Jump to content


Photo

[PL] DefenseWall HIPS Opis Programu/Tutorial (for version 2.xx)


  • Please log in to reply
7 replies to this topic

#1 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 10 April 2009 - 08:12 AM

DefenseWall HIPS Opis Programu/Tutorial ...Attached File  polishmed.png   159bytes   0 downloads


DefenseWall HIPS jest aplikacją, kt?rej zasada działania opiera się na polityce piaskownicy (sandbox policy). DW posiada ochronę typu HIPS (Host Intrusion Prevention System), jest to nadzwyczaj "cichy" HIPS z jakim miałem kiedykolwiek do czynienia. Informuje o keystrokes'ach, keyloggerach, i innych istotnych zdarzeniach, kt?re mogą mieć miejsce w naszym systemie i mogą przyczynić się do jego uszkodzenia.
DW jest prostą w obsłudze aplikacją o bardzo dużym potencjale o kt?rym może świadczyć fakt, że DefenseWall zalicza m.in. test "killdisk", kt?ry jest bardzo złośliwą odmianą malware, fizycznie niszczącą sektor MBR dysku twardego (Master Boot Record) - za pomocą metody low-level disk access.

DefenseWall HIPS zawiera wbudowane listy aplikacji ktore domyślnie, bez naszej ingerencji są uruchamiane w trybie Niezaufanym.
Sa to m.in. przegladarki, programy pocztowe, programy archiwizujace - 7zip, winrar, programy typu p2p, torrent, etc...
Dodatkowo, pliki kt?re są pobierane przez aplikacje działające w trybie Niezaufanym, automatycznie są dodawane do listy Niezaufanych.

Aby np. zainstalować program co do kt?rego mamy pewność, że jest to program bezpieczny (czysty), a kt?ry wcześniej został sciagniety przez aplikację (np. przeglądarkę) działającą w trybie Niezaufanym - klikamy prawym przyciskiem myszy na dany plik i wybieramy z menu "DefenseWall HIPS > Uruchom jako zaufany".

Attached File  0day_protection_award_platinum_sm.gif   3.29KB   0 downloads

Por?wnanie skuteczności wykrywania najnowszych zagrożen przez DefenseWall oraz programy Antywirusowe - grudzień 2008
Attached File  dynamic_results.gif   8.15KB   0 downloads
źr?dło: Anti-Malware.ru

Por?wnanie skuteczności wykrywania najnowszych zagrożen (0-day threats) przez DefenseWall oraz programy Antywirusowe - listopad 2009
Attached File  dynamictestresults2.gif   9.75KB   0 downloads
źr?dło: http://translate.goo...jBnwgDJOKhqFYFw

Recenzja/test (wynik: 100/100) DefenseWall HIPS wykonana przez austriacką firmę AV-Comparatives.org:



Wyniki testu (wynik: 5/5) przeprowadzonego przez organizacje MalwareTestLab.com z wykorzystaniem infekcji typu Killdisk:




Charakterystyka poszczeg?lnych element?w programu DefenseWall HIPS:
    1. Gł?wne okno programu - zakładka Przerwij atak:
    Jeśli zauważysz, ze Tw?j system jest atakowany przez aplikację kt?ra ma status: Niezaufany - wtedy po prostu zamknij wszystkie niezaufane programy za pomocą przycisku Przerwij atak, lub przy użyciu kombinacji klawiszy: Alt+Win+A. Jakakolwiek aplikacja typu spyware lub adware zostanie automatycznie zamknięta razem z nimi.
    (Jeśli nie jesteś zaawansowanym użytkownikiem, nie używaj przycisku: "Pliki i ślady rejestru", kt?ry otwiera tzw. listę "Przywr?ć". Nie jest to niezbedne do prawidlowego działania programu, a przez przypadek możesz np. wykasować ważne wpisy w rejestrze.)
    Screen:
    Attached File  1.png   118.72KB   0 downloads



    2. Aplikacje niezaufane:
    Wpisy oznaczone kolorem niebieskim, oznaczają aplikacje, kt?re zostały automatycznie dodane do listy Aplikacji Niezaufanych z wbudowanej bazy aplikacji, lub takie aplikacje/pliki/foldery, kt?re zostały dodane ręcznie przez użytkownika (np. za pomoca ppm - DefenseWall HIPS > Zmień status na niezaufany, lub bezpośrednio z poziomu okna Aplikacje niezaufane w DefenseWall HIPS). Wpisy oznaczone kolorem czarnym, są to aplikacje/pliki/foldery dodane automatycznie poprzez programy będące w trybie Niezaufanym. Np. pliki ściągnięte przez przegladarkę (kt?ra działała w trybie Niezaufanym).
    Screen:
    Attached File  2.png   74.96KB   0 downloads



    3. Dziennik zdarzeń:
    Lista zdarzeń, kt?re wykonały programy będące w trybie Niezaufanym.
    Jest to opcja przydatna dla zaawansowanych użytkownikow, bądź w przypadku wystąpienia problem?w przy uruchamianiu program?w w trybie Niezaufanym. Wtedy logi wysłane z tej listy do autora programu Ilyi, szybko pomogą w rozwiązaniu problemu.
    U siebie wyłączyłem logi ponieważ odniosłem wrażenie, że wtedy zużycie CPU jest mniejsze.
    Screen:
    Attached File  3.png   62.07KB   0 downloads



    4. Zaawansowane:
    Poszczeg?lne funkcje programu dostępne za pomocą wybranych przycisk?w.
    Uwaga: Zmiana/edycja poszczegolnych buttonow nie jest wymagana do prawidłowego działania programu.
    Screen:
    Attached File  4.png   90.85KB   0 downloads


    • Opcje - gł?wne ustawienia programu. Screen: http://img512.images...2/628/ustdw.png
    • Chronione Wykluczenia Plik?w i Rejestru - Uwaga: tylko dla zaawansowanych użytkownik?w! Nie zaleca się usuwania lub dodawania samemu jakichkolwiek wpis?w do tej listy.
      Obecne na tej liście pliki, wpisy rejestru, oraz foldery, mogą być modyfikowane przez aplikacje/procesy działające w trybie Niezaufanym.
    • Zabezpieczone Pliki - znajdujące się tutaj pliki lub foldery nie mogą być otwierane/edytowane/modyfikowane/zapisywane przez aplikacje lub procesy działające w trybie Niezaufanym. W tym miejscu możesz dodać foldery, pliki lub nawet całe dyski i partycje, kt?re są szczeg?lnie ważne dla Ciebie, zabezpieczając je przed jakąkolwiek czynnością wykonywaną przez dowolną aplikację działającą w trybie Niezaufanym. Przycisk Wykluczenia w oknie Zabezpieczone Pliki, oznacza, że foldery lub pliki dodane do wykluczeń mogą być otwierane/edytowane/modyfikowane/zapisywane przez aplikacje działające w trybie Niezaufanym.
      Uwaga: Aby szybko dodać plik, folder lub dyski/partycje do listy "Zabezpieczone Pliki" należy kliknąć na nim prawym przyciskiem myszy (ppm) i wybrać z menu: DefenseWall HIPS > Pozw?l na uzyskanie dostępu tylko zaufanym.
    • Obszar Download - możesz dodać tutaj foldery, kt?re służa za magazyny pobieranych przez Ciebie danych przez np. przeglądarki, programy typu Torrent, etc. Pliki znajdujące się w folderze, kt?ry został dodany do Obszar?w Download - są automatycznie dodawane do Listy Chronionych Wykluczeń Plik?w i Rejestru. Po 15-dniach zostają automatycznie wykasowane z listy Chronionych Wykluczeń Plik?w i Rejestru (przez co pliki te nie mogą być już modyfikowane przez aplikacje działające w trybie Niezaufanym)
    • Ochrona Zasob?w - lista aplikacji - proces?w (lewa strona tabelki) oraz lista plik?w/folder?w/wpis?w rejestru - zasob?w (prawa strona tabelki). Zasoby przypisane do danego procesu nie mogą być otwierane/modyfikowane/edytowane/zapisywane przez inne aplikacje (działajace w trybie Niezaufanym), niż przez tę do ktorej zostały przypisane w tej tabeli.



5. Firewall:
Wbudowana funkcja Firewall-a (zapory sieciowej) w wersji DefenseWall Personal Firewall, do kontroli połączeń wychodzących i przychodzących:
Screen:
Attached File  5.png   79.33KB   0 downloads




Jak to wygląda w praktyce:
Wyobraźmy sobie nastepujacą sytuację:
Korzystamy z przeglądarki, kt?ra jest w trybie Niezaufanym o czym informuje nas odpowiedni komunikat oraz gwiazdka "*" na pasku przeglądarki (badź innego programu działającego w trybie Niezaufanym). Zdecydowaliśmy się pobrać np. plik instalacyjny zaufanego programu. Tzn. że mamy całkowitą pewność, że program ten jest bezpieczny. Plik .exe mamy już na dysku - chcemy teraz go uruchomić i zainstalować daną aplikację.
Ponieważ przeglądarka była w trybie Niezaufanym, a plik sciągany był przez tę aplikację (przeglądarkę) - DefenseWall automatycznie oznaczył pobrany przez nas plik jako Niezaufany.
Zatem, aby poprawnie zainstalować pobrany przez nas program musimy zmienić jego właściwości z Niezaufanego na Zaufany.
Ponieważ plik instalacyjny zazwyczaj uruchamiamy tylko jeden raz na czas instalacji, zatem wystarczy kliknąć na dany plik ppm (prawy przycisk myszy) i z menu wybrać: DefenseWall HIPS > Uruchom jako Zaufany.
W tym momencie plik zostanie uruchomiony poza DW z pełnymi prawami, dzięki czemu instalacja będzie 'pełnowartościowa'.
Screen:




***
Testy DefenseWall HIPS na YouTube:
PART 1 -
PART 2 -
PART 3 - http://www.youtube.com/watch?v=71aNELHkung
DefenseWall vs 23 zagrożenia 0-day Threats:
http://www.youtube.com/watch?v=HhNR9xEA8D8

Po obejrzeniu test?w, sam postanowiłem przetestować DefenseWall'a.
TEST Nr. 1
Znalazłem stronę na kt?rej znajdował sie obszerny zbi?r wirusow/trojanow/backdoorow/etc.

Pobrałem z tej strony losowo wybrane zagrożenie - Trojana: trojan.win32.virtualroot.exe

Wyłączyłem AV - Avire i zainstalowałem plik wykonywalny trojan.win32.virtualroot.exe.
Podczas testu działał Online Armor oraz DefenseWall HIPS (w OA klikałem akceptuj i uruchom)
Oto logi z DW po uruchomieniu trojana:


Proces, kt?ry wskazał mi DW a kt?ry został uruchomiony w systemie:


Zwr?ćcie uwagę na wartości 0 i 0 w menedżerze, są to odpowiednio: Odczyty We/Wy i Odczyty We/Wy w bajtach - to potwierdza, że trojan został faktycznie uruchomiony, jednak jest nieszkodliwy dla systemu - nie może w nim nic zdziałać, jednym przyciskiem 'Zakończ' w DW wyłączyłem zbędny proces i za pomocą opcji 'Przywr?ć', usunąłem wpisy w rejestrze w mniej niż 15 sekund. Ile trwało by leczenie systemu bez tego i czy w og?le dałoby się z niego dalej korzystać?... nie wiem, ale zapewne nie byłoby to takie łatwe.
Uwaga: Usuwanie wpis?w z listy "Przywr?ć" nie jest konieczne! Wirus/trojan/inne zagrożenie, i tak nic nie zdziała w naszym systemie. To ważne ponieważ DefenseWall jest praktycznie bezobsługowym programem.

TEST Nr. 2 (DefenseWall vs MS AntiSpyware 2009 - msas2009.exe - malware/adware/worm)
http://www.youtube.com/watch?v=LRcxMhiHXGQ&fmt=22
***

DefenseWall HIPS nakłada ograniczenia na aplikacje uruchamiane jako Niezaufane, dzięki czemu nawet w sytuacji, gdy złapiemy jakiegoś szkodnika - nie będzie on m?gł nic zrobić w naszym systemie - nie będzie m?gł dodać żadnych wpis?w do strefy Autorun Windows (nie uruchomi się automatycznie wraz ze startem systemu), nie nadpisze ani nie zmieni/nie zainfekuje plik?w systemowych.
Oczywiście plik z wirusem lub innym zagrożeniem może być nadal na dysku, (DefenseWall nie jest programem kt?ry wykrywa zagrozenia, jest natomiast programem, kt?ry zapobiega ich wykonywaniu!) ale będzie on kompletnie nieszkodliwy! To jest wlaśnie podstawowa r?żnica między uruchomionym (działającym z pełnymi prawami) szkodliwym procesem, a zainfekowaną niezaufaną aplikacją, kt?ra po prostu tylko znajduje się na dysku przez co jest całkowicie nieszkodliwa.


Charakterystyka poszczeg?lnych tryb?w w DefenseWall HIPS:
(ich aktywacja polega na kliknięciu prawym przyciskiem myszy (ppm) na ikonę DefenseWall w zasobniku systemowym)
  1. Tryb Expert - nie zaleca się włączania tego trybu bez powodu! Tryb ten powoduje, że wszystko to co jest zapisywane na dysku za pomocą aplikacji, kt?ra działa w trybie Niezaufanym - jest zapisywane bez 'dziedziczenia' atrybut?w po procesie 'matce'. Tzn. gdy pobierzemy plik za pomoca przeglądarki działającej w trybie Niezaufanym - plikowi temu nie zostanie automatycznie przyporządkowany status 'Niezaufany'
  2. Wyłącz Ochronę - aktywowanie tego trybu pozwala wyłączyc całkowicie ochronę jaką oferuje DefenseWall. Uwaga: tylko w ten spos?b można wyłączyć ochronę bez odinstalowywania programu - inne pr?by wyłączenia ochrony DW w postaci np. zamknięcia proces?w należących do DefenseWall w Menedżerze Zadań Windows, lub wyłączenie usługi na liście uslug Windows - nie są r?wnoznaczne z wyłączeniem ochrony programu. Dzieje się tak dlatego, ponieważ DefenseWall oferuje także ochronę na poziomie sterownika, dzięki czemu żadna szkodliwa aplikacja nie może wyłączyć ochrony jaką oferuje ten program.

  3. Tryb Bank/Zakupy - jest to specjalny tryb, kt?ry zapewnia dodatkową ochronę poprzez zwiększenie poziomu restrykcji podczas dokonywania transakcji w sieci.
    Jego aktywowanie, zamyka wszystkie Niezaufane procesy, działające aktualnie w systemie, oraz otwiera (wybraną w opcjach programu) przeglądarkę. Wejście w ten tryb jest sygnalizowane stosownym komunikatem na pasku przeglądarki, informującym o jego działaniu.
    Uwaga: w trakcie tego trybu nie zaleca sią surfowania po innych stronach typu serwisy społecznościowe, blogi, portale, itp.
    Po zakończeniu wszystkich transakcji zaleca się zamknięcie przeglądarki (w celu wyprowadzenia jej z trybu Bank/Zakupy), oraz ponowne jej uruchomienie (normalnym sposobem).


Wygląd:
Okno gł?wne programu DefenseWall HIPS:
Attached File  1.png   118.72KB   0 downloads



Aby zaktualizować DW ze starszej wersji do aktualnej - wystarczy uruchomić instalator (jako Zaufany) i postepować jak przy pierwszej instalacji, na koniec restart i mamy już aktualną wersję DefenseWall HIPS. (Uwaga: Nie trzeba zamykać programu na czas instalacji nowej wersji).
Jeśli posiadamy pełną wersję programu lub korzystamy z 30 dniowego trial'a, aktualizacje odbywają się w pełni automatycznie bez naszej ingerencji.


Zużycie CPU i pamięci przez DefenseWall HIPS podczas codziennej pracy:



Podsumowanie:
DefenseWall HIPS jest świetnym programem, kt?ry oferuje niesamowicie wysoki poziom ochrony przed znanymi i nieznanymi zagrożeniami. Jego funkcjonowanie w systemie jest praktycznie niezauważalne, jest bardzo lekki i nie powoduje żadnego spowolnienia przy uruchamianiu systemu. Jeśli zależy Ci na tym, aby mieć wreszcie spok?j z wirusami/adware/spyware/malware/rootkitami/keyloggerami/etc - sugerowałbym zainstalować DefenseWall HIPS do codziennego użytku, w szczeg?lności, gdy ściągasz dużo nieznanego softu, lub odwiedzasz strony o wątpliwej reputacji.


Wymagania systemowe:
DefenseWall HIPS działa na systemach: Windows 2000/XP/2003/Vista 32-bit
DefenseWall HIPS nie obsluguje na razie system?w 64-bitowych.
Zaleca się instalowanie DefenseWall HIPS na niezainfekowany system. Przed instalacją należy zamknąć wszystkie programy typu P2P!

Licencja:
DefenseWall HIPS jest programem shareware, z darmowym 30-dniowym, w pełni funkcjonalnym okresem pr?bnym.
Kupując program otrzymujemy licencję dożywotnią na sam program + 1 rok bezpłatnych automatycznych aktualizacji.
Po okresie 1 roku od zakupu, automatyczne aktualizacje wygasają. Jednakże można je przedłużyć o dodatkowy rok za $10,95.

Program DefenseWall HIPS, nie wymaga żadnych baz czy sygnatur jak ma to miejsce w przypadku program?w Antywirusowych, dlatego mimo braku aktualizacji (w przypadku skończenia się rocznej licencji na aktualizacje programu), kt?re zwykle wzbogacają program o np. nowe funkcje - DefenseWall HIPS nie ulega przeterminowaniu, a jego ochrona jest nadal tak samo skuteczna jak na samym początku.


DefenseWall HIPS FAQ:
  1. DefenseWall informuje mnie poprzez czytelne okno ze program XXX odczytuje uderzenia klawiszy poprzez GetKeyStat - czy to normalne?
    Odp. Tak to normalne, nie ma powodu do obaw (pod warunkiem, że jest to program kt?ry znasz!). Piszac wiadomosci w oknie komunikatora, lub poprzez okno przegladarki piszac posty na forum, piszac maile w programie pocztowym - okreslony program z ktorego w danej chwili korzystasz sczytuje Twoje uderzenia klawiszy po to aby moc je wyslac do odbiorcy wiadomosci/maila. Przegladarki, komunikatory, programy do zarzadzania poczta - slowem, wszystkie te aplikacje ktore są Ci znane, a ktore dzialaja w trybie Niezaufanym, w przypadku wyswietlenia monitu o sczytywaniu klawiszy, aby wiecej sie on nie pojawial wystarczy zaznaczyc okienko "Nie wyswietlaj wiecej tego zdarzenia" i kliknac OK.
  2. Dany program nie działa poprawnie gdy uruchamiam go w trybie Niezaufanym. Wszystko działa poprawnie, gdy uruchomię go jako Zaufany - gdzie leży problem?
    Odp. Po pierwsze, aby m?c zdiagnozować Twoj konkretny przypadek, potrzeba wiecej szczeg?łowych informacji, dlatego pisząc posta ze swoim problemem załącz do niego logi z DefenseWall'a. Instrukcja jak je uzyskać:
    Wykonaj nastepujace czynnosci:
    1. Zakładka "Zaawansowane" > Opcje > zaznacz jesli jest niezaznaczone "Pokaż logi" ->"OK"
    2. Wyczyść zakładkę "Logi zdarzeń" ("Skasuj wszystko"->"Zastosuj").
    3. Uruchom program z ktorym masz problem i poczekaj az pojawi sie blad, ktory Ci sie pojawia
    4. Bez uruchamiania innych niezaufanych aplikacji, wejdz ponownie w zakladke "Logi zdarzeń" w DW i kliknij przycisk "Eksportuj logi". Tak otrzymane logi wklej na forum.
  3. Przeglądarka nie chce się zaktualizować, co jest tego przyczyną?
    Odp. Aby przeglądarka mogła się zaktualizować musi być uruchomiona jako Zaufana.
    Aktualizacje FF/Opery nalezy wykonywac w trybie zaufanym. Tzn. uruchamiasz jak zwykle normalnie przegladarke, nagle wyskakuje Ci monit o tym ze jest dostepna nowa wersja - OK. Przerywasz instalacje, zamykasz przegladarke ktora do tej pory dzialala w trybie Niezaufanym i uruchamiasz ja ponownie na czas aktualizacji w trybie Zaufanym. Po zakonczeniu procesu aktualizacji/instalacji nowej wersji, przegladarka zwykle wysyla monit zeby uruchomic ja ponownie i tu uwaga - po ponownym uruchomieniu przegladarka nadal dziala w trybie Zaufanym, poniewaz wczesniej uruchomiona zostala w tym trybie, zatem polecenie uruchomienia przegladarki zostalo wyslane z procesu dzialajacego w trybie Zaufanym. Zamykamy zatem przegladarke i uruchamiamy ja normalnie dwu-klikiem. Od tego momentu mamy zaktualizowana przegladarke dzialajaca w trybie Niezaufanym.



Linki:
Strona producenta: http://www.softsphere.com/
Download: http://www.softsphere.com/downloads/
Attached File  polishmed.png   159bytes   0 downloads Polska wersja DefenseWall HIPS: http://www.softspher.../localizations/
Plik pomocy (ang.): http://www.softspher...lp/defensewall/
Oficjalne forum DW: http://gladiator-ant...p?showforum=192 (Uwaga: wsparcie w języku polskim oferowane jest na forum międzynarodowym: DW International Community)

Edited by Creer, 14 November 2012 - 07:49 PM.


#2 ruinebabine

ruinebabine

    Sen. Member

  • Active Members
  • 153 posts

Posted 10 April 2009 - 08:55 AM

Great work, Creer thumbsup.gif

Here is an aproximative google-automated english translation.

#3 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 10 April 2009 - 09:22 AM

QUOTE (Ruinebob-Inn @ Apr 10 2009, 10:55 AM) <{POST_SNAPBACK}>
Great work, Creer thumbsup.gif

Here is an aproximative google-automated english translation.

Thanks, i do my best :)

#4 demoneye

demoneye

    Sen. Member

  • Active Members
  • 233 posts

Posted 10 April 2009 - 11:01 AM

nice work creer , it should add to the install of DW section ahah.gif

#5 omkar

omkar

    New Member

  • Active Members
  • 5 posts

Posted 04 December 2010 - 08:23 AM

Cześć Creer!

DefenseWall Personal Firewall 3.08 pomimo iż pobiera mało RAM i nie obciąża zbytnio procesora, powoduje spowalnianie systemu, a w szczeg?lności otwierania menu start oraz jego element?w w Windows XP SP3. Dotyczy to nie tylko starszych maszyn, ale także nowoczesnych, mocniejszych komputer?w. Nie wiem jaka jest sytuacja w Win7 oraz w przypadku samego DefenseWalla HIPSa.

Edited by omkar, 04 December 2010 - 10:35 AM.


#6 omkar

omkar

    New Member

  • Active Members
  • 5 posts

Posted 12 December 2010 - 09:01 AM

Problem dotyczy także najnowszej wersji DWPF 3.09 i DefenseWall HIPS 3.09.

Edited by omkar, 12 December 2010 - 09:06 AM.


#7 polak900

polak900

    Active Member

  • Active Members
  • 14 posts

Posted 05 February 2011 - 10:15 PM

ja nie zauważyłem op?źnień w windows 7


#8 omkar

omkar

    New Member

  • Active Members
  • 5 posts

Posted 16 February 2011 - 01:10 PM

QUOTE (polak900 @ Feb 5 2011, 11:15 PM) <{POST_SNAPBACK}>
ja nie zauważyłem op?źnień w windows 7


Czyli błąd dotyczy tylko Windowsa XP. Dobrze by było, gdybyście zgłosili to Ilyi.