¿Existen herramientas que pueden indicar al usuario cada vez que un ejecutable utiliza las funciones del sistema?

Navega tus respuestas
0

Como programador, no uso programas antivirus por una simple razón: descubrí que los virus solo se detectan una vez que el desarrollador del antivirus ha incluido explícitamente en la lista negra el ejecutable o una parte del mismo.

Al menos así es como lo experimenté. Cuando escribo un programa malicioso estúpido simple, no parece que ningún programa antivirus lo esté bloqueando ...

Ahora me pregunto si hay herramientas que puedan colocarse como otra capa encima de la API del sistema operativo. Y permita al usuario crear una lista blanca de la función a la que puede acceder cada ejecutable. También sería bueno obtener una ventana emergente cada vez que se llama una nueva función, revelando los argumentos pasados preguntando al usuario si desea otorgar o denegar el acceso.

Para poder, por ejemplo, especificar qué entrada de archivo / carpeta / registro / proceso se puede leer o modificar. Y también cosas como qué dispositivos se pueden usar, con qué direcciones IP se pueden comunicar, etc.

Sé que existen herramientas de este tipo para Android (Xprivacy), pero tengo curiosidad si existen herramientas como esta para Windows, Linux y Mac OS X.

Y también me gustaría saber si existe un término técnico para este tipo de herramienta, ya que no creo que caiga dentro de la categoría "programa antivirus" o "firewall".

    
pregunta Forivin 22.11.2016 - 11:05
fuente

4 respuestas

1

En primer lugar, el software antivirus no solo utiliza una base de datos de firmas de archivos completos o parciales.

Este software también utiliza la detección de comportamiento para protegerse contra el malware desconocido / de día cero, por ejemplo, al monitorear a qué áreas está tratando de acceder o a qué archivos está tratando de cambiar.

La protección de comportamiento ya está incluida en los populares productos antivirus básicos, no es necesario obtener un paquete de seguridad de Internet extendido para eso.

Esta es la razón por la que hay falsos positivos de vez en cuando: cuanto más hay, más crudamente está optimizado el motor antivirus.

La mayoría de lo que está buscando ya existe en algunos productos, en parte o todos juntos:

  • Un firewall para monitorear el tráfico web con opciones de listas blancas
  • Protección extendida y administración de permisos para archivos / carpetas o áreas específicas de su computadora.

Este es un ejemplo de la función de protección contra ransomware de Bitdefender, que brinda protección al inicio para carpetas específicas, que usted mismo selecciona:

Fuente de la imagen: revisión de Bitdefender

En segundo lugar, una rápida búsqueda en Google me llevó a un ingenioso programa llamado WinPatrol , que parece lo suficientemente legítimo en algunos foros y comentarios:

  

WinPatrol está disponible en una versión gratuita, que ofrece varias formas de monitorear lo que sucede en tu PC. Puede ver una lista de programas de inicio, que puede desactivar o retrasar. También puede ver una lista de programas utilizados recientemente, archivos ocultos, tipos de archivos por programa asociado, tareas y servicios activos y mucho más.

Fuente: PC World

  

Te da la oportunidad de detener algo que no quieres que se ejecute.   Le da la oportunidad de investigar lo que se está ejecutando y comprobar que realmente lo necesita.   Es una mascota pequeña en la que he confiado desde Windows 95

Fuente: foros de Avast

Compruébelo, esto podría ser algo que encontrará útil como complemento de una protección antivirus activa.

Descargo de responsabilidad de afiliación: no estoy afiliado a WinPatrol de ninguna manera, pero trabajo para el sitio de revisiones de antivirus desde el que tomé la imagen.

    
respondido por el FatSecurity 04.12.2016 - 14:07
fuente
1

Este tipo de programa se denomina firewall de aplicaciones :

  

Un firewall de aplicación es una forma de firewall que controla la entrada, la salida y / o el acceso desde, hacia, o por una aplicación o servicio. Funciona al monitorear y, potencialmente, bloquear las entradas, salidas o llamadas de servicio del sistema que no cumplen con la política configurada del firewall.

Sí, hay implementaciones de esto para todos los principales sistemas operativos. Por ejemplo, AppArmor es un módulo de seguridad del kernel de Linux que permite a los desarrolladores o empaquetadores de aplicaciones escribir perfiles para una aplicación. Sin embargo, este tipo de herramienta generalmente se considera demasiado difícil para la mayoría de los usuarios finales para generar un perfil. Entonces, la mayoría de las veces, el perfil de AppArmor lo escribiría el empaquetador o el desarrollador de la aplicación en lugar de los usuarios finales. El problema con esta herramienta es que incluso en aplicaciones simples habría muchos falsos positivos y, por lo general, se necesita un conocimiento profundo de la aplicación interna para descubrir qué es y qué no es aceptable.

Muchos productos antivirus también tienen detección de comportamiento, esto generalmente se conoce con el nombre de análisis heurístico o análisis de comportamiento. Tenga en cuenta que, para que funcionen muchas partes del motor heurístico / de comportamiento, tiene que ejecutar el programa, por lo que los antivirus en línea como virustotal generalmente no los detectan. La detección de comportamiento generalmente se ajusta para detectar malware que intenta ocultarse en los archivos del sistema, obtener privilegios o hacer otras cosas que destruyen la integridad del sistema, los malwares que funcionan completamente en el espacio de usuario como Ransomware son generalmente mucho más difíciles de detectar con análisis de comportamiento sin producir mucho de falsos positivos.

    
respondido por el Lie Ryan 03.02.2017 - 00:49
fuente
0

Glasswire incluye algunas (pero también más) de las funciones que solicita (con versiones gratuitas, de nagware y completamente comerciales):

HMPA (Hitman Pro Alert) es otra solución comercial, propiedad de Sophos (uno de los mejores EPP vistos en el Gartner MQ de febrero de 2017) - enlace

O para otro competidor, echa un vistazo a enlace

Lo anterior simplemente bloqueará las conexiones de red o el acceso a cámaras web y micrófonos (pero primero preguntarán y no necesariamente se bloquearán en el nivel de proceso). Para bloquear todos los procesos, intente - enlace - o - enlace - o incluso - enlace

    
respondido por el atdre 03.02.2017 - 03:46
fuente
-1

Si está ejecutando Windows XP (32 bits), el proyecto anterior WinPooch podría ser su respuesta.

enlace

    
respondido por el dark_st3alth 03.02.2017 - 02:06
fuente

Lea otras preguntas en las etiquetas

¿Quién puede ver lo que busco en diferentes motores de búsqueda? [cerrado] ¿Qué amenazas de seguridad enfrentan los comerciantes en su uso de TI?