Традиционный антивирус с собственной базой сигнатур сверяет файлы с образцами в базе. Поведенческий анализ определяет вредоносные программы по характерным следам и активности. Anti-Executable использует гораздо более простое решение. Любая программа при отсутствии в белом списке не может быть запущена и точка! 5 версия приложения значительно упрощает взаимодействие с пользователем, но имеет несколько неординарных решений.
Давайте будем мыслить абстрактно и проведем аналогию антивируса со службой безопасности на входе в модный ночной клуб. Bitdefender Antivirus Plus 2014 защищает традиционным способом с помощью базы вирусных сигнатур – это все ровно что охранник со списком нежелательных гостей, которым запрещен вход в клуб. Технология SONAR, встроенная в Norton Antivirus 2013 и использующая эвристический анализ будет словно фейс-контроль, способный отличить респектабельных персон от основной толпы. Что же касается Anti-Executable, то это просто строгий охранник, который постоянно рычит: «Вас нет в списке».
Faronics также предлагает специализированную версию программы для серверов. Есть также специальная версия, разработанная исключительно для корпоративных пользователей. Но в основе всех версий лежит простой алгоритм блокирования всех программ, отсутствующих в списке.
Приступая к работе
Инсталляционный пакет Anti-Executable включает файл с документацией в формате.pdf. сайт рекомендует ознакомиться с файлом справки до установки программы. Там прекрасно объясняется, зачем нужно задать пароль администратора, пароль доверенного пользователя и активировать опцию «Включать файлы DLL при создании списка».
Процесс установки претерпел изменения по сравнению с предыдущей версией. Раньше можно было выбирать, должен ли Anti-Executable сканировать систему для автоматического добавления программ в белый список. Отказ от первоначального сканирования позволял оставить белый список пустым, т.е. любая программа блокировалась. Текущая версия всегда выполняет первичное сканирование.
Изначально Anti-Executable предполагает, что в системе отсутствуют вредоносные программы. Первоначальное сканирование добавляет каждую программу в белый список, независимо от ее потенциальной опасности. Для максимальной защиты советуем сперва просканировать систему бесплатными специализированными утилитами, например: Malwarebytes Anti-Malware , Comodo Cleaning Essentials или Norton Power Eraser .
При включении в сканирование библиотек DLL можно защититься от вредоносного кода в специальных объектах, например браузерных плагинах, которые не запускается с.exe файла. Модно также включить сканирование файлов JAR, т.е. апплетов и приложений на Java. Теоретически, увеличение типов файлов должно сказаться на производительности, однако при тестировании никакой разницы не было замечено.
Список управления запуском программ
Предыдущие версии содержали белый список и черный список, в новом Anti-Executable вместо этого появился единый список управления запуском. Как уже отмечалось, приложение автоматически добавляет в белый список все исполняемые файлы, которые она находит при сканировании. Пользователь в любой момент может просмотреть список и добавить специфическую программу в случае необходимости. Не уверены в безопасности файла? Прямо из окна списка можно запустить поиск Google или найти программу в базе данных Faronics.
При добавлении DLL файлов в сканирование, нужно обновить список. В противном случае, при запуске надежного исполняемого файла будут выведено несколько десятков сообщений о заблокированных DLL библиотеках, используемых этой программой. Просто нажмите кнопку «Добавить», выберите соответствующие диски и запустите сканирование. Пользователь может сканировать отдельные папки, разрешать и блокировать все найденные объекты в папке или в этой папке и во всех вложенных диреториях.
Можно пометить любой исполняемый файл в списке как надежный. Это означает, что данная программа может запускать другие исполняемые файлы, даже отсутствующие в белом списке. Данная опция может быть опасной. Изменяйте статус программ на надежные, только если вы действительно знаете, что делаете.
Можно добавлять файлы в белый список в зависимости от издателя. Просто выберите опцию «Показать издателя» и запустите сканирование. Favronics успешно разблокирует программу издателя, только если она не была заблокирована вручную пользователем. Эта версия также предоставляет точный контроль над процедурой внесения программ в белый список на основе издателя. Чаще всего, пользователи добавляют в белый список все файлы, подписанные конкретным издателем. Теперь вносить в список можно по категории имени продукта, имени файла и даже по специфическим версиям файла. Для домашних пользователей эта опция не очень популярная, самая большая востребованность определенно у корпоративных пользователей.
Типы пользователей
По умолчанию учетная запись, с которой выполняется установка Anti-Executable используется в качестве аккаунта администратора и имеет доступ ко всем настройкам программы. Среди доступных параметров: редактирование списка управления запуском, настройка аккаунтов других пользователей и контроль доступа в режим временного выполнения.
Когда вы используете другой аккаунт доверенного пользователя, вы по-прежнему можете редактировать список, разрешать и блокировать запуск отдельных программ, но выполнение серьезных изменений в конфигурации Anti-Executable невозможно. Вкладка с информацией о часто блокируемых программах доступна только администраторам и доверенным пользователям.
Добавление других аккаунтов может вызвать затруднение у среднестатистического пользователя, особенно если он не знаком с системной политикой «Выбор пользователей и групп». Нужно ввести название, потом пройти проверку на правильность, а затем появляется довольно массивное окно с расширенными настройками.
Различия между доверенным пользователем и администратором заключается в одной из галочек в соответствующем поле. Anti-Executable не оповещает об отмене привилегий администратора. Единственным способом восстановить полный доступ к программе станет загрузка в учетной записи администратора Windows, поэтому будьте внимательны.
Anti-Executable в действии
После установки программы в браузере Firefox было запущено обновление. После его завершения, когда браузер попытался запуститься, Anti-Executable вывел оповещение «Действие нарушает допустимую политику» («This action violates the acceptable use policy») с логотипом стилизованного охранника от Favronics. Выведенный диалог содержит кнопки «разрешить» и «отклонить» с флажком запоминания действия и записи в список управления.
Для того чтобы любой выбор вступил в силу нужно ввести пароль администратора. Firefox не является единичным исполняемым файлом, поэтому пароль пришлось вводить несколько раз для включения в список разрешенных файлов библиотек DLL (отслеживание файлов DLL было активно).
Доверенные пользователи имеют те же права для блокирования или разрешения запуска неизвестных программ. Другие пользователи не получают никакого выбора. Если программы нет в списке, она не будет работать. Для бизнес нужд может потребоваться изменение сообщения уведомления. Вы можете установить логотип своей компании и настроить сообщение, указав свои контактные данные, например.
Anti-Executable очень эффективен в блокировании новых вредоносных программ. При тестировании не нашлось способа обойти блокировку программы. К сожалению, вредоносные программы, уже установленные в системе до Anti-Executable были занесены в белый список со всеми остальными приложениями.
Режимы работы
Администратор может перевести Anti-Executable в срытый режим работы (Stealth Mode) . Можно убрать иконку программы из системного трея и отключить уведомления. Обычный пользователь просто не сможет запустить несанкционированные программы. Администратор сможет открыть консоль управления с помощью секретной комбинации. Для бизнес целей нужно будет создать список управления на чистой системе, а затем экспортировать его на другие машины. Этот режим служит для ограничения запуска программ для сотрудников организации.
Режим временного выполнения (Temporary Execution Mode) позволяет запускать любую программу, которая не была заблокирована вручную администратором. Просто кликните по иконке программы в трее и задайте интервал нахождения в данном режиме. За три минуты до окончания выводится сообщение, поэтому можно продлить время в случае необходимости.
По умолчанию только администратор может запускать режим временного выполнения, но можно расширить эту опцию для доверенных пользователей и даже для пользователей. Имейте в виду, что если вы установите или обновите какую-либо программу в этом режиме, нужно будет запустить новое сканирование для ее добавления в белый список при переходе в обычный режим. Будем надеяться, что вы не установите троян при работе режима временного выполнения.
Режим обслуживания (Maintenance Mode) используется, когда вы делаете большие системные изменения, например обновление Windows или установка новых программ. Все исполняемые файлы при запуске в данном режиме добавляются в белый список, включая ошибочно запущенные вредоносные программы. Anti-Executable будет регулярно выводить оповещения об активности режима обслуживания.
Реализация переключения в режим обслуживания очень спорная. При переключении с режима обслуживания на обычный режим программа завершает добавление программ в список управления запуском. При переходе с режима обслуживание в режим отключенной защиты Anti-Executable отменяет все изменения в списке, т.е. все, что вы добавили во время работы режима не будет содержаться в белом списке.
Для работы требуются знания
Концепция Anti-Executable проста – блокируются все программы, если они отсутствуют в белом списке. Реализация этой идеи с различными типами пользователей и режимами работы не является очень простой. Это не самое лучшее решение для домашних ПК. Вы бы хотели каждый раз заходить через учетную запись администратора, кода дети устанавливают новую игру?
Самым главным применением Anti-Executable являются компьютеры для малого бизнеса. Программы на офисных компьютерах меняются не часто, и сотрудники не должны запускать любые программы. Безусловно, программа предотвращает запуск вредоносного ПО (как впрочем, и всех новых программ), поэтому стоит потратить необходимое время для ее настройки.
Обзор Anti-Executable:
Достоинства
Предотвращает выполнение любого вредоносного ПО;
- Автоматически добавляет в список разрешенных программ установленные приложения;
- Может добавлять в белый список, основываясь на цифровой подписи издателя;
- Администратор может расширить ограниченный набор опции для конкретных пользователей;
- Может работать в скрытом режиме;
- Возможна индивидуальная настройка оповещений с пользовательским логотипом и текстом сообщения;
- Режим обслуживания позволяет выполнять важные системные изменения, например обновление Windows.
Недостатки
Предотвращает выполнение некоторых надежных программ;
- Автоматически добавляет в белый список все установленные программы, включая вредоносные;
- Можно очень просто отключить права администратора;
- Странный интерфейс в режиме обслуживания.
Общая оценка
Anti-Executable блокирует выполнение любой программы, которая не содержится в белом списке. Приложение определенно предотвратит установку новых вредоносных программ, до тех пор пока пользователь по ошибке самостоятельно не переопределит блокировку. Как бы то ни было, для обычного пользователя управление такой защитой может оказаться тяжким трудом.
Главное окно ESET Endpoint Antivirus разделено на две основные части. Основное окно справа содержит информацию, относящуюся к параметру, выбранному в главном меню слева.
Ниже описаны пункты главного меню.
Состояние защиты - этот пункт предоставляет информацию о состоянии защиты ESET Endpoint Antivirus.
Сканирование компьютера - этот параметр позволяет настроить и запустить сканирование Smart, выборочное сканирование и сканирование съемных носителей. Также можно повторно запустить последнюю операцию сканирования.
Обновление - отображение информации о базе данных сигнатур вирусов.
Настройка - настройка параметров безопасности компьютера Интернета и электронной почты.
Служебные программы - доступ к файлам журнала, статистике защиты, программам мониторинга, запущенным процессам, планировщику, карантину, ESET SysInspector и ESET SysRescue для создания компакт-диска аварийного восстановления. Также можно отправить образец на анализ.
Справка и поддержка : доступ к файлам справки, базе знаний ESET и веб-сайту компании ESET. Также доступны ссылки на форму запроса в службу поддержки клиентов, средства поддержки и информацию об активации продукта.
Окно Состояние защиты информирует пользователя об уровне безопасности и текущем уровне защиты компьютера. Зеленый значок Максимальная защита означает, что обеспечивается максимальная степень защиты.
Действия, которые следует выполнить, если программа не работает надлежащим образом
Зеленая галочка отображается рядом со всеми программными модулями, которые полноценно функционируют. Красный восклицательный знак или оранжевый значок уведомления отображается, если модуль требует внимания. В верхней части окна выводятся дополнительные сведения о модуле, включая нашу рекомендацию о том, как восстановить полную функциональность. Для того чтобы изменить состояние модуля, выберите в главном меню пункт Настройка и щелкните нужный модуль.
Красный восклицательный знак (!) указывает, что максимальная степень защиты компьютера не обеспечивается. Этот тип уведомления может наблюдаться в следующих сценариях:
Оранжевый знак «i» указывает на то, что продукт ESET требует вашего внимания в связи с некритичной проблемой. Ниже указаны возможные причины.
Если предложенные решения не позволяют устранить проблему, выберите пункт Справка и поддержка и просмотрите файлы справки или поищите нужную информацию в базе знаний ESET . Если вам по-прежнему нужна помощь, отправьте свой запрос в службу поддержки клиентов ESET. Ее специалисты оперативно ответят на ваши вопросы и помогут найти решение.
Иногда ошибки antistealth(1).exe и другие системные ошибки EXE могут быть связаны с проблемами в реестре Windows. Несколько программ может использовать файл antistealth(1).exe, но когда эти программы удалены или изменены, иногда остаются "осиротевшие" (ошибочные) записи реестра EXE.
В принципе, это означает, что в то время как фактическая путь к файлу мог быть изменен, его неправильное бывшее расположение до сих пор записано в реестре Windows. Когда Windows пытается найти файл по этой некорректной ссылке (на расположение файлов на вашем компьютере), может возникнуть ошибка antistealth(1).exe. Кроме того, заражение вредоносным ПО могло повредить записи реестра, связанные с Third-Party Application. Таким образом, эти поврежденные записи реестра EXE необходимо исправить, чтобы устранить проблему в корне.
Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей antistealth(1).exe не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера!
В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как %%product%% (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с antistealth(1).exe. Используя очистку реестра , вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку antistealth(1).exe) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра может резко повысить скорость и производительность системы.
Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск.
Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с antistealth(1).exe (например, Third-Party Application):
- Нажмите на кнопку Начать .
- Введите "command " в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER !
- Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER .
- Будет выведено диалоговое окно для доступа.
- Нажмите Да .
- Черный ящик открывается мигающим курсором.
- Введите "regedit " и нажмите ENTER .
- В Редакторе реестра выберите ключ, связанный с antistealth(1).exe (например, Third-Party Application), для которого требуется создать резервную копию.
- В меню Файл выберите Экспорт .
- В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа Third-Party Application.
- В поле Имя файла введите название файла резервной копии, например "Third-Party Application резервная копия".
- Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь .
- Нажмите Сохранить .
- Файл будет сохранен с расширением.reg .
- Теперь у вас есть резервная копия записи реестра, связанной с antistealth(1).exe.
Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже.
Why does my Protection status icon turn red after installing Service Pack 2 for Microsoft Windows Vista or Windows Server 2008?Problem: The ESET icon next to the system clock turns red after installing Service Pack 2 for Windows Vista or Windows Server 2008.
Solution: Service Pack 2 for Microsoft Windows Vista and Windows Server 2008 can conflict with version 4.0 of ESET Smart Security and ESET NOD32 Antivirus. If you are running version 4.0 of either ESET Smart Security or ESET NOD32 Antivirus and have installed the latest update for Microsoft Windows Vista and Windows Server 2008, which includes Service Pack 2, you may be experiencing issues with your ESET security product.
An incompatibility between Service Pack 2 and the 4.0 versions of ESET Smart Security and ESET NOD32 Antivirus may prevent the proper functioning of real-time file-system protection. If your computer is experiencing this issue, the ESET icon next to the system clock will turn red, alerting you that maximum protection is not ensured. It may also notify you that your ESET security product needs to be reinstalled. However, reinstalling will not fix the issue. An update for version 4.0 ESET security products has been released and automatically distributed.
If you had previously disabled the Anti-Stealth and Self-defense options and/or enabled Test Mode to receive the update module, follow the steps below to restore your ESET security product"s settings:
Disable Test Mode
Enable Anti-Stealth and Self-defense
If you had previously disabled the Anti-Stealth and Self-defense options, re-enable them by following the steps below:
Перевод на русский!
Почему моя защита статуса значок красного после установки пакета обновления 2 для Microsoft Windows Vista или Windows Server 2008?
Проблема: ESET значок рядом с системными часами краснеет после установки пакета обновления 2 для Windows Vista или Windows Server 2008.
Решение: Service Pack 2 для Microsoft Windows Vista и Windows Server 2008 может привести к конфликту с версии 4.0 ESET Smart Security и ESET NOD32 Antivirus. Если вы используете версию 4.0 или ESET Smart Security и ESET NOD32 Antivirus и установлены последние обновления для Microsoft Windows Vista и Windows Server 2008, которая включает пакетом обновления 2, то могут возникнуть проблемы с вашей безопасности продуктов Eset.
Несовместимость с пакетом обновления 2 и 4.0 версии ESET Smart Security и ESET NOD32 Antivirus может помешать нормальному функционированию в режиме реального времени файловая система защиты. Если ваш компьютер не испытывают подобных проблем, ESET значок рядом с системными часами, станет красной, предупреждая вас, что максимальная защита не обеспечивается. Он может также уведомить Вас, что Ваш продукт ESET безопасности необходимо переустановить. Однако, переустановка не решат проблему. Обновление для версии 4.0 продуктов ESET безопасности был освобожден и автоматически распространяться.
Если ранее вы уже отключили Anti-Stealth и самообороне ссылок и / или включить тестовый режим, чтобы получать обновления модуля, следуйте инструкциям ниже, чтобы восстановить ESET настройками безопасности продукта:
Отключить Тестовый режим
2.
Нажмите клавишу F5, чтобы открыть окно расширенной установки.
3.
Нажмите "Обновить" в дереве Расширенная установка и нажмите кнопку Setup ... , чтобы войти в расширенной установке обновления окна.
Рис. 1-1
4.
Снимите флажок Включить режим тестирования.
Рис. 1-2
5.
Нажмите кнопку ОК в окне Настройка обновления Дополнительно, чтобы подтвердить изменения.
ПРИМЕЧАНИЕ: испытание модулей, которые вы загрузили в то время в тестовом режиме, могут быть заменены опубликованного модулей во время последующего обновления база данных сигнатур вирусов.
Включите Anti-Stealth и самообороны
Если ранее вы уже отключили Anti-Stealth и самообороне варианты, снова включить их, выполните следующие действия:
Откройте главное окно программы, щелкнув ESET значок рядом с
системными часами или нажав кнопку Пуск → Все программы → → ESET ESET
Smart Security и ESET NOD32 Antivirus.
2.
Нажмите клавишу F5, чтобы войти в окно Расширенная
установка, а затем из дерева Расширенная установка, нажмите
антивирусные и антишпионские.
3.
Выберите следующие два варианта право:
Включите Anti-Stealth технологий
Включить самозащиту
Нажмите кнопку ОК в поп-Setup-окно и снова ОК, чтобы закрыть окно Advanced Setup.
4.
Перезагрузите компьютер.
