Kontrola zapisu do registru XP
Firewall PCToolsFw+ mi hlasi pri spousteni nekterych programu zadost o zapisu do registru.
Kdyz to zakazu, program se spusti dal bez problemu. Chtel bych zjistit co za zapis tam ty programy chteji provest? Takto se da celkem vysledovat skodlivy kod, nebo trojani, malware atd, kdyz se to da podchytit. Jedna se vetsinou o utility, ktere dost pouzivam, konkretne manazery fontu, nebo jine graficke drobnosti. Existuje na to nejaky soft, ktery to umi vysledovat pred tim nez se ty zmeny provedou?
diky za tip
Petr
Kdyz to zakazu, program se spusti dal bez problemu. Chtel bych zjistit co za zapis tam ty programy chteji provest? Takto se da celkem vysledovat skodlivy kod, nebo trojani, malware atd, kdyz se to da podchytit. Jedna se vetsinou o utility, ktere dost pouzivam, konkretne manazery fontu, nebo jine graficke drobnosti. Existuje na to nejaky soft, ktery to umi vysledovat pred tim nez se ty zmeny provedou?
diky za tip
Petr
Do reristrů si programy zapisují běžně. Např nastavení programu, poslední otevřene soubory, pozici okna atd. Musíš umět rozeznat neškodné zápisy do registry od škodlivých. Zakázat všechny zápisy je nesmysl.
[quote=bluenite38;300177]Firewall PCToolsFw+ mi hlasi pri spousteni nekterych programu zadost o zapisu do registru.
....
Existuje na to nejaky soft, ktery to umi vysledovat pred tim nez se ty zmeny provedou?
diky za tip
Petr[/quote]
Že by třeba firewall PCToolsFw+ ? Případně comodo a jeho defense to taky umí (osobně to mám vypnutý protože mi to leze na nervy).
Jinak pro omezení možnosti zápisu do registru Local Machine je pro vyšší bezpečnost vhodné pracovat pod limitovaným uživatelem a ne pod účtem s administrátorským oprávněním (jenže zase druhá věc je, že množství blbě napsaných programů bez administrátorskýho přístupu nefunguje), dále lze nastavovat v regeditu i oprávnění, tj. např. zakázat zápis do klíčů software/microsoft/wndows/current version/run pod local machine i pod current user (což částečně omezí viru možnost se přidat do spuštění po startu, ale existují další místa který by bylo třeba taky zabezpečit, jako složky Po spuštění, a pokud je spuštěn pod admin účtem, i win.ini a celkově celý windows, kvůli možnosti náhrady systémových programů ... atd.).
Jinak obecně platí, že vyšší bezpečnost je vždy vykoupena snížením komfortu práce (např. při práci pod limitovaným účtem spouštění některých programů přes RunAs, vyskakování hlášek při provádění podezřelých akcí, nutnost častějšího zadávání složitějších bezpečnějších hesel, atd.).
....
Existuje na to nejaky soft, ktery to umi vysledovat pred tim nez se ty zmeny provedou?
diky za tip
Petr[/quote]
Že by třeba firewall PCToolsFw+ ? Případně comodo a jeho defense to taky umí (osobně to mám vypnutý protože mi to leze na nervy).
Jinak pro omezení možnosti zápisu do registru Local Machine je pro vyšší bezpečnost vhodné pracovat pod limitovaným uživatelem a ne pod účtem s administrátorským oprávněním (jenže zase druhá věc je, že množství blbě napsaných programů bez administrátorskýho přístupu nefunguje), dále lze nastavovat v regeditu i oprávnění, tj. např. zakázat zápis do klíčů software/microsoft/wndows/current version/run pod local machine i pod current user (což částečně omezí viru možnost se přidat do spuštění po startu, ale existují další místa který by bylo třeba taky zabezpečit, jako složky Po spuštění, a pokud je spuštěn pod admin účtem, i win.ini a celkově celý windows, kvůli možnosti náhrady systémových programů ... atd.).
Jinak obecně platí, že vyšší bezpečnost je vždy vykoupena snížením komfortu práce (např. při práci pod limitovaným účtem spouštění některých programů přes RunAs, vyskakování hlášek při provádění podezřelých akcí, nutnost častějšího zadávání složitějších bezpečnějších hesel, atd.).
[quote=mstejska;300210]Do reristrů si programy zapisují běžně. Např nastavení programu, poslední otevřene soubory, pozici okna atd. Musíš umět rozeznat neškodné zápisy do registry od škodlivých. Zakázat všechny zápisy je nesmysl.[/quote]
nejsem paranoik, abych zakazoval vsechno.
Mel jsem na mysli volbu ano/ne PRED zapisem, tak jak tady o tom informuje ten firewall. Tady ale nevim zas CO se tam zapisuje. Nechci se hrabat v textovych logech (lozich?) jenom nekdy na to kouknout.
nejsem paranoik, abych zakazoval vsechno.
Mel jsem na mysli volbu ano/ne PRED zapisem, tak jak tady o tom informuje ten firewall. Tady ale nevim zas CO se tam zapisuje. Nechci se hrabat v textovych logech (lozich?) jenom nekdy na to kouknout.
Do registru se, treba, zapisuje konfigurace firewallu. Jde tedy o neskodnou a nutnou vec. Pokud chces presne vedet co, pak je tu snadne reseni. Zazalohuj si cele 4 hlavni vetve registru (v regeditu das VSE) a ne jen vybranou vetev, pak zapis povolis a znovu vyexportujes regeditem VSE.
V Total Commanderu ci jinde das byte to byte compare a hned ti to vyhodi zmeny presne jak budou udelany. V registrech je desny brajgl, viz treba BRUTALNE mnou rucne procistena nVidia vetev:
Jo, jo... bugr :) Moje registry maji 9MB, jsem zvedav, kolik budou mit tve :D
V Total Commanderu ci jinde das byte to byte compare a hned ti to vyhodi zmeny presne jak budou udelany. V registrech je desny brajgl, viz treba BRUTALNE mnou rucne procistena nVidia vetev:
Jo, jo... bugr :) Moje registry maji 9MB, jsem zvedav, kolik budou mit tve :D
Zápisy do registru se dají monitorovat programem procmon od sysinternals
