Esistono strumenti che possono richiedere all'utente ogni volta che un eseguibile utilizza le funzioni di sistema?

Naviga le tue risposte
0

Come programmatore, non utilizzo programmi antivirus per una semplice ragione: ho scoperto che i virus vengono rilevati solo dopo che l'eseguibile o una sua parte sono stati esplicitamente inseriti nella blacklist dallo sviluppatore antivirus.

Almeno è così che l'ho vissuto. Quando scrivo un semplice e stupido programma malevolo, nessun programma anti-virus sembra bloccarlo ...

Ora mi chiedo se ci sono strumenti che possono semplicemente posizionarsi come un altro livello sopra l'API del sistema operativo. E consentire all'utente di creare una whitelist di quale funzione può accedere ogni eseguibile. Sarebbe anche bello avere un pop-up ogni volta che viene chiamata una nuova funzione, rivelando gli argomenti passati che chiedono all'utente se vuole concedere / negare l'accesso.

Così potrei ad esempio specificare quale voce di file / cartella / registro / processo può essere letta o modificata. E anche cose come quali dispositivi possono essere utilizzati, quali indirizzi IP possono essere comunicati con ecc.

So che esistono strumenti simili per Android (Xprivacy), ma sono curioso di sapere se esistono strumenti come questo per Windows, Linux e Mac OS X.

E mi piacerebbe anche sapere se esiste un termine tecnico per questo tipo di strumento, poiché non penso che rientrerebbe pienamente nella categoria "programma antivirus" o "firewall".

    
posta Forivin 22.11.2016 - 11:05
fonte

4 risposte

1

Prima di tutto, il software antivirus non utilizza solo un database delle firme di file completi o parziali.

Questo software utilizza anche il rilevamento comportamentale per proteggere da malware sconosciuto / zero-day, ad esempio monitorando le aree a cui sta tentando di accedere o quali file sta tentando di modificare.

La protezione comportamentale è già inclusa nei popolari prodotti antivirus di base: non è necessario ottenere un pacchetto esteso di sicurezza Internet per questo.

Questo è il motivo per cui ci sono falsi positivi di tanto in tanto - più ce ne sono, più rozzo è il tuning del motore antivirus.

La maggior parte di ciò che stai cercando esiste già in alcuni prodotti, in parte o tutti insieme:

  • Un firewall per monitorare il traffico web con le opzioni di elenco in bianco
  • Protezione estesa e gestione dei permessi per specifici file / cartelle o aree del tuo computer.

Ecco un esempio della funzione di protezione ransomware di Bitdefender, che fornisce protezione all'avvio per cartelle specifiche, che tu stesso selezioni:

Fonte immagine: recensione di Bitdefender

In secondo luogo, una rapida ricerca su google mi ha portato a un piccolo programma chiamato WinPatrol che sembra abbastanza legittimo guardando alcuni forum e recensioni:

WinPatrol is available in a free version, which offers a handful of ways to monitor just what's going on on your PC. You can see a list of startup programs, which you can choose to disable or delay. You also can see a list of recently used programs, hidden files, file types by associated program, active tasks and services, and much more.

Fonte: PC World

It gives you the opportunity to stop something that you don't want running. It gives you the opportunity to investigate what is running and check it you really need it. It's one little pet that I've relied on since Windows 95

Fonte: forum Avast

Dai un'occhiata, questo potrebbe essere qualcosa che troverai utile come aggiunta a una protezione antivirus attiva.

Disclaimer di affiliazione: non sono affiliato con WinPatrol in alcun modo, ma lavoro per il sito di recensioni di antivirus da cui ho scattato l'immagine.

    
risposta data 04.12.2016 - 14:07
fonte
1

Questo tipo di programma è chiamato firewall dell'applicazione :

An application firewall is a form of firewall that controls input, output, and/or access from, to, or by an application or service. It operates by monitoring and potentially blocking the input, output, or system service calls that do not meet the configured policy of the firewall.

Sì, ci sono implementazioni di questo per tutti i principali sistemi operativi. Ad esempio, AppArmor è un modulo di sicurezza del kernel di Linux che consente agli sviluppatori di app o al packager di scrivere profili per un'applicazione. Tuttavia, questo tipo di strumento è generalmente considerato troppo difficile per la maggior parte degli utenti finali per generare un profilo. Di conseguenza, la maggior parte delle volte, il profilo AppArmor viene scritto da packager o dallo sviluppatore dell'app anziché dagli utenti finali. Il problema con questo strumento è che anche in applicazioni semplici ci sarebbero molti falsi positivi e di solito hai bisogno di una profonda conoscenza dell'applicazione interna per capire cosa è e cosa non è accettabile.

Molti prodotti antivirus hanno anche rilevamenti comportamentali, che di solito vanno sotto il nome di analisi euristica o analisi comportamentale. Si noti che per far funzionare molte parti del motore euristico / comportamentale è necessario eseguire il programma, quindi gli antivirus online come virustotal in genere potrebbero non rilevarli. I rilevamenti comportamentali sono solitamente sintonizzati per rilevare il malware che tenta di nascondersi nei file di sistema, ottenere privilegi o fare altre cose che distruggono l'integrità del sistema, malware che funziona interamente da userspace come Ransomware sono generalmente molto più difficili da rilevare con analisi comportamentali senza produrre lotti di falsi positivi.

    
risposta data 03.02.2017 - 00:49
fonte
0

Glasswire include alcune (ma anche più) delle funzionalità che stai richiedendo (con versioni gratuite, nagware e full-commerciali):

HMPA (Hitman Pro Alert) è un'altra soluzione commerciale, di proprietà di Sophos (uno dei migliori EPP visti nel Gartner MQ di febbraio 2017) - link

O per un altro concorrente, controlla - link

Quanto sopra bloccherà semplicemente le connessioni di rete o l'accesso a webcam e microfoni (ma verranno chiesti per primi, e non necessariamente bloccati a livello di processo). Per bloccare ogni processo, prova - link - o - link - o anche - link

    
risposta data 03.02.2017 - 03:46
fonte
-1

Se stai usando Windows XP (32-bit), il vecchio progetto WinPooch potrebbe essere la tua risposta.

link

    
risposta data 03.02.2017 - 02:06
fonte

Leggi altre domande sui tag

Tutorial Protezione video su un tablet Quando si utilizza un tunnel SSH il server risolve i nomi di dominio o viene ancora eseguito tramite il server ISP / DNS sul router?