OSArmor - це нова програма захисту від NoVirusThanks для пристроїв Microsoft Windows, яка контролює систему для блокування підозрілих процесів або дій у системі.
У програмі безпеки вбудований базовий антиексплоатаційний захист, але він не порівнянний з Microsoft EMET або Malwarebytes Anti-Exploit, оскільки його увага зосереджена на тому, щоб запобігти виконанню певних процесів в першу чергу або виконувати певні дії.
Основний приклад - блокування процесів, які мають подвійні розширення файлів, sample.txt.exe, щоб приховати їх фактичний тип від не підозрюючих користувачів.
Огляд OSArmor
OSArmor сумісний з усіма останніми версіями операційної системи Microsoft Windows. Додаток потрібно встановити до того, як його можна буде використовувати. Сам інсталятор чистий, а програма запускається відразу після встановлення.
На даний момент інтерфейс є базовим. Він відображає інформацію про сеанс про кількість заблокованих процесів, останній заблокований процес, а також дату та час, що стався.
Ви не можете зробити нічого іншого, крім відкриття папки журналів або конфігурації. Перший час користувачі можуть захотіти відкрити конфігурацію спочатку, оскільки в ній перераховані всі функції захисту, які підтримує OSArmor.
Більшість опцій захисту увімкнено за замовчуванням. Список досить довгий, ось короткий перелік цікавих:
- Блокувати виконання файлів розширень для файлів pif, com та подвійних файлів.
- Блокуйте розширення шкідливого програмного забезпечення через USB.
- Запобігайте "важливим" модифікаціям системи через bcedit.exe.
- Блокуйте пряме виконання скриптів та файлів EXE з архівів.
- Забороніть regsrv32 виконувати віддалені сценарії та / i: параметр.
- Блокуйте процеси, виконані з wscript.exe, cscript.exe, mshta.exe та wmic.exe.
- Блокування виконанняполітичного обходу та стилю вікон, прихованих у PowerShell.
- Блокуйте завантаження віддалених URL-адрес із командного рядка.
- Блокувати пряме виконання JavaScript та коду VBscript.
- Обмежте файли заставки Windows до папки Windows.
- Блокувати виконання schtasks.exe.
Єдині параметри, які не увімкнено, блокують виконання непідписаних процесів з локальних AppData, Roaming AppData, CommonAppdata та Applets.
Програма поставляється без файлу довідки, що робить її інструментом для досвідчених користувачів. Він працює безшумно у фоновому режимі здебільшого і записує будь-які процеси, які блокує для щоденних файлів журналу.
Файли журналів - це історія заблокованих процесів, і вони є єдиним варіантом вирішення проблем. Список журналів, дата, час та процеси, а також правила, які блокували процес від виконання.
Один з головних недоліків OSArmor - це те, що він не має білого списку. Ви можете відключити захисну функцію, лише якщо помітите, що законними процесами програма заблокована.
Програмі потрібен прямий список білого списку та інтерфейс, який перераховує всі заблоковані процеси безпосередньо, щоб ви могли легко передати певні блоковані процеси.
Заключні слова
OSArmor 1.0 - це багатообіцяюча програма безпеки для Windows, яка блокує діяльність, яку часто зловживають зловмисним програмним забезпеченням та іншим небажаним програмним забезпеченням. Відсутність контролю над тим, що заблокується, є головною слабкістю програми на даний момент.
Варіант відображення підказки (дозволити або заборонити виконання, дослідження в Інтернеті) був би корисним, а також слід запровадити білий список, щоб можна було вирішувати помилкові позитиви без повного вимкнення функції.
