько раз лучшие умы планеты обещали очередной взрыв супервулкана "Йеллоустоун" ?
Вы не считали, сколько апокалипсисов мы уже пережили в течение жизни ?

"Самая суровая зима", "взрыв супервулкана", "Апокалипсис" - это "вирусы" реального мира.
В виртуальном мире их больше и они ещё более коварны, ещё более смертоносны. Не успели на истерзанном теле Всемирной паутины зажить раны от воздействия вируса "Нешта" , как её опять поразил ещё более мощный вирус "Петя". Наверняка, на борьбу с этими цифровыми недугами были брошены лучшие антивирусные "конторы". На их победоносную борьбу из бюджетов разных стран выделялись весьма внушительные суммы денег.

МИРОМ ПРАВЯТ ДЕНЬГИ.

В окружающей нас действительности жизнь обыкновенного человека с небольшой погрешностью можно представить в виде схемы: "Утро => Работа => Домашний диван => Телевизор => Сон => Опять утро". В этом тесном алгоритме каждому из нас хочется найти место для семьи, для развлечений, для хобби - без этого невозможно жить. На самом деле, хочется ещё много всего, но на исполнение этих желаний попросту нет времени: некогда задумываться над предстоящими зимами, вулканами, вирусами.
Мой друг, повар по профессии, любит повторять: "Пищу придумал Бог, но повара придумал Дьявол ". Мы проглатываем подаваемую нам информацию в таком виде, в каком нам её подают.
Компьютерный вирус в быстром круговороте нашей жизни - это инструмент воздействия на сознание масс, инструмент влияния на психологию каждого из нас с целью удержать наше сознание в матрице.

Борьба за финансовые потоки - вот истинный вирус современности, являющийся источником всех "страшилок", которыми зомбируют население планеты заинтересованные в этом лица. "Самая суровая зима", "Плоская земля", "Взрыв Yellowstone" - это лишь рычаги управления машиной, направляющей наше мышление в нужное русло. Это - работающие "рычаги" и компьютерный вирус является одним из них.

БЛИЖЕ К ТЕЛУ.
​

ВИРУСЫ и Windows.

На борьбу с компьютерными вирусами развёрнуты немалые финансовые потоки, а негативному влиянию на жизнь современного человека посвящены не меньшие информационные потоки.
Компьютерный вирус - это и RAT-ник, и RMS, и троян, и ... (в этом предложении междометие "И" можно повторять бесконечно долго).
Ситуация с принадлежностью той или иной программы к категории "компьютерный вирус" стала принимать юмористический оттенок. Программа-майнер - это тоже вирус, на всякий случай, чтобы население не расслаблялось.

Вопреки сложившимся в обществе стереотипам, словосочетание "компьютерный вирус" стало вызывать у меня чувство жалости либо сожаления. Бедняге вирусу просто не осталось места для существования. В своей борьбе за выживание он начал осваивать новые, до сих пор неизученные для себя операционные системы: Linux, Android.
На Windows для него попросту не осталось перспектив для существования: благородный список программ-антивирусов давно уже во много раз превышает список никому не известных, но при этом очень страшных вирусов, о УЖАС !
Между тем, операционная система Windows обладает вполне достаточными инструментами для предотвращения запуска любой вредоносной программы.
Для этого могут быть использованы две стратегии:

• Запретить запуск исполняемых файлов из каталогов пользователя
• Разрешить запуск исполняемых файлов только из определённых папок.

Первый вариант, на мой взгляд, более надёжен.
Для его реализации необходимо запустить групповую политику безопасности:

gpedit.msc

В открывшейся консоли редактора необходимо пройти по адресу:

Конфигурация компьютера => Конфигурация Windows => Параметры безопасности

Далее щёлкните по пунктам

Политики ограниченного использования программ => Дополнительные правила => Создать правило для пути

Теперь можно создать правило, запрещающее запуск исполняемых файлов с расширением *.ехе из каталога %AppData%.

Путь: %AppData%\*.exe
Уровень безопасности: Запрещено
Описание: Запрет запуска exe-файлов из папки AppData

Аналогично необходимо задать другие правила, приведенные на скриншоте:

Беглый анализ скриншота говорит о запрете запуска других исполняемых файлов на компьютере под управлением Windows: *.bat, *.vbs, *.js, *.wsh и так далее.

%AppData%\*.exe - Запрет запуска exe файлов из папки %AppData%
%LocalAppData%\*.exe - Запрет запуска файлов из %LocalAppData%
%AppData%\*\*.exe - Запрет запуска файлов из вложенных каталогов %AppData%:
%LocalAppData%\*\*.exe - Запрет запуска файлов из вложенных каталогов %LocalAppData%
UserProfile%\*\*.exe - Запрет запуска exe фалов из любых каталогов в профиле пользователя .
%LocalAppData%\Temp\Rar*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью WinRAR
%LocalAppData%\Temp\7z*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью 7zip
%LocalAppData%\Temp\wz*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью 7zip
%LocalAppData%\Temp\wz*\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью WinZip
%LocalAppData%\Temp\*.zip\*.exe - Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows
%Temp%\*.exe - Запрет запуска exe файлов из каталога %temp%
%Temp%\*\*.exe - Запрет запуска exe файлов из вложенных каталогов %temp%

Таким образом осуществляется запрет запуска всех исполняемых файлов в указанных каталогах.
Список исполняемых файлов задаётся по адресу:

Политики ограниченного использования программ =>Назначенные типы файлов

Обновите политики командой

gpupdate /force

Теперь попробуйте запустить исполняемый файл из указанных вами каталогов. Должно появиться сообщение об ошибке.

Важно: после создания правила и его применения, тестируйте работоспособность системы: сохранение - перезагрузка. Применение некоторых правил может приводить к восстановлению системы до предварительно созданного состояния.

Справедливости ради следует упомянуть, что описанные выше политики делают работу в Windows немного неудобной, временно выводят пользователя из зоны комфорта. Многие Windows-приложения невозможно установить в систему без использования папки %AppData%, временной папки %TEMP% и других. В таких случаях можно добавить исполняемый файл в исключения политики либо пользоваться портабельными версиями приложений.

ВИРУСЫ и Linux.

• Линукс.
• Линукс - это образ жизни. Пользователь Windows может оставаться "пользователем", может также приобрести статус "опытного пользователя" ) Линукс, на мой взгляд, не позволяет такого отношения к себе.
• Линукс - это философия. Эту философию можно только постичь и стать "линуксоидом", либо так и остаться не в теме.
• Линукс - это прежде всего командная строка. Я с трудом представляю себе линуксоида, не контролирующего в командной строке какой-либо запущенный процесс.

Говоря откровенно, я для себя не нахожу ответа на вопрос: "Зачем линуксоиду антивирус ?". Ведь в Linux действие вируса заметно, как на ладони, без вспомогательных программ.
Или незаметно для меня в обществе образовалось понятие "оконных линуксоидов" (аналоги асфальтовых внедорожников, хе-хе), которые лишь понаслышке знакомы со "startx" , "inittab 3" ?
Зачем люди покидают комфортные окна Windows и переходят в некомфортные графические оболочки "ИКСОВ", при этом оставляя за собой windows-мышление ? Думаю, что ответы на эти вопросы находятся в области психологии, а не компьютерной грамотности безграмотности.
Возможно, мои представления о жизни вирусов в Linux - слишком субъективны, не соответствуют современным реалиям виртуальной реальности.
В таком случае, с удовольствием почитаю доводы форумчан в комментариях к данной статье.

ВИРУСЫ и ANDROID.

Это самый неприятный для меня пункт статьи по следующей причине.
Как правило, ОС Андроид является посредником в общении между человеком и телефоном (планшетом).
Моя проблема в том, что телефон для меня - это только телефон и ничего более. Мой "карманный слуга" управляется нажатием клавиш на его корпусе. Android и мой телефон - вещи абсолютно несовместимые по причине параноидального УПРЯМСТВА его хозяйки.
Для тех, кто не понял смысл моих заумных высказываний, поясняю, что мой телефон - это самый простой кнопочный аппарат, способный только принимать и отправлять СМС и голосовые сообщения. Мне ничего от него больше не нужно: никаких игр, браузеров, социальных сетей и всего того, чем могут похвастаться современные гаджеты.
Мой Android живёт в моей виртуальной машине VMWare и никакие вирусы и прочая ерунда мне оттуда не угрожают.
Вирус тоже имеет право на существование хотя-бы для того, чтобы играть роль "страшилки современности".
Пусть живёт на моих виртуалках: с Андроидом или без него - я над этим не задумываюсь.
На этом - всё.
С вами была Валькирия.

 

[vag4b0nd]

Немного не по теме конкурса(поправьте если ошибаюсь)
Но статья хорошая.

 

[Remir]

мой телефон - это самый простой кнопочный аппарат, способный только принимать и отправлять СМС и голосовые сообщения. Мне ничего от него больше не нужно: никаких игр, браузеров, социальных сетей и всего того, чем могут похвастаться современные гаджеты.

+++

 

[Twix]

Между тем, операционная система Windows обладает вполне достаточными инструментами для предотвращения запуска любой вредоносной программы.
Для этого могут быть использованы две стратегии:

• 
  Запретить запуск исполняемых файлов из каталогов пользователя
  Разрешить запуск исполняемых файлов только из определённых папок.

Это только в теории. Групповые политики не панацея. При желании легко обходятся и меняются.
Рановато списывать антивирусы.

 

[Remir]

Групповые политики не панацея. При желании легко обходятся и меняются.
Рановато списывать антивирусы.

Пожалуй, соглашусь. Политики не спасут от фишинга, к примеру.
Один из многих вариантов цели атакующего (реверсирующего) для автономного ПК:

HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\
C:\Windows\System32\GroupPolicy\Machine\*
C:\WINDOWS\security\Database\*

(ключи и файлы я не указываю)
А в доменном варианте при физическом доступе к ПК - вообще любой может их проигнорировать.

Справедливости ради следует упомянуть, что описанные выше политики делают работу в Windows немного неудобной

"Немного" - это слишком мягко сказано
"Чрезвычайно" - это больше подходит. Такое применимо разве что в офисе, когда нужно "запретить все, кроме...". Но не для домашнего ПК.

 

[chokopai]

Вообще полностью согласен с ТС по поводу бесполезности антивирусов.. У нас почему то принято называть "вирусами" , вообще любое вредоносное ПО(при чём уже известное) , и работа всех этих "антивирусов" , как раз и строится на проактивной защите на основе анализа сигнатур ,уже известных АВ-компаниям "вирусов" . И если это самое "вредоносное ПО" ещё не засветилось где нибудь на вирустотал, или склейка хорошо закриптована , то АВ , его просто не увидит..Но при этом будет грузить систему , и регулярно портить нервы юзеру напоминаниями о "приобретении лицензии" или настойчивыми рекомендациями "просканировать систему" . А меж тем, настоящие вирусы (те самые вана ,петя и пр. известные за последние годы ) , были именно "вирусы" , те это ПО "самораспостронялось и самомножилось" как и положено вирусу ,и заражало другие устройства в локальной и бывало что не только сети. При всём при этом использовались так называемые 0day- уязвимости , которые не только антивирусным компаниям не были известны, а вообще ни кому . По тому защитить от всего этого ,ни один антивирус не смог бы при всё его желании и лицензии.. Ну и спрашивается за чем оно надо? Для безопасности windows-ПК , уже давно есть надёжное и проверенное средство . А именно ,не грузить ни чего на свой комп , и не посещать с него не известные ресурсы,и так же не открывать письма с вложениями . Для всего этого есть виртуалбох .
А уж про антивирус для debian , так это вообще котрый раз уже вижу , и столько же удивляюсь.. Это каким надо быть "талантливым человеком ", что бы что то скачать отккуда то, а не с официального репозитория, (это при том что дебиан имеет самый богатый набор пакетов), потом задать этому "что то " права на запуск, потом всё это дело собрать, и потом ещё не видеть что "это что то " работает в твоей системе : ))

 

[Глюк]

Несколько лет назад проводил "эксперимент". Поставил на один из домашних компьютеров Win 7. Без антивирусов, без фаерволов. И отдал детям на растерзание. При этом объяснил что нужно делать а чего нельзя. Что они с ним только не делали, ставили игры, шастали по интернету, таскали флешки с рефератами... Итог: При соблюдении определённых норм "гигиены", так и не заразили комп ничем за несколько лет...

 

[Valkiria]

Вообще говоря, настройкой групповой политики моя "борьба" в кавычках с вирусами не ограничена.
Если-бы я сейчас писала эту статью, то ко всему написанному добавила настройки брандмауэра.
Встроенный брандмауэр Windows неплохо справляется со своими задачами.
Но я предпочитаю иногда пользоваться брандмауером Agnitum.
Кроме того, по непонятным для себя причинам не описала содержание файла hosts ))
Далее - настройку шлюза для выхода в инет.


Сейчас сама не пойму, почему не описала всех настроек ))

 

[w3n0m41k]

Это только в теории. Групповые политики не панацея. При желании легко обходятся и меняются.
Рановато списывать антивирусы.

+ Большинство сисадминов настраивают систему на от................сь это что касается компаний что касается домашних ПК тут отдельная тема для разговора так что вирусы еще долго будут жить на Windows

 

[z3r0c10wn]

Имхо :
Дифирамбы
Статья не полная, но написано в целом не без доли опыты и многое по делу.
Язык автора радует глаз и навевает воспоминания о старых статейках на "определенных" форумах в древности (когда писали статьи чтоб делиться опытом, а не письками мериться).

Диатриба
Статья описывает работу человека на PC в стиле работы в структуре DMZ - как я могу заразить себя если дальше word не ухожу.
Автору стоит обратить внимание что в современном мире мы привыкли качать фильмы с торрентиков, качать крякнутый софт и делать огромное количество других глупостей. Так же не стоит забывать про наш дорогой github, где 3-4% проектов в крос-зависимостях от других проектов(прогруженных вредоносным кодом). Все варианты с инжектами в памяти ни на глазок, ни каким либо другим образом, без специфического софта вы не опознаете. А ежли уж политика безопасности так круто настроена что прям не подкопаться - WMI выручает даже в таких случаях.

Вывод - Автор, пиши. Статьи приятно читать. Автор, рассматривай глубже вопрос.
P.S. Для DMZ - можно сидеть хоть на XP и не подхватить ничего. Среднестатистический пользователь всегда найдет себе троян.

P.S.2 Не для кого не секрет, что до сих пор 70-75 % Банкоматов в РФ работают под управлением Windows XP. Есть очень интересная контора SafeNsoft - ребята пишут ПО для защиты банкоматов. Любопытный технологический подход который они взяли за основу это дополнительный уровень внешнего ядра, в котором используется политика правил : Все что не разрешено -> запрещено. Ребята очень не плохо работали на низком уровне с Windows, и думаю что 95% банкоматских зловредов разбивались об их софт. А ведь обошли то их тоже простыми методами.

 

[sowd]

Это каким надо быть "талантливым человеком ", что бы что то скачать отккуда то, а не с официального репозитория, (это при том что дебиан имеет самый богатый набор пакетов), потом задать этому "что то " права на запуск, потом всё это дело собрать, и потом ещё не видеть что "это что то " работает в твоей системе : ))

Мне вот интересно, а если "это что то" при запуске открепляется от управляющего терминала и становится системным демоном, работает быстро, нагрузки не создает, и при этом всякие псы и топы естественно "это что то" не видят, как ты надеешься увидеть это что то у себя в системе?. Можно кейс попроще, предположим, что "это что то" не нуждается в рутовых правах, ему хватит доступа к питоновскому или пхпэшному интепретатору, это естесвено будет палится топом, но опять же работает быстро,. нагрузку на систему не создает, работе не мешает, что делать? параноить втыкая постояно в список процессов? Ну и кейс номер три, а если "это что то" помимо всего прочего пересоберает тот же топ, и лс, тогда как быть?

 

[Ondrik8]

ничто Вас не спасет если Вами за интересуются профи, по верьте!) лучшее вообще к компу не подходите и телефоном не пользуйтесь только на 90% вы избежите контакта с ними))10 процентов отдаю на остальные умные гаджеты телевизоры и т.д.

концовка видео не о чем)

и еще живые примеры)

 

[Глюк]

а если "это что то" при запуске открепляется от управляющего терминала и становится системным демоном, работает быстро, нагрузки не создает, и при этом всякие псы и топы естественно "это что то" не видят, как ты надеешься увидеть это что то у себя в системе?

Анализ состояния системы
Список запущенных юнитов:

$ systemctl

или:

$ systemctl list-units

Список неудач, - список юнитов, попытка запуска которых не удалась:

$ systemctl --failed

Доступные файлы юнитов можно посмотреть в директориях /usr/lib/systemd/system/ и /etc/systemd/system/ (второй каталог имеет приоритет). Вы можете увидеть список установленных файлов юнитов командой:

$ systemctl list-unit-files

Надеюсь в kali linux тоже systemd используется... )

 

[pappa]

классный видос только у меня не совсем получилось где и как эти сертификаты брать и настраивать

Ссылка скрыта от гостей

 

[Valkiria]

Статья получилась немного неудачная, поэтому ничего не понятно ))
"Немного" - это слишком мягко сказано )

Откровенно говоря, у меня есть огромное желание "допилить"её, дописать новой статьёй.
Но часто на задуманное попросту не хватает времени ((

На скрине ты ещё не дошёл до нужных настроек.
Далее выбирай ветку "Дополнительные параметры -> Создать новое правило".
И создавай правила как на моём скрине.

Кстати, вот небольшой видеоролик о более полной настройке windows )

 

[pappa]

Статья получилась немного неудачная, поэтому ничего не понятно ))
"Немного" - это слишком мягко сказано )

просто супер все у тебя получилось и у меня вроде тоже

Ссылка скрыта от гостей

только вот новый вопрос это не помешает ли виртуалке а то у меня на ней линукс стоит и он постоянно слетает приходиться постоянно его устанавливать заново а это слишком утомительно есть ли какой другой вариант обхода этой проблемки ???

 

[Valkiria]

а то у меня на ней линукс стоит и он постоянно слетает приходиться постоянно его устанавливать заново

Переходи на Windows и никого не слушай
С ним гемора намного меньше.

Если серьёзно, то не должно ничего ничему мешать.
Я пользуюсь всем описанным в видео много лет и не замечаю никаких неудобств, ничего у меня не слетает.

 

[pappa]

да но научиться то надо я давно уже ее мучаю

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[Valkiria]

У тебя виртуал бокс ?
Наверное, моё мнение не совсем популярно и встретит много критики ))
Но я нахожу эту "виртуальную коробку" убогой и примитивной.
Мне почему-то эта программа пришлась не по душе ))
Однажды установив её на свой комп, я снесла её и никогда больше ею не пользовалась.
Мой выбор - vmware.
Не смотря на "жадность" програмы, в сети легло гуглится "лицензия" от создателя)

 

[Глюк]

По поводу виртуальных машин. Хоть и пользовался ими когда то, но не принимаю их совсем. Мне удобней и эффективней поставить рядом пару компов и собрать их в сетку...