alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HIPS Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения. В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления. Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного. В  соответствии  с принципом  организации  защиты  HIPS  могут  быть   подразделены на три основные группы:     1) Классические  HIPS   К этому типу можно отнести: - 360.cn Malware Defender (бывш Torchsoft) - FREE, неплохие показатели в тестах - OSSS (Online Solutions Security Suite) - платная, неплохие показатели в тестах - Jetico Personal Firewall - платная, слабые результаты в тестах - Real-time Defender Professional (бывший ProSecurity) - развивается пока только как RTD Smart - CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall) - Safe'n'Sec Enterprise Pro - не развивается - Ghost Security Suite (AppDefend, RegDefend) - не развивается   2) Экспертные    HIPS К этому типу можно отнести: - Comodo Internet Security - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox - Privatefirewall (ранее Dynamic Security Agent) - FREE, средние показатели в тестах - Prevx   - PCTools ThreatFire (Cyberhawk)   - McAfee Host Intrusion Prevention for Desktops and Servers     Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).   3) HIPS    типа    Sandbox («песочница») Типичные представители данного типа: - DefenseWall HIPS   - Sandboxie   ориентированные на систему в целом: - Returnil Virtual System - Shadow Defender - ShadowProtect и ShadowServer - PowerShadow - Deep Freeze - BitDisk Исполнение бывает в 3-х вариантах: 1) хипсы отдельным продуктом. 2) хипсы в файрволах.   3) хипсы в секьюрити сьютах. Предлагаем для начала ознакомиться с результатами тестирования различных HIPS: multimania.fr от 17.07.2007 г. а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:     Софт для тестирования HIPS: На matousec (Подробнее) На virusinfo Comodo Buffer Overflow Test x86 x64 Comodo Leak Tests.       результаты тестов matousec Proactive Security Challenge 64       Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь # Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:48 25-08-2007 | Исправлено: DrakonHaSh, 15:49 21-07-2015

ComradG Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору как-то не задумывался над этим ранее, но вот сегодня совсем случайно наткнулся на статью в одном из местных изданий о HIPS'ах по типу песочниц. странно то, что столько лет прошло с момента скандальной истории Sony руткит, а зловредные технологии взяли на вооружение "спецы" из аверных лабораторий. так, например, некоторые песочницы модифицируют MBR, другие устанавливают глобальные хуки на инфрастуктуру системы, третьи и того хуже. взять хотя бы Sandboxie. вроде крутая песочница, денег много не просит, но как по хамски она запускает свои клешни в систему: с одной стороны сплайсинг OLE/ActiveX, с другой... даже страшно говорить. в общем это так, информация к размышлению.   Цитата: Ну например в Nod 32 5 версии имеется система hips. ну, например, тот же нод можно запросто грохнуть Process Hacker'ом Всего записей: 2041 | Зарегистр. 05-07-2008 | Отправлено: 15:49 16-12-2011

chq Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На W7 x64 не получается один процесс Nod грохнуть Process Hacker, уже проверял до этого. А вот на x32 почему то очень просто процесс завершает свое существование. Не углублялся в вопрос в виду отсутствия надобности, можете поинтересоваться и озвучить результаты проведенной работы. Меня Nod еще не подводил. Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 16:54 16-12-2011 | Исправлено: chq, 16:56 16-12-2011

kosjachok Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Меня Nod еще не подводил Меня тоже, т.к. не страдаю всякой фигнёй, но у знакомых же - задралсо бегать переустанавливать   то с флешки авторанер нод срезал и вместо него свое резидентное приложение вставил которое при любом клике на значок нода в трее писало типа все ок - вмешательство пользователя не требуется,   то порнобаннер... Всего записей: 691 | Зарегистр. 18-08-2004 | Отправлено: 12:53 17-12-2011

ComradG Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору chq Цитата: На W7 x64 не получается один процесс Nod грохнуть Process Hacker а кто сказал, что процесс у нода один? или, чай, очепятка? уж не знаю, как любезный, вы пытались грохнуть процесс нода, что он у вас не закрывается, но лично я на х64 (на работе) запросто грохал и ноды, и кавы и прочие хипсы. Цитата: можете озвучить результаты проведенной работы а вот подробности озвучивать не стану, не хочу чтобы вы расчувствовались разочаровались в ноде. нет, ничего против нода я не имею (ровно как и прочих вендоров), но могу заметить, что грохнуть любой процесс в ОСи не такая уж и непосильная задача, при этом не нужны специфические утилиты вроде навороченных менеджеров процессов, досточно отладчика, знаний асма, прямых рук и головы на шее. Всего записей: 2041 | Зарегистр. 05-07-2008 | Отправлено: 16:46 17-12-2011 | Исправлено: ComradG, 16:48 17-12-2011

chq Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Скажем так, я не утверждал что в Nod один процесс. Оба процесса восстанавливались при из завершении с помощью Process Hacker, а погасить с помощью стандартного Task Manager не удалось. Также я не утверждал, что их не можно грохнуть, можно, но уже не стандартным диспетчером задач. Согласен, не совсем верно истолковал свою мысль в предыдущем посте. Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 02:49 04-02-2012 | Исправлено: chq, 02:49 04-02-2012

nicklan Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите хорошую программу для мониторинга процессов в системе (для Malware analysis). С показом изменений в файловой системе, регистрах. Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше. Всего записей: 3 | Зарегистр. 14-10-2012 | Отправлено: 01:15 15-10-2012

wdx Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nicklan System Explorer Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 10:54 15-10-2012

nicklan Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору wdx И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.) Всего записей: 3 | Зарегистр. 14-10-2012 | Отправлено: 14:09 15-10-2012

DrakonHaSh Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nicklan sandboxie + Buster Sandbox Analyzer Всего записей: 2078 | Зарегистр. 08-01-2008 | Отправлено: 14:44 15-10-2012 | Исправлено: DrakonHaSh, 14:44 15-10-2012

wdx Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nicklan Ваш текст? Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше. Я и указал получше! Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 17:13 15-10-2012

kosjachok Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nicklan Цитата: И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.) Элементарно, + снимки (snapshots)   - снимок файлов и реестра до запуска - снимок после, -сравнение изменений.     Добавлено: Ну а если более подробно и без печальных последствий - то DrakonHaSh все верно написал. Всего записей: 691 | Зарегистр. 18-08-2004 | Отправлено: 18:13 15-10-2012

wdx Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались. Никто не в курсе? Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 19:44 15-10-2012

KismetT Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались. ProcMon. Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 19:47 15-10-2012

Petrik_Pjatochkin Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите, плиз, какой программой можно запретить процессу (программе) доступ к файлу (чтение, изменение, удаление)? Нужно запретить конкретной программе доступ к конкретному файлу, поэтому шаманство с правами пользователя не подходит. Всего записей: 771 | Зарегистр. 04-12-2007 | Отправлено: 18:08 24-12-2012

KismetT Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Petrik_Pjatochkin Из того, что пробовал сам.   Malware Defender и CIS. Но стоит ли их ставить только для решения вашей проблемы, вот в чём вопрос. Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 18:25 24-12-2012

Petrik_Pjatochkin Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KismetT, спасибо, посмотрю, может еще для чего пригодятся. Всего записей: 771 | Зарегистр. 04-12-2007 | Отправлено: 18:27 24-12-2012

Petrik_Pjatochkin Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MalwareDefender на Windows 7 x64 не запустился. Перезагрузка не помогла, пишет "Failed to load MalwareDefender driver".     VitRom Цитата: вар-т 1 Если прога не слишком десктопная, то просто запускать её от имени конкретного специального юзера (возможна автоматика ч-з runas, sanur, shellrunas, surun) вар-т 2 права юзера + dropmyrights или surun     Прога - Firefox. Для меня эти слова runas, sanur, shellrunas, surun темный лес. Можете объяснить о чем идет речь? Всего записей: 771 | Зарегистр. 04-12-2007 | Отправлено: 18:54 24-12-2012

shura1973 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Petrik_Pjatochkin Цитата: Нужно запретить конкретной программе доступ к конкретному файлу, Цитата: Прога - Firefox а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение? Всего записей: 4952 | Зарегистр. 14-10-2007 | Отправлено: 19:02 24-12-2012

Petrik_Pjatochkin Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение?   Есть такая программа WebReserch (для сохранения контента вэб-страничек). В папке этой программы есть файл WRThread.dll. Из-за того, что Firefox "обращается" к этой длл-ке он постоянно зависает (почему-то это происходит при смене раскладки) и приходится через Process Explorer убивать "threads" (не знаю как называются, "потоки"?) этой длл-ки. Геморно, короче.   Удалить длл-ку я не могу, т.к. она нужна для работы WebReserch. Я подумал, что если я запрещу доступ для Firefox к этой длл-ке, Firefox перестанет зависать. Всего записей: 771 | Зарегистр. 04-12-2007 | Отправлено: 19:11 24-12-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование