Windows 7 и вредоносные программы (вири/трояны/черви etc).

← →
Anatoly Podgoretsky © (2009-11-06 20:00) [40]

> TUser (06.11.2009 17:30:39) [39]

Да почти никакого усложнения нет, а рядовой пользователь возможно никогда не столкнется.
Если включил, то не отключать, особенно важно на этапе начальной настройке системы, некоторые программы могут не заработать, потребуется деинсталяция и повторная инсталяция, из-за виртуализации некоторых программ, я на одну нарвался.

UAC - он не для усложнения жизни, а для ее сбережения.

← →
test © (2009-11-06 21:35) [41]

Anatoly Podgoretsky © (06.11.09 20:00) [40]
Наверно очень удобно выполнена если все ее отключают.

← →
Anatoly Podgoretsky © (2009-11-07 00:26) [42]

> test (06.11.2009 21:35:41) [41]

Не говори за всех

← →
Плохиш © (2009-11-07 01:02) [43]

> Не говори за всех

Так они ж "николай второй"...

← →
Копир © (2009-11-07 02:08) [44]

Cемейство Windows после ХР - все вырожденцы.
Мужчине за 45 нельзя иметь детей. Слишком высока вероятность
появления монголоидного идиота (т.н. болезнь Дауна).

Билл Гейтс родился в 1955 г.

← →
Rouse_ © (2009-11-07 02:09) [45]

> Дмитрий Белькевич (05.11.09 16:35)
> Как вы думаете - сможет ли семёрка существенно ограничить
> количество создаваемых, и хождение уже имеющихся?

Если чесно, то я даже теоретически не вижу как это возможно.
От пионерии вероятно чего-то там они защитили.
DEP опять не делает что задумывалось, UAC - вообще что-то не понятное. Дровина свежевыданная и неподписанная после минимального шаманства почемуто вольготно села в ноль. Со шлюзом с третьего кольца повозиться пришлось (sysenter/int2e теперь делается через джамп в виртуалку, адрес коего вынесли через зарезервированный ранее FS:[0xC0]) так ша ничего "такого" абсолютно не замечено...

← →
Rouse_ © (2009-11-07 02:16) [46]

Ах да, пардон - шлюз это я уже на 64 битах тестил, на 32-ух все по прежнему осталось.

← →
Inovet © (2009-11-07 02:37) [47]

> [45] Rouse_ © (07.11.09 02:09)
> Дровина свежевыданная и неподписанная после минимального
> шаманства почемуто вольготно села в ноль.

Дровина - это драйвер, видимо. А разве можно на этом уровне как-то устроить защиту системы или я тебя не понял?

← →
Rouse_ © (2009-11-07 02:42) [48]

> Inovet © (07.11.09 02:37) [47]
> Дровина - это драйвер, видимо. А разве можно на этом уровне
> как-то устроить защиту системы или я тебя не понял?

Ну обойти защиту в семерке можно прямым патчем ядра.
Тут есть нюанс: ядро пропатчить ты сможешь только из нулевого кольца - значит нужно как-то туда попасть. Попасть туда ты можешь через драйвер (кстати никак не пойму почему используются только два кольца защиты?), ну а если у тебя есть возможность загрузить свой неподписанный драйвер - значит ты можешь сделать все :)

← →
Rouse_ © (2009-11-07 02:48) [49]

Кстати есть еще один тонкий нюанс, но я еще не прокачал свои знания до него - есть возможность пустить процессор в режиме эмуляции. Очень забавная вещь, если я правильно все понял из интеловских мануалов, то есть шанс сесть ниже даж ядра... Но пока что рано мне еще, как дорасту до такого - расскажу :)

← →
Inovet © (2009-11-07 02:50) [50]

> [48] Rouse_ © (07.11.09 02:42)
> ну а если у тебя есть возможность
> загрузить свой неподписанный драйвер - значит ты можешь
> сделать все :)

Вот - осознанно или не очень но пользователь должен согласиться на загрузку драйвера.

> кстати никак не пойму почему используются только два кольца
> защиты?

Я как раз вторым вопросом это хотел спросить у тебя. Слышал когда-то версию, что для совместимости с процессорами с двумя кольцами.

← →
Inovet © (2009-11-07 02:51) [51]

> [49] Rouse_ © (07.11.09 02:48)
> если я правильно все понял из интеловских мануалов, то есть
> шанс сесть ниже даж ядра... Но пока что рано мне еще, как
> дорасту до такого - расскажу :)

Интересно.

← →
Германн © (2009-11-07 02:54) [52]

> Rouse_ ©

Учитесь защищать свои программы! Тогда вы сможете (при наличии достаточной "базовой" квалификации) ломать чужие программы!
:)))

← →
Rouse_ © (2009-11-07 02:59) [53]

> Вот - осознанно или не очень но пользователь должен согласиться
> на загрузку драйвера.

В данном случае да - т.е. возможность загрузки драйвера из вне мне пока что не известна.

> Я как раз вторым вопросом это хотел спросить у тебя. Слышал
> когда-то версию, что для совместимости с процессорами с
> двумя кольцами.

Вот тут хорошо про это описано: http://frolov-lib.ru/books/bsp/v06/ch1_3.htm

← →
Rouse_ © (2009-11-07 03:02) [54]

> Германн © (07.11.09 02:54) [52]
>
>
> > Rouse_ ©
>
> Учитесь защищать свои программы! Тогда вы сможете (при наличии
> достаточной "базовой" квалификации) ломать чужие программы!
>
> :)))

С точностью до наоборот :) Сложно самостоятельно сложить оригами, не подсмотрев рецепт у более знающего товарища :)

← →
Inovet © (2009-11-07 03:07) [55]

> [53] Rouse_ © (07.11.09 02:59)
> > Я как раз вторым вопросом это хотел спросить у тебя. Слышал когда-то версию, что для совместимости с процессорами с двумя кольцами.
>
> Вот тут хорошо про это описано: http://frolov-lib.ru/books/bsp/v06/ch1_3.htm

Спасибо. Бегло глянул - не увидел о причинах неиспользования всех 4-х колец - сейчас внимателнее почитаю.

← →
Rouse_ © (2009-11-07 03:11) [56]

А их и нет - причин этих, поэтому мне самому удивительно, почему всего два? :)

← →
Inovet © (2009-11-07 03:16) [57]

> [56] Rouse_ © (07.11.09 03:11)
> А их и нет - причин этих, поэтому мне самому удивительно,
> почему всего два? :)

Если я сейчас не совру что-нибудь, ранние версии WinNT выпускались и для других процессоров Alfa, а у них 2 кольца, потому и для Intel такая схема для совместимости архитектуры была принята.

← →
Суслик_ (2009-11-07 03:17) [58]

> А их и нет - причин этих, поэтому мне самому удивительно,
> почему всего два? :)

Рихтер вроде где-то про это писать. Вспомнить бы где )

← →
Rouse_ © (2009-11-07 03:18) [59]

Я помню что кто-то из наших "суровых системшиков" (кто-то из трех - Игорь Шевченко, Леонид Трояновский или Александр Шарахов) давал обьяснение на эту тему, но не не могу найти уже эту ссылку

← →
Inovet © (2009-11-07 03:24) [60]

> [57] Inovet © (07.11.09 03:16)
> потому и для Intel такая схема для совместимости архитектуры
> была принята.

Ну и ещё что-то смутное вычитанное припоминаю, Инета тогда не было для раскопок, что 4-е кольца вроде и не 4-е совсем.

← →
Inovet © (2009-11-07 03:25) [61]

> [59] Rouse_ © (07.11.09 03:18)
> Я помню что кто-то из наших "суровых системшиков" (кто-то
> из трех - Игорь Шевченко, Леонид Трояновский или Александр
> Шарахов) давал обьяснение на эту тему, но не не могу найти
> уже эту ссылку

Ну тогда надо их подождать.:)

← →
Дмитрий Белькевич (2009-11-07 03:43) [62]

Оставим нулевое кольцо пока в покое :) Третее - треетее хотя бы защитить :)

Насколько я помню описание колец, то особенного толку от четырёх всё равно нет - первое и второе - просто "размазанные" по ограничениям между нулевым и третьим. Новых фич там всё равно нет.

Хотя могу ошибаться, и, возможно, добавение еще одного кольца улучшило бы защиту. Например: 0 - исключительно подписанные, 1-2 - любые драйвера, 3 - кольцо юзера.

То, что всё еще ставятся неподписанные драйвера - это, конечно, очередной фэйл.

← →
Anatoly Podgoretsky © (2009-11-07 11:34) [63]

> Rouse_ (07.11.2009 02:48:49) [49]

На -1 уровень

← →
Anatoly Podgoretsky © (2009-11-07 11:36) [64]

> Inovet (07.11.2009 02:50:50) [50]

Вообще то проскальзывали сведенья, про первый уровень тоже использовался для драйверов. Документально не могу подтвердить, давно читал, но от людей которым безоговорочно доверяю, типа Руссиновича.

← →
test © (2009-11-07 21:10) [65]

Anatoly Podgoretsky © (07.11.09 00:26) [42]
Плохиш © (07.11.09 01:02) [43]

Читал/слышал много мнений что UAC надо отрубать к чертовой матери, наверное очень удобно реализовано...

Так лучше?

← →
Anatoly Podgoretsky © (2009-11-07 21:49) [66]

> test (07.11.2009 21:10:05) [65]

Нормально и удобно, но против менталитета.

← →
boa_kaa © (2009-11-08 00:23) [67]

> test © (07.11.09 21:10) [65]
> Читал/слышал много мнений что UAC надо отрубать к чертовой
> матери, наверное очень удобно реализовано...

от вирусописателей?

← →
atruhin © (2009-11-08 10:44) [68]

С UAC было почти невозможно работать в Висте без SP.
Сейчас в Windows 7 включен, задает вопросы только при установке ПО, т.е. не мешает.
Насколько в UAC есть, отдельный вопрос, т.к. если пользователь скачал вирь (crack, кодек и т.п.),
он его хоть с UAC хоть без запустит, и права админа даст. И с эти ничего не сделать до тех пор пока для установки пользовательского ПО,
будут нужны права администратора.
Вообще борьба Microsoft с вирями/вредоносным ПО по моему больше на словах, я думаю не без влияния экономических причин.
Обосную мысль:
1. Не понятно (кроме совместимости со старым ПО) почему Microsoft не реализут механизм, чтобы ПО пользовательского уровня, не могло вообще
влиять на систему. Установил систему, настроил, и забыл пароль админа, пока не нужно добавлять оборудование.
2. Система автозапуска это отдельная песня! Ну зачем предусматривать в системе кучу мест откуда можно автоматически запускать левое ПО.
До сих пор борясь на словах с вирусами, нет единого места контроля автозапускаемых программ, и их отключения, ну неужели сложно сделать?
3. Не давно пытался настроить безопасность сетевых шар в рабочей группе. Фиг там. Хотя что мешает встроить поддежку например WebDAV вместо древнего NetBios.
Либо осуществлять авторизацию по сертификатам?
Вобщем что то тут не то :(

Насколько в UAC есть -> Насколько в UAC есть смысл.

> atruhin (08.11.2009 10:44:08) [68]

При чем тут UAC, он же честно спросит "Вы ли это запустили или нет", затем предложит повысить полномочии, ни как он не спасет от запуска вредоностного ПО, но зато спасет от тех же действий вирусом.
Остальные мысли даже комментировать не хочется.

> почему всего два? :)

А нафиг больше ?

Интел много чего придумал в архитектуре, но интел не единственный производитель железок в мире. Был бы единственным, было бы (возможно) больше колец, а большинство железок обходятся двумя режимами - привилегированным и непривилегированным. С точки зрения затрат на программирование - зачем делать что-то лишнее, когда можно обойтись без лишнего, система заодно понадежнее будет.
Интел всегда отличается наворотами в архитектуре, возможно, исповедуя принцип "Огонь и движение".

Об уровнях защиты и прочих кольцах достаточно хорошо пишет Таненбаум в книге "Современные операционные системы".

> Rouse_ © (07.11.09 02:42) [48]

> (кстати никак не пойму почему используются только два кольца
> защиты?),

По тем же самым причинам, что и inline методов. А то пока всю матрешку безопасности пройдешь, уже и за пользователем не успеешь.
И если бы скорость удовлетворяла не стали бы придумывать syscall, sysenter.

> [74] oxffff © (08.11.09 22:21)
> А то пока всю матрешку безопасности пройдешь

Так матрёшка открывается сразу на любое кольцо.

> Inovet © (09.11.09 07:42) [75]
> > [74] oxffff © (08.11.09 22:21)
> > А то пока всю матрешку безопасности пройдешь
>
> Так матрёшка открывается сразу на любое кольцо.

И?

> [76] oxffff © (09.11.09 07:55)
>
> > Inovet © (09.11.09 07:42) [75]
> > > [74] oxffff © (08.11.09 22:21)
> > > А то пока всю матрешку безопасности пройдешь
> >
> > Так матрёшка открывается сразу на любое кольцо.
>
> И?

Затрат циклов нет по сравнению с другим кольцом, так вроде.

> Inovet © (09.11.09 09:21) [77]

Видимо мы говорим о разных вещах. Я о том, что межкольцовых вызовах происходят проверки RPL,CPL,DPL.

Поэтому вызов колец 3->2->1->0 будет дольше чем вызов 3->0.
А поскольку внутри 0 кольца есть обращения к другим драйверам, тогда вызов будет следующим 3->2->1->0<->2<->1<->0 и т.д до транзитивного замыкания.

>[49] Rouse_ © (2009-11-07 02:48:00)
VTX. скука скучная. есть режимы намного интересней.

>[56] Rouse_ © (2009-11-07 03:11:00)
в основном потому, что NT изначально для 386 не предназначалась.

>[62] Дмитрий Белькевич (2009-11-07 03:43:00)
>То, что всё еще ставятся неподписанные драйвера — это, конечно, очередной фэйл.
всегда поражаюсь подобным существам. «то, что до сих пор можно выходить из дому без разрешения от правительства — это, конечно, очередной фэйл. ведь так и преступник может выйти безконтрольно!» роисся, вперде, чо.

Windows 7 и вредоносные программы (вири/трояны/черви etc). Найти похожие ветки