Process Guard Einstellungen

[wizard]

Process Guard ist jetzt in einer neuen Version erschienen. Das Tool dient dazu Programme wie Personal Firewalls oder Virenscanner davor zu schützen, dass sie von Malware beendet werden. Grade für Anhänger von PFs vielleicht gar keine so schlechte Idee als "Zusatzschutz".

http://www.diamondcs.com.au/processguard/

wizard

[Gast_vampire_*]

und hier gibt es einen sehr guten taskmanager (processviewer)

[Gast_Nautilus_*]

So langsam macht sich Process Guard meiner Meinung nach.

Noch fehlt SetWindowsHookEX Unterstützung. Deshalb kann beispielsweise Firehole Leaktest noch nach draussen telefonieren.

Gut ist an PG IMHO, dass es sehr einfach zu bedienen ist. Schlecht ist im Vergleich zu System Safety Monitor, dass es nicht Freeware ist.

Den Schutz vor Process Termination (bspw. Firewallkillern), den PG zusätzlich bietet, schätze ich nicht für besonders bedeutsam ein, da FWKiller den User automatisch warnen, dass etwas nicht stimmt. Anfänger werden aber vielleicht Wert auf so ein Feature legen und sind dann mit PG besser bedient als mit SSM.

Ich spreche gerade mit Seltsam per Mail über ein Tool, dass die Windows File Protection dynamisch aushebelt. Es wäre interessant zu wissen, ob PG (oder SSM) vor so etwas schützen.

ntl

[Gast_IRON_*]

Ohne jetzt die QUALITÄT des ProcessGuards kritisieren zu können oder zu wollen....
Es ist doch etwas bizarr und schizophren:
Man kauft sich als ahnungsloser Normal-User, der weder Peil hat noch Peil haben will eine Desktopfirewall, die den PC "sicherer" machen soll, stellt dann früher oder später fest, dass das so richtig nicht klappen will, weil man wohl doch zuviele Dienste nach außen anbot und Malware installierte (Dank an IE, Outlook und Filesharing+CDs von Freunden), kauft sich zusätzlich einen Virenscanner oder nimmt nen kostenlosen - egal, um wenig später festzustellen, dass auch DER nicht zuverlässig ist und nun, wo das Fass am Überlaufen ist und man eigentlich vom PC und Internet nach vielfachen Neuinstallationen und Virenbereinigungen aber so richtig die Schnauze voll hat, hört man vom ProcessGuard. Der soll die Schutzprogramme schützen. Ja Halleluja!!!!
Die Rettung ist nah... ROFL.

[Gast_Nautilus_*]

Iron,

ich denke, man muss sich einfach von der Theorie der binären Sicherheit (sicher = JA oder NEIN) verabschieden und akzeptieren, dass Layered Security eben mehr Sicherheit bedeutet als nur ein Programm (AV oder Firewall) bzw. Brain Versionwasauchimmer.

Wenn man diesen Schritt mit mir geht, finde ich die Idee von PG bzw. SSM eigentlich nicht so absurd. Die Alternative heisst Palladium/DRM/usw. ...

Der Beitrag wurde von Nautilus bearbeitet: 30.11.2003, 00:35

[JoJo]

Ich spreche gerade mit Seltsam per Mail über ein Tool, dass die Windows File Protection dynamisch aushebelt.

öhm meinst du das von Aphex ? Dieser soll ja sowas gemacht haben.

Und naja irgendwie haben die da wohl was vergessen oder ist das nun ein neues feature ? Die dat Datei welche die Infos der zu schützenden Dateien beinhaltet ist nun ohne Probleme leßbar. Gut ok auf diese Datei wird jede Sekunde zugegriffen, aber so ganz pralle ist es nicht. Wenigstens etwas verschlüsseln hätten sie ja schon.

[Gast_Nautilus_*]

@JoJo Ja. Ich bezog mich auf den Aphex Source Code. Daneben gibt es noch weitere Möglichkeiten auf Patching-Basis. Ich interessiere mich gerade für das Thema, weil man ohne SFP ja statisch DLL Trojaner in den IE oder gar in die wsock32.dll injizieren kann.

Das mit der Dat-Datei klingt interessant. Schaue es mir auch gleich mal an ...

[Gast_Nautilus_*]

JoJo:

Ich habe folgendes gemacht ...

1. PG installiert und iexplore.exe geschützt.

2. Kopie von pguard.dat erstellt. Die Kopie pgad.dat genannt.

3. Die Kopie mit einem Texteditor so verändert, dass idexplore.exe geschützt wird.

4. Eine .bat Datei erstellt, die pgdat.dat auf pguard.dat kopiert.

5. Die .bat Datei in den Autostartordner verschoben.

6. Den PC neugestartet und festgestellt, dass PG nunmehr idexplore schützt.

Kannst das mal nachprüfen?

Gruss,

ntl

EDITED: Hab es selbst nochmal gecheckt. Funzte nur auf meiner VMWare machine. Auf dem richtigen Computer ging es nicht, da der Systemtreiber früher startet.

EDITED2: Weitere Erkenntnisse ...

1. Man sollte keine nicht existierende Datei wie idexplore.exe in pguard.dat eintragen. Das kann es zu einem Crash führen. Blue Screen bei mir trotz WinXP.

2. Wenn man die Datei im Safe Mode austauscht, funzt alles problemlos. Daraus schliesse ich, dass es sich nur um eine Timing-Frage handelt. Es kommt darauf an, ob der Austausch der pguard.dat Datei noch vor dem Start von PG erfolgt. Folglich muesste man mal ausprobieren, was passiert, wenn man die Batchdatei über RunServicesOnce startet (falls das überhaupt geht). IMHO wird RunServicesOnce beim Autostart zuerst abgearbeitet.

Der Beitrag wurde von Nautilus bearbeitet: 30.11.2003, 11:29

[JoJo]

Also ich habe es mal kurz über den Autostart Ordner (Startmenü) versucht, jedoch ohne Erfolg. Zugriff wurde verweigert. Kann sehr gut sein dass wie du schon erwähnt hast der PG recht früh gestartet wird. man müßte also einen Autostartplatz finden bei dem das klappt und sollte dies bei dir Natilus bei beim wiederholten male immer wieder funktionieren habe die LEute von DCS wohl etwas vergessen, aber bestimmtkommt dann "wir wissen über diese Problem bescheid, kommt in die nächst build rein"

[SkeeveDCD]

Ich spreche gerade mit Seltsam per Mail über ein Tool, dass die Windows File Protection dynamisch aushebelt. Es wäre interessant zu wissen, ob PG (oder SSM) vor so etwas schützen.

Die Windows File Protection kann man per API ganz normal aus- und einschalten. Ist zwar etwas umständlich, aber mich wundert warum das noch keine Malware macht.

[Gast_Nautilus_*]

@Skeeve Was passiert denn, wenn man sie danach wieder anschaltet? Wird dann nicht anhand der Hash-Tabelle erkannt, dass eines der geschützten Files sich verändert hat?

[SkeeveDCD]

Nein, man kann den Schutz gesamt ein- und ausschalten (dabei wird dann der gesamte Hash neu berechnet) oder auch den Schutz für einzelne Files konfigurieren. Das Interface der API ist wieder einmal typisches Microsoft-Chaos, ich denke mal deswegen benutzt auch noch keiner diese API.

Oder kennt jemand ein Antiviren-Programm das korrekt an der SFP vorbei reinigen kann?

[Gast_vampire_*]

Die Windows File Protection kann man per API ganz normal aus- und einschalten. Ist zwar etwas umständlich, aber mich wundert warum das noch keine Malware macht.

wird von 2 programmierern zur zeit umgesetzt, beide sagen das selbe: ein wunder, daß das noch keiner gemacht hat...

[Gast_IRON_*]

ich denke, man muss sich einfach von der Theorie der binären Sicherheit (sicher = JA oder NEIN) verabschieden

Adieu binäre Sicherheit? Och nö....
Die Sache ist so simpel, dass all die Coder irgendwelcher Tools das einfach nicht kapieren wollen, weil es ihrem gesamten Denken (Ein Bit geht noch...ein Bit geht noch rein) widerspricht.
Entweder ich kann unter ALLEN Umständen GARANTIEREN, dass eine Malware es nicht schafft, einen Prozess zu kicken oder ich kann es NICHT.

Mal abgesehen davon, dass du wohl kaum leugnen kannst, dass dieser oder jeder andere Wächter, da er eine von Menschen gemachte Software ist, auch Fehler enthalten kann (und wird), ist ein solcher Wächter eine Vergrößerung der Codebasis auf dem zu schützenden System.
Folglich wird das System nach der Installation dieses Wächters auf keinen Fall WENIGER, sondern hächstens gleich viele, wahrscheinlich aber MEHR Fehler enthalten.
Eine größere Codebasis ist IMMER gleichbedeutend mit einer größeren Angriffsfläche und die Wahrscheinlichkeit, dass die einzeln betrachtet einwandfrei laufenden Anwendungen in ihrer Kombination zu unvorhergesehenen Problemen führen, ist ebenso offensichtlich und tägliche Realität. Das kannst du unmöglich leugnen. Es gibt da kein Aber.
Und nun der wichtigste Punkt: Das Userverhalten. Wie ändert es sich mit dem Wächter? Wird der User sich umsichtiger verhalten oder wird er eher leichtsinniger? Erfahrungsgemäß letzteres. Es findet eine Überkompensation statt und dem ist kein noch so gutes Schutzprogramm gewachsen

Und nein, die Alternative heißt Brain. War schon immer so. Wirst du nicht ändern.

[Gast_vampire_*]

Mal abgesehen davon, dass du wohl kaum leugnen kannst, dass dieser oder jeder andere Wächter, da er eine von Menschen gemachte Software ist, auch Fehler enthalten kann (und wird), ist ein solcher Wächter eine Vergrößerung der Codebasis auf dem zu schützenden System.
Folglich wird das System nach der Installation dieses Wächters auf keinen Fall WENIGER, sondern hächstens gleich viele, wahrscheinlich aber MEHR Fehler enthalten.
...
Und nein, die Alternative heißt Brain. War schon immer so. Wirst du nicht ändern.

soll das etwa heissen, daß man in zukunft auf die weitere entwicklung von security software verzichten MUSS, weil man damit nur das gegenteil erreicht???

wohl kaum...

und wieso gehört eigentlich soviel BRAIN dazu, sein system clean zu halten?
einfach vorsichtig sein bei der installation von software, das ist alles...

Der Beitrag wurde von vampire bearbeitet: 30.11.2003, 13:12

[Gast_IRON_*]

soll das etwa heissen, daß man in zukunft auf die weitere entwicklung von security software verzichten MUSS, weil man damit nur das gegenteil erreicht???

wohl kaum...

Richtig. Auch Blindenstöcke und Aspirin werden nach wie vor produziert. Ebenso Stoßfänger und Knieschoner.
Alles für ein eng definiertes Szenario.
Dummerweise kapiert das der User nicht und meint (bestärkt durch irreführende Werbung und großspurige Versprechen der Hersteller), dass die Programme Wundermittel seien und er nun unbeschwert und sicher surfen könne.
Die Leute installieren sich einen Virenscanner nicht, weil sie wissen, dass er Viren übersehen kann, sondern weil sie hoffen, dass er es nicht tun wird.
Sie installieren sich Desktopfirewalls nicht, weil sie wissen, dass die Dinger Malwareinstallationen erlauben, sondern weil sie hoffen, gegen böse Hackangriffe geschützt zu sein.
User werden sich den ProcessGuard nicht installieren, weil sie wissen, dass er nicht unfehlbar ist, sondern weil sie hoffen, dass er es nicht ist.
Merkst du was? Nee? Auch nicht schlimm.

und wieso gehört eigentlich soviel BRAIN dazu, sein system clean zu halten?
einfach vorsichtig sein bei der installation von software, das ist alles...

Eben. Sag ich doch. Brain.

[Gast_Nautilus_*]

Warum gehen eigentlich alle davon aus, dass die Software "Brain" fehlerlos funktioniert? Mir sind da schon einige Exemplare untergekommen, die ziemlich verbugged waren ... ;-)

[Gast_IRON_*]

Das ist schon richtig. Auch Brain macht Fehler. Aber Brain-Bugs lassen sich durch Lernen beheben. Selbstlernende Schutzprogramme haben so ihre Probleme, da sie ihre Fehlerkorrektur immer aus zweiter Hand bekommen.
Davon abgesehen arbeitet der Verstand oder genauer seine Heuristik (aka berechtigte Zweifel) besser als die von Schutzprogrammen.
Und bei den wenigen Millionen Exemplaren, wo selbst das nicht klappt, ist eh alles zu spät. Denen hilft nur noch PC-Abstinenz.