Antivirus na windowsu.. ne treba mi, jer ja sam pametan korisnik?
- Začetnik teme Poolmaker
- Datum pokretanja
- Učlanjen(a)
- 14.06.2011
- Poruke
- 9,723
- Poena
- 1,695
Da uprostim tvoju poentu, ona glasi "Zasto bih vezivao pojas kad vozim, vidi samo koliko ljudi gine sa sve uredno vezanim pojasevima?! Pojasevi ti daju laznu sigurnost i guse te dok vozis."
Voleo bih da upoznam tog naprednog korisnika koji je "nagazio minu". Ako neko otvori izvrshni attach u mailu, a taj attach nije od nekoga ko je pre minut trebao da ga posalje sa bas tim imenom taj je onda i zasluzio da mu neko ****** enkriptuje hdd i taj nije napredni korisnik.
AV ima svoju svrhu. Sluzi ljudima koji ne znaju u svakom trenutku sta tacno rade na tim masinama. Mom caletu treba AV recimo. Userima u firmi gde radim treba. Meni svakako ne treba.
Ako neko zeli da bude siguran neka vozdigne privatefirewall programce, ukljuci process security (ili kako vec) i neka rucno odobrava svaki thread i sve sistemske upise. Mnogo korisnije nego AV. Da ne govorimo o tome da sistem sa time ne gnjavi, sve dok znas sta te pita i znas da mu odgovoris brzo. A to znas ako si napredni korisnik, jelte...
AV ima svoju svrhu. Sluzi ljudima koji ne znaju u svakom trenutku sta tacno rade na tim masinama. Mom caletu treba AV recimo. Userima u firmi gde radim treba. Meni svakako ne treba.
Ako neko zeli da bude siguran neka vozdigne privatefirewall programce, ukljuci process security (ili kako vec) i neka rucno odobrava svaki thread i sve sistemske upise. Mnogo korisnije nego AV. Da ne govorimo o tome da sistem sa time ne gnjavi, sve dok znas sta te pita i znas da mu odgovoris brzo. A to znas ako si napredni korisnik, jelte...
Poslednja izmena:
- Učlanjen(a)
- 14.06.2011
- Poruke
- 9,723
- Poena
- 1,695
Analogija je zapravo primerena. Radi se o bezbednosti, a argument koji pominjes "vidi koliko njih se zali na viruse, a imaju AV" je direktno uporediv sa vezivanjem pojasa. Ljudi pokupe virus i uz AV, ali znacajno redje nego kada ga imaju.
Ja ne tvrdim da je apsolutno nemoguce imati cist sistem i bez AV, ali to zahteva vecu licnu angazovanost, vise nivoe bezbednosti (hello again, UAC), filtrirani browsing... zasto bih licno morao voditi racuna o nekim dosadnim stvarima, ako vec postoji nacin da to masina radi umesto mene? Da bih ustedeo 50MB RAM-a i 1% angazovanosti CPU?
- Učlanjen(a)
- 28.06.2005
- Poruke
- 10,877
- Poena
- 730
@Jericho:
Ja nemam AV i imam čist sistem i nisam uopšte opterećen i paranoičan. Sve sumnjivo proverim na online skenerima, koristim legalne programe i open source alternative. I vezujem pojas u kolima. I tvoja analogija sa automobilima je besmislena.
Ja nemam AV i imam čist sistem i nisam uopšte opterećen i paranoičan. Sve sumnjivo proverim na online skenerima, koristim legalne programe i open source alternative. I vezujem pojas u kolima. I tvoja analogija sa automobilima je besmislena.
OP
OP
Poolmaker
Nenadmašan
- Učlanjen(a)
- 05.04.2013
- Poruke
- 11,718
- Poena
- 2,245
Dobar tekst na tematiku o kojoj raspravljamo.
HTG Explains: Why You Need An Antivirus on Windows, No Matter How Careful You Are
Dva dodatna.
Do you really need antivirus software?
The end of antivirus software? Not so fast
HTG Explains: Why You Need An Antivirus on Windows, No Matter How Careful You Are
Dva dodatna.
Do you really need antivirus software?
The end of antivirus software? Not so fast
Poslednja izmena:
- Učlanjen(a)
- 09.01.2011
- Poruke
- 5,881
- Poena
- 475
Na prvom linku lepo kaže da je i WD sasvim OK, sa čime se slažem - ako MS može da napravi EMET, može i da poboljša AV/AM zaštitu 
http://www.pcworld.com/article/2460640/microsoft-security-tool-emet-50-puts-a-leash-on-plugins.html
http://www.pcworld.com/article/2460640/microsoft-security-tool-emet-50-puts-a-leash-on-plugins.html
OP
OP
Poolmaker
Nenadmašan
- Učlanjen(a)
- 05.04.2013
- Poruke
- 11,718
- Poena
- 2,245
Jeste ok, svakako bolje i on nego ništa.Na prvom linku lepo kaže da je i WD sasvim OK, sa čime se slažem - ako MS može da napravi EMET, može i da poboljša AV/AM zaštitu
http://www.pcworld.com/article/2460640/microsoft-security-tool-emet-50-puts-a-leash-on-plugins.html
Problem je da je on ubedljivo najlošije AV rešenje, bolji je sada nego ranije ali situacija se nije promenila, bilo koji "brendiran" besplatan ili plaćen AV je bolja zaštita.
Većina nikada neće koristiti windows media player kao default plejer za muziku i filmove (ili windows media centar), sa razlozima ih neće koristiti, postoje mnoga mnogo kvalitetnija rešenja i ta rešenja se i koriste.
Utoliko više važi za zaštitu.
Windows firewall u sedmici pa na dalje pruža dovoljno prosečnom korisniku (te nema potrebe za third party rešenjima), windows defender ne pruža, ni u najnovijim verzijama.
Realnost.
Microsoft Windows Defender 2014 Review
EMET je M$ primarno razvio za dodatnu zaštitu korisnika XP, kao "najbušnije" i najstarije verzija windowsa.
- Učlanjen(a)
- 06.06.2012
- Poruke
- 2,992
- Poena
- 229
Otkud znas da nemas viruse, ili barem posledice njega
Neka tvoja procjena ili... :dSto se tice teme, naravno da je potreban AV na windowsu, cisto radi kontrole i prevencije. Nekad se moze pokupiti malware i mimo nase kontrole. Meni se desilo dok sam pretrazivao slike na Google (opcija Google Images), kliknuo sam ne neku, pojavila se Java ikonica u systrayu (znaci neki Java malware) i ESET je prijavio da je blokirao to. A sta bi se desilo da nisam imao AV, a nisam ni mogao pretpostaviti sta se krije iza toga.
Bez AV-a bih mogao ali bez Firewalla koji je ipak bitniji (pozeljno sa nekim blagim HIPS-om) nema sanse, sa kojim imam apsolutnu kontrolu ulaza/izlaza na internetu. Sa tim sam siguran jer znam sta mi je prikaceno na net i kome sam dao dozvolu.
A preporucivati nekome da ne koristi AV ako on ne koristi je suludo.
Koristim ESET Smart Security (AV+FW, ostalo disabled), MCShield (za USB) i MBAM po potrebi nek se nadje. Redovan WUpdate i AdMuncher za surfanje. Nema smetljarskih programa na njemu, sve brzo i lagano, ono sto treba. Ako sam bas nesiguran imam Sandbox ili Oracle VM mada to rijetko koristim. Windows radi brzo kao i bez toga, i kao da je tek instaliran, a instaliran kad je izasla 7-ica i to je to.
Poslednja izmena:
- Učlanjen(a)
- 06.06.2012
- Poruke
- 2,992
- Poena
- 229
Ma yebes taj na ruteru, a pogtovo tuzni Windows Firewall, koji kao i da ne postoji. TReba mi da kontrolise aplikacije i procese sa kompa koje uspostavljaju vezu (u realnom vremenu), a ne zbog nekog hakovanja i tako to, gdje je povezan, download/upload, received/sent, da privremeno/stalno dozvolim/blokiram vezu i sl. To radim samo ako primjetim nesto sumnjivo, a to je skoro nikad. Tesko da cu pokupiti virus surfanjem i skidanje uglavnom provjerenog sadrzaja.
Pokupis malware nekim slucajem bez AV-a, bez HIPS-a se rasiri po sistemu, nakaci na internet, i privuce raznorazne toolbarove i ostala njesra, ili salje informacije, gusi protok
Takodje pri instalaciji programa (mada to rijetko radim), vodim racuna daodcekiram raznorazne te toolbarove i sl.
I da, ne mogu da vjerujem da pojedini koji sebe nazivaju toboze programerima i kvazi strucnjacima i expertima, da ne savjetuju koriscenje ovakvih stvari, barem na Windowsu, a toliko strucnijih i obrazovanijih ljudi bas savjetuje suprotno.
Poslednja izmena:
StormScion
Slavan
- Učlanjen(a)
- 08.03.2005
- Poruke
- 2,235
- Poena
- 380
na vecini budzetskih rutera freewall je katastrofa i u mom slucaju uzrokovao je gubljenje paketa.
Moze li korisnik da kontrolise kernel mode Windowsa?
Zasto antivirus instalira svoje drajvere u kernel mode?
Koja je razlika izmedju servisa i drajvera?
Ako znas odgovore samo na ova tri pitanja ja ti skidam kapu.
- Učlanjen(a)
- 06.06.2012
- Poruke
- 2,992
- Poena
- 229
Ako je to onaj Argus sa MyCity-a skidam kapu, covjek je najmjerodavniji ovde
OP
OP
Poolmaker
Nenadmašan
- Učlanjen(a)
- 05.04.2013
- Poruke
- 11,718
- Poena
- 2,245
Da, mogao bi biti taj kolega, njegov citat.Ako je to onaj Argus sa MyCity-a skidam kapu, covjek je najmjerodavniji ovde
- Učlanjen(a)
- 28.06.2005
- Poruke
- 10,877
- Poena
- 730
@argus:
Q: Moze li korisnik da kontrolise kernel mode Windowsa?
Sta mislis kada pitas da "korisnik kontrolise kernel mode"? Mislis da li moze da pokrene neki program pod privilegijama vecim od administratora?
Moze da se zaobidje UAC, pa da se program pokrene sa Admin privilegijama bez znanja korisnika, ali to i dalje nije kernel mode.
Q: Zasto antivirus instalira svoje drajvere u kernel mode?
Pojedini driveri mogu da se izvrsavaju u kernel modu, ali se vecina izvrsava u userlandu. Kernel bi trebalo da prihvati samo digitalno potpisane drivere. Instaliraju svoje drivere da bi mogli da imaje siri pristup celom racunaru. To isto znaci, da ako taj driver nije napisan kako treba moze da obori sistem.
Ovo je zanimljivo za citanje: https://www.blackhat.com/presentations/bh-usa-07/Harbour/Presentation/bh-usa-07-harbour.pdf
Uglavnom, postoji mnogo tehnika kojima se lako moze zaobici AV. Npr, AV programi pre izvrsavanja neke aplikacije, mogu da zaustave proces, da ga skeniraju i ako detektuju malware, da ga eliminisu. Zbog toga tvorci malware-a koriste trikove da inficiraju neki drugi proces. Npr. pokrenu neku app koja se stalno izvrsava na velikoj vecini racunara, pauziraju proces, nadju entry point, pregaze u memoriji programski code te aplikacije sa telom virusa i onda nastave izvrsavanje pauziranog procesa. Da bi zaobisli AV programe, telo virusa je kriptovano nekom metodom tako da AV programi ne mogu da ga dekriptuju. Rezltat svega je da u task listi vidite da je pokrenut legalan proces, a u stvari iza njega se nalazi malware. Memorijska slika i exe file tog procesa na disku su potpuno razliciti.
Q: Koja je razlika izmedju servisa i drajvera?
Servisi se izvrsavaju u userlandu, a driveri u userlandu ili u kernel modu. Pojedini driveri za neki hw koriste i kernel mode driver i service.
Sve tehnike su zasnovane na katastrofalnom WinAPI koji omogucava ovakve stvari. Mogucnost da se neka app hookuje, da pauzira drugi proces pa da se prepise memorija, zatim da moze da pogasi servise ili da doda sebe u listu izuzetaka antivirusnih programa je greska OS-a. AV programi su samo placebo. Zastitice vas od starijih virusa, ali protiv novih virusa nemaju nikakve sanse.
Q: Moze li korisnik da kontrolise kernel mode Windowsa?
Sta mislis kada pitas da "korisnik kontrolise kernel mode"? Mislis da li moze da pokrene neki program pod privilegijama vecim od administratora?
Moze da se zaobidje UAC, pa da se program pokrene sa Admin privilegijama bez znanja korisnika, ali to i dalje nije kernel mode.
Q: Zasto antivirus instalira svoje drajvere u kernel mode?
Pojedini driveri mogu da se izvrsavaju u kernel modu, ali se vecina izvrsava u userlandu. Kernel bi trebalo da prihvati samo digitalno potpisane drivere. Instaliraju svoje drivere da bi mogli da imaje siri pristup celom racunaru. To isto znaci, da ako taj driver nije napisan kako treba moze da obori sistem.
Ovo je zanimljivo za citanje: https://www.blackhat.com/presentations/bh-usa-07/Harbour/Presentation/bh-usa-07-harbour.pdf
Uglavnom, postoji mnogo tehnika kojima se lako moze zaobici AV. Npr, AV programi pre izvrsavanja neke aplikacije, mogu da zaustave proces, da ga skeniraju i ako detektuju malware, da ga eliminisu. Zbog toga tvorci malware-a koriste trikove da inficiraju neki drugi proces. Npr. pokrenu neku app koja se stalno izvrsava na velikoj vecini racunara, pauziraju proces, nadju entry point, pregaze u memoriji programski code te aplikacije sa telom virusa i onda nastave izvrsavanje pauziranog procesa. Da bi zaobisli AV programe, telo virusa je kriptovano nekom metodom tako da AV programi ne mogu da ga dekriptuju. Rezltat svega je da u task listi vidite da je pokrenut legalan proces, a u stvari iza njega se nalazi malware. Memorijska slika i exe file tog procesa na disku su potpuno razliciti.
Q: Koja je razlika izmedju servisa i drajvera?
Servisi se izvrsavaju u userlandu, a driveri u userlandu ili u kernel modu. Pojedini driveri za neki hw koriste i kernel mode driver i service.
Sve tehnike su zasnovane na katastrofalnom WinAPI koji omogucava ovakve stvari. Mogucnost da se neka app hookuje, da pauzira drugi proces pa da se prepise memorija, zatim da moze da pogasi servise ili da doda sebe u listu izuzetaka antivirusnih programa je greska OS-a. AV programi su samo placebo. Zastitice vas od starijih virusa, ali protiv novih virusa nemaju nikakve sanse.
Dark Magician
Čuven
- Učlanjen(a)
- 17.01.2011
- Poruke
- 10,817
- Poena
- 635
Nije li placebo ubeđenost da paziš, pa nema rizika?
Drugo, toliko stvari nećeš ni da znaš da su na sistemu. Velika je zabluda da je infekcija mora da je očigledna. Koristi se medicinska terminologija, jer je kao i kod pacijenata, moguće da nema simptome, iako je zaražen.
Drugo, toliko stvari nećeš ni da znaš da su na sistemu. Velika je zabluda da je infekcija mora da je očigledna. Koristi se medicinska terminologija, jer je kao i kod pacijenata, moguće da nema simptome, iako je zaražen.
Dark Magician
Čuven
- Učlanjen(a)
- 17.01.2011
- Poruke
- 10,817
- Poena
- 635
Ni pancir neće da te spasi od tenkovske granate, ali to ne znači da nema koristi od njega.
- Učlanjen(a)
- 06.06.2012
- Poruke
- 2,992
- Poena
- 229
Nek i meni kazu tu foru kako da znam da sam cist, pa da odma' brisem AV
Jeste to je taj argus
Ajde da pokusam da objasnim.
Kernel je prvo i osnovno sto radi u Ring0.
Kernel u Ring0 ucitava drajvere (za hardver, ili bilo koju drugu vrstu drajvera).
Kako u Ring0 ne postoji nikakav grafiki interfejs, niti je Ring0 svestan bilo cega sto postoji u Ring3, tako drajveri imaju prilicno velika ogranicenja (ne mogu cak ni jednu najobicniju poruku da ispisu na ekran).
S druge strane, drajver ima pristup svemu onome cemu ima i kernel.
Drajver je posebna vrsta programa, koji se prave tako da reaguju na desavanja na sistemu. Znaci, drajver ne radi nista dok se ne desi neki dogadjaj (bilo hardverski ili softverski) za koji je taj drajver isprogramiran da reaguje.
Servis je isto to, ali u Ring3.
Znaci, s obzirom da je u Ring3, ima pristupa onome cemu ima i trenutni korisnik.
Pise se isto kao i drajver (reakcija na dogadjaje).
Prva i osnovna razlika je da za drajver ne postoje ogranicenja ili zabrane koje se odnose na privilegije trenutnog korisnika koje on ima na sistemu (da li je admin ili ne).
Servis moze imati razlicite privilegije, u zavisnosti da li ga pokrece sistemski nalog ili neki drugi.
Drajver ima prioritet nad servisom.
Tacnije, servis moze nesto da pokusa, ali drajver to moze da zaustavi ukoliko je tako isprogramiran. Zato svi AV programi instaliraju svoje drajvere - da bi mogli da kontrolisu sistem na najprioritetnijem nivou.
Danas postoje malware-i koji odrade ono za sta su programirani i sami sebe deinstaliraju a korisnik nije ni svestan da je bio kompromitovan.
Opcija Autoplay koja je bila slaba karika na XP sistemima vise nije toliko bitna, jer danasnji crvi koriste druge nacine da se ubace u sistem a najnovija koristi Windows Shell i pogadja sve windows platforme. Poznatiji je kao LNK exploit.
Posto za ovakve infekcije nije postojao nacin da se ociste, mi smo na nasem forumu razvili program USBNoRisk koji smo koristili jedno vreme, a onda su nasi developeri poceli da razvijaju program za siroku upotrebu pod nazivom MCShield i sada je on u sirokoj upotrebi.
Koriste ga svi najpoznatiji svetski forumi koji se bave ciscenjem malware-a.
Da zakljucim, nijedan antivirus nije garancija da ce sistem ostati cist, ali pomaze. Ukoliko nema antivirusa na sistemu, ne postoji nikakva garancija.
Ajde da pokusam da objasnim.
Kernel je prvo i osnovno sto radi u Ring0.
Kernel u Ring0 ucitava drajvere (za hardver, ili bilo koju drugu vrstu drajvera).
Kako u Ring0 ne postoji nikakav grafiki interfejs, niti je Ring0 svestan bilo cega sto postoji u Ring3, tako drajveri imaju prilicno velika ogranicenja (ne mogu cak ni jednu najobicniju poruku da ispisu na ekran).
S druge strane, drajver ima pristup svemu onome cemu ima i kernel.
Drajver je posebna vrsta programa, koji se prave tako da reaguju na desavanja na sistemu. Znaci, drajver ne radi nista dok se ne desi neki dogadjaj (bilo hardverski ili softverski) za koji je taj drajver isprogramiran da reaguje.
Servis je isto to, ali u Ring3.
Znaci, s obzirom da je u Ring3, ima pristupa onome cemu ima i trenutni korisnik.
Pise se isto kao i drajver (reakcija na dogadjaje).
Prva i osnovna razlika je da za drajver ne postoje ogranicenja ili zabrane koje se odnose na privilegije trenutnog korisnika koje on ima na sistemu (da li je admin ili ne).
Servis moze imati razlicite privilegije, u zavisnosti da li ga pokrece sistemski nalog ili neki drugi.
Drajver ima prioritet nad servisom.
Tacnije, servis moze nesto da pokusa, ali drajver to moze da zaustavi ukoliko je tako isprogramiran. Zato svi AV programi instaliraju svoje drajvere - da bi mogli da kontrolisu sistem na najprioritetnijem nivou.
Danas postoje malware-i koji odrade ono za sta su programirani i sami sebe deinstaliraju a korisnik nije ni svestan da je bio kompromitovan.
Opcija Autoplay koja je bila slaba karika na XP sistemima vise nije toliko bitna, jer danasnji crvi koriste druge nacine da se ubace u sistem a najnovija koristi Windows Shell i pogadja sve windows platforme. Poznatiji je kao LNK exploit.
Posto za ovakve infekcije nije postojao nacin da se ociste, mi smo na nasem forumu razvili program USBNoRisk koji smo koristili jedno vreme, a onda su nasi developeri poceli da razvijaju program za siroku upotrebu pod nazivom MCShield i sada je on u sirokoj upotrebi.
Koriste ga svi najpoznatiji svetski forumi koji se bave ciscenjem malware-a.
Da zakljucim, nijedan antivirus nije garancija da ce sistem ostati cist, ali pomaze. Ukoliko nema antivirusa na sistemu, ne postoji nikakva garancija.
Au brate koliko eksperata ovdi ima. Ne smem ja ovde vise da bivam, posramoticu se. Idem na moj nezasticen kompjuktor pun skrivenih zmajova koji mi ki loguju svaki pokret.
Detinjasto je to neprihvatanje da neko ima dovoljno znanja i iskustva, pa ne mora da koristi antivirus.
Detinjasto je to neprihvatanje da neko ima dovoljno znanja i iskustva, pa ne mora da koristi antivirus.
OP
OP
Poolmaker
Nenadmašan
- Učlanjen(a)
- 05.04.2013
- Poruke
- 11,718
- Poena
- 2,245
AV nije ni izbliza jedina linija odbrane ali jeste nezaobilazna.
Elementarna logika.
Izrečeno već milion puta sa raznim varijacijama, u ovoj temi i u svim temama koje se bave ovom problematikom.
Ipak i dalje je to očigledno neshvatljiva stvar za neke od korisnika.
Biće da su razlozi za njihovo "nevidjenje" i/ili neprihvatanje izrečenog emocionalno obojeni.
