System Safety Monitor и др. HIPS-системы

**barsukRed** · 11 июня, 2007

Я имею в виду смену идентификатора браузера. В большинстве случаев этого вполне достаточно, чтобы сайт во время соответствующей проверки принял бы ваш браузер за какой-нибудь другой

Если Вы говорите о способе через about:config-general.useragent.extra.firefox то тест-сайты меня определяют влегкую. :) Если Вы знаете еще способ-научите простого юзера! Не пожадничайте!

(благодаря чему эксплойт не сможет корректно сработать).

Простейший определитель браузеров на JavaScript для подбора эксплойтов тоже не удается обмануть... :) Что делать? Помогите!!!

**Saule** · 11 июня, 2007

А что ж это за HIPS, если не секрет? Я давно ищу своей системе такую замену, но до сих пор не видел подобного.

Этот HIPS позволяет это делать.

Если Вы говорите о способе через about:config-general.useragent.extra.firefox то тест-сайты меня определяют влегкую. :) Если Вы знаете еще способ-научите простого юзера! Не пожадничайте!

Ручками создаете:

general.useragent.override

(идентификатор браузера)

general.useragent.vendor

(браузер)

general.useragent.vendorSub

(версия браузера)

**barsukRed** · 11 июня, 2007

Ручками создаете:

general.useragent.override

(идентификатор браузера)

general.useragent.vendor

(браузер)

general.useragent.vendorSub

(версия браузера)

:) Вот спасибо большое! Попробовал. В подавляющем большинстве обманули сайты. :) А с определителем от ротатора так и не получилось... Не ошибается,определяет... :) Видно вредный попался...

Огромное,Saule, Вам спасибо. За помощь и за диалог тоже. :) Интересный Вы человек!

**NickGolovko** · 11 июня, 2007

Этот HIPS позволяет это делать.

Что ж, спасибо. Осталось дождаться, пока на сайте появится хоть одна рабочая ссылка на столь заманчиво описанный продукт... :) Потому как решение, которое нельзя увидеть даже по ссылке "Записаться в бета-тестеры", можно считать несуществующим. :)

**Iomhar Dealgach** · 11 июня, 2007

Что ж, спасибо. Осталось дождаться, пока на сайте появится хоть одна рабочая ссылка на столь заманчиво описанный продукт... :) Потому как решение, которое нельзя увидеть даже по ссылке "Записаться в бета-тестеры", можно считать несуществующим. :)

Присоединяюсь к ожидающим... Nick, Мы просто - УВЫ! - не успели, а вот Солнце его получила и обкатала...

Не думаю, что Она говорит о том, чего не знает...

**Iomhar Dealgach** · 14 июля, 2007

Нарыл в инете прогу китайских товарищей: EQSysSecure 2007

Прога freeware, русского языка нет - только английский (и китайский конечно)!

Рекомендую тем, кто в HIPSах использует только функции Anti-Exe и Registry Defense -

Делает она это аккуратно и много памяти не берет!

Не конфликтит с Avira(Avast) и Comodo PF...

При использовании с Spybot S&D у последней надо отключить "Поиск несовместимостей в реестре".

Нормально работает в группе с GeSWall/Sandboxie (Sandbox функции только) + CyberHawk (Behavioral Blocker функции только).

Ссылка: http://www.eqspywatch.com (на китайском, но названия ссылок в панели FireFox при наведении курсора - английские, и найти download несложно!).

**Saule** · 5 сентября, 2007

Нарыл в инете прогу китайских товарищей: EQSysSecure 2007...

Отличная программа. Тем более, если учесть тот факт, что она еще и бесплатная.

В двух словах со скриншотами:

EQSysSecure 2007

Прямая ссылка на файл инсталляции: EQSysSecureSetup.exe

Как включить английский язык:

Интерфейс выглядит следующим образом:

Защита делится на 3 части:

- Registry Protect - контроль над созданием, изменением и удалением ключей реестра.

- Files Protect - контроль над созданием, чтением, изменением и удалением файлов.

- Application Protect - контролируются следующие события:

Execute application

(запуск приложений)

Load library file

(загрузка библиотек)

Load driver

(загрузка драйверов)

Access to physical memory

(доступ к физической памяти)

Low-level disk operation

(низкоуровневые операции с диском)

Create remote thread

(создание потоков в других процессах)

Modify the memory of other processes

(модификация памяти других процессов)

Shutdown/Restart system

(выключение и перезагрузка системы)

Terminate/Suspend Thread

(уничтожение и остановка потоков)

Install global hook

(установка глобальных перехватов)

Install service or driver

(установка службы или драйвера)

Key logger

(перехват клавиатуры)

Modify system time

(изменение системного времени)

Direct modify with SCC

При этом есть возможность создания нескольких режимов работы (см. скриншот: Dad, Mum и т.д.).

Также можно отметить очень удобную реализацию добавления новых ключей и функцию логирования событий:

Алерты выглядят следующим образом:

С самозащитой - всё в порядке.

Плюс в качестве дополнительной самозащиты используется опция 'Auto Enable Protect'.

Т.е. в случае, если по каким-то причинам защита программы была выключена - она автоматически включится через определенное кол-во времени (это время задается в настройках: Summary > Configuration > General > Set to enable protect automatically):

Также есть возможность установить парольную защиту на изменение настроек программы, отключение её модулей и её завершения (Summary > Configuration > Password protect).

Плюс имеется собственный Task Manager, который реализует такие функции, как 'Search Thread' и 'Search Module':

________________________________

О недостатках:

1. Не удалось посмотреть на функцию обновления, так как на данный момент, по всей видимости, она не работает (хотя с другой стороны особой необходимости в ней пока тоже нет):

2. Пару раз программу всё-таки удалось "уронить" (но в целом работа стабильная):

3. Не все правила работают на таком уровне, как хотелось бы (например, контроль доступа к физической памяти), но общее впечатление программа оставила положительное!

Изменено 5 сентября, 2007 пользователем Saule

**engineer garin** · 12 сентября, 2007

Никогда не заменят

Позвольте поинтересоваться, почему вы так считаете? :)

На мой взгляд, программы подобного класса уже сейчас вполне могут заменить обычный антивирус, при условии, что установка осуществляется на чистую систему + пользователь дружит со своим компьютером.

Не могу сказать как программер, скажу как юзер.Что-то сомнительное имеется в попытках заменить Антивирус системой HIPS. Уже сейчас во многих Антивирусах присутствует контроль за приложениями.

**Iomhar Dealgach** · 12 сентября, 2007

Не могу сказать как программер, скажу как юзер.Что-то сомнительное имеется в попытках заменить Антивирус системой HIPS. Уже сейчас во многих Антивирусах присутствует контроль за приложениями.

Ну Вы сами заметили и сказали о том, в какую сторону движутся разработчики Антивирусов! - К чему бы это, Вы как думаете? Кто действительно ДРУЖИТ с компом (суть - умеет заметить и руками выловить вирус) - тот действительно в Антивирусе не нуждается... Я пока настолько не силен - HIPS (EQSysSecure) работает у меня в паре с Антивирусом (неделю уже NOD32)...

**engineer garin** · 13 сентября, 2007

Ну Вы сами заметили и сказали о том, в какую сторону движутся разработчики Антивирусов! - К чему бы это, Вы как думаете? Кто действительно ДРУЖИТ с компом (суть - умеет заметить и руками выловить вирус) - тот действительно в Антивирусе не нуждается... Я пока настолько не силен - HIPS (EQSysSecure) работает у меня в паре с Антивирусом (неделю уже NOD32)...

Отметим также , одними HIPS без антивирусов , не пользуются ( если я не прав попробуйте на практике , отключите антивирус , зайдите на Warez , скачайте какой нить кряк с вирусом ).Во вторых чем мощнее будет HIPS , что будем наблюдать....?

**Iomhar Dealgach** · 15 сентября, 2007

Отметим также , одними HIPS без антивирусов , не пользуются ( если я не прав попробуйте на практике , отключите антивирус , зайдите на Warez , скачайте какой нить кряк с вирусом ).Во вторых чем мощнее будет HIPS , что будем наблюдать....?

Ну это верно - мало народу я знаю, которые без антивирей - разве что у кого аппаратный CISCO...

А что наблюдаем? Ну видимо кто что... Я например изменения реестра и запуск EXE без моего ведома...

**Saule** · 15 сентября, 2007

Не могу сказать как программер, скажу как юзер.Что-то сомнительное имеется в попытках заменить Антивирус системой HIPS. Уже сейчас во многих Антивирусах присутствует контроль за приложениями.

Не совсем удачный пример, но во многих антивирусах (уже сейчас) присутствуют и сетевые экраны. Тем не менее, очень многие предпочитают установить файрволл в качестве отдельной программы (и я бы не сказала, что файрволлы достаточно просты в настройке, там всё-таки тоже нужно разобраться, что к чему - если хочешь, чтобы от файрволла был толк).

Отметим также , одними HIPS без антивирусов , не пользуются ( если я не прав попробуйте на практике , отключите антивирус , зайдите на Warez , скачайте какой нить кряк с вирусом ).

Антивирус защищает вас лишь от уже известных ему вирусов (он очень зависим от сигнатур). Поэтому если вы запустите вирус с варезного сайта, который не знаком вашему антивирусу - ваша система будет заражена.

Что касается HIPS'ов, то программы этого класса защищают от любых видов вредоносных программ (и не важно: известен вирус кому-нибудь или нет), потому что контролируют потенциально-опасные и/или опасные действия в системе.

Скачав и запустив зараженный крак с варезного сайта, вы получите не одно предупреждение, на каждом из этапов (попыток) внедрения вируса в систему: создание исполняемых (возможно, скрытых) файлов где-либо на диске (в случае, если крак будет "дропать" вирус и потом его запускать - так делают обычно), запуск этого приложения. Далее, скорее всего, он полезет в какую-либо из автозагрузок (не обязательно в простой ключ "Run" в реестре), потом он может пытаться установить перехваты в системе (много способов и все они должны контролироваться) - функциями системы, открытием других процессов и их модификацией, подгрузкой своих модулей во все или некоторые процессы, создание потоков в других процессах и т.д. При попытке установить и запустить драйвер - так же запрос. При попытке скрыть себя в списке процессов или драйверов - его автоматическое нахождение. При попытке скрыть себя в реестре или на диске - нахождение там (при соответствующем запуске сканирования; пассивный анализ). При попытке заражать (менять, дописывать) другие исполняемые объекты в системе (на диске) - так же запрос.

В общем, у вас будет не меньше 3-15 шансов остановить вирус практически на каждом этапе его вредоносной деятельности в системе. Более того. Если даже вы умудрились все эти действия разрешить, у вас так же остается возможность в дальнейшем нейтрализовать этот вирус, запретив ранее разрешенные действия. И в каждом из запросов - удалить файл, объект в памяти и т.д.

И антивируса в такой системе нет.

В такие системы могут включать антивирусы лишь для того, чтобы не мучать пользователя вопросами, ответы на которые могут быть известны уже заранее. Если, например, четко известно, что это вирус - об этом можно сразу же сообщить пользователю, не предлагая ему возможности что-либо запускать и "анализировать". Для упрощения процесса.

Во вторых чем мощнее будет HIPS , что будем наблюдать....?

А что будем наблюдать?

**engineer garin** · 18 сентября, 2007

Системы HIPS обсуждались на сайте Antimalware в марте месяце.Там же статья Ивана Голенкова , аналитика ЛК.

В России главный эксперт по HIPS Илья Рабинович,разработал свою HIPS, сайт www.soft.sphere.com , проги платные ,продление платное.Читайте кому интересно.

**Iomhar Dealgach** · 18 сентября, 2007

Системы HIPS обсуждались на сайте Antimalware в марте месяце.Там же статья Ивана Голенкова , аналитика ЛК.
В России главный эксперт по HIPS Илья Рабинович,разработал свою HIPS, сайт www.soft.sphere.com , проги платные ,продление платное.Читайте кому интересно.

Вообще-то правильный адрес - это www.softsphere.com

Это офсайт DefenseWall HIPS - о ней вроде бы здесь уже упоминалось... И вроде-бы по результатам тестирований HIPS эта прога не была лучшей... Хотя в теме HIPS, как говорится, на вкус и цвет...

**engineer garin** · 18 сентября, 2007

Вообще-то правильный адрес - это www.softsphere.com

Это офсайт DefenseWall HIPS - о ней вроде бы здесь уже упоминалось... И вроде-бы по результатам тестирований HIPS эта прога не была лучшей... Хотя в теме HIPS, как говорится, на вкус и цвет...

Возможно.Насчет китайских продуктов - умеют копировать чужие. Создавать свои качественные....Убедите , если сможете.

**Iomhar Dealgach** · 18 сентября, 2007

Возможно.Насчет китайских продуктов - умеют копировать чужие. Создавать свои качественные....Убедите , если сможете.

А я и не собирался агитировать Вас ни за, ни против... Повторюсь - на вкус и цвет... HIPS продуктов немалое количество - попробуйте несколько, сравните и выберите! Не хотите пробовать и сравнивать - положитесь на результаты чужих тестов...

**alex_s** · 18 октября, 2007

System Safety Monitor-oчень эффективная HIPS. При использовании столкнулся с настройками модулей.Есть модуль защиты INI файлов.

Подскажите,друзья,как более грамотно использовать этот модуль? Я запретил изменение файлов win.ini; system.ini. Что еще можно хорошего сделать? У меня windows XP SP2.

согласно этим тестам не очень. Если из чистых HIPS, то ProSecurity лучше. Хотя и они уступают комбинированным системам (FW + HIPS).

Вот есть свежие результаты от матусека:

http://www.matousec.com/projects/windows-p...sts-results.php

**Iomhar Dealgach** · 18 октября, 2007

согласно этим тестам не очень. Если из чистых HIPS, то ProSecurity лучше. Хотя и они уступают комбинированным системам (FW + HIPS).

Вот есть свежие результаты от матусека:

http://www.matousec.com/projects/windows-p...sts-results.php

Ну лучший фаер (согласно этим результатам) пытается расширить свои HIPS-функции, но меня пока это не удовлетворяет!

Поэтому и пользуюсь сторонним (не комбинированным)!

**alex_s** · 18 октября, 2007

Ну лучший фаер (согласно этим результатам) пытается расширить свои HIPS-функции, но меня пока это не удовлетворяет!

Поэтому и пользуюсь сторонним (не комбинированным)!

Тут есть интересный момент. Именно HIPS, как таковых, в комодо не очень, они еще только их делают в третьей версии. Насчет Jetico не в курсе, а в Online Armor HIPS без дураков, по моим ощущениям получше чем в специализированных HIPS. Был еще вот такой тест:

http://membres.lycos.fr/nicmtests/Unhooker...oking_tests.htm, не демонстрашка, а против реальных агрессивных руткитов.

**Iomhar Dealgach** · 18 октября, 2007

Тут есть интересный момент. Именно HIPS, как таковых, в комодо не очень, они еще только их делают в третьей версии. Насчет Jetico не в курсе, а в Online Armor HIPS без дураков, по моим ощущениям получше чем в специализированных HIPS. Был еще вот такой тест:
http://membres.lycos.fr/nicmtests/Unhooker...oking_tests.htm, не демонстрашка, а против реальных агрессивных руткитов.

Online Armor не пробовал, но даже если в ней HIPS лучший, то сам фаер (опять-таки из тестов) пока нет...

ЗЫ: Вот бы к Комодиному фаеру приклеили ОА HIPS (комплексом)...

ЗЗЫ: ОА фаер у Тебя бесплатный или платный? Поди как раз в бесплатном-то и нету HIPS-функций? - Выяснил сам: Бесплатный ОА сильно урезан, в нем НЕТ многих функций, в том числе и HIPS! За платный просят 40 мертвых американских президентов...

Изменено 18 октября, 2007 пользователем Iomhar Dealgach

**alex_s** · 18 октября, 2007

Online Armor не пробовал, но даже если в ней HIPS лучший, то сам фаер (опять-таки из тестов) пока нет...

ЗЫ: Вот бы к Комодиному фаеру приклеили ОА HIPS (комплексом)...

ЗЗЫ: ОА фаер у Тебя бесплатный или платный? Поди как раз в бесплатном-то и нету HIPS-функций?

У меня шаровой :)

Я в бетатиме состою. Согласно объявленному, текущая фришная версия вместе с платной должна занять первое место, поскольку единственный пропущенный по недоразумению тест (breakout2) уже закрыли, но еще не отправляли на матусек. Некоторое время я пользовался и комодо. Фаервол хороший, но утомил меня своей подозрительностью. В нем защита реализована с помощью component-control, то есть если в программе появляется новый компонент или новый парент при ее запуске, это вызывает аларм и попап. Из-за чего их утомительно много, особенно в первые пару недель. Кроме того из-за этого некоторые тесты, которые проходятся комодо при условии чистой установки, через некоторое время перестают проходиться. В то же время Online Armor избрал другую тактику. Вместо отгрызающего ресурсы компонет-контроля они сосредоточили внимание на HIPS, то есть именно Prevention (предупреждение). Получается гораздо меньше ложных срабатываний, при этом безопасность на высшем уровне остается и на будущее собираются в каком-то виде (как независымый уровень защиты) добавить компонент-контроль. Ну и поражает скорость развития. В начале лета вышла первая версия, которая заняла типа седьмое место, а уже в сентябре вышла следующая, которая заняла второе,

и было обещано что текущая должна быть первой :)

**Iomhar Dealgach** · 18 октября, 2007

Команда Comodo тоже на месте не стоит...

У меня CPF 2.4, на 3.0 пока не перехожу (бетка все-же - жду stable), но в третьей версии тоже больше упора на HIPS (чем в 2.4) будет. Судя по инфе многие фаеры и антивири клеят к себе HIPS-функции.

Вот выйдет CPF 3 stable, отправят они его тож на тестирование - тогда будем посмотреть, не так ли?

ЗЫ: Излишняя подозрительность меня не утомляет - утомляет (если не сказать сильнее) недогляд!!!

Изменено 18 октября, 2007 пользователем Iomhar Dealgach

**alex_s** · 19 октября, 2007

ЗЫ: Излишняя подозрительность меня не утомляет - утомляет (если не сказать сильнее) недогляд!!!

Само собой, речь идет не о недогляде, а о ложных срабатываниях, то есть срабатываниях на события не несущие непосредственной угрозы безопасности. Опять же, я ничего не имею против комодо, и долгое время им пользовался. Но по роду моей работы излишняя подозрительность не просто достает, но и мешает. Совершенно случайно попал в арморовский бетатим и там прижился. Даже пару фич реализовали по просьбе. На текущий момент мне просто ничего другого не нужно, поскольку полная версия армора включает и антикейлоггер (на сегодняшний день ловит все доступные кейлоггеры) и OEM антивирус касперского и контроль стартапов и установку драйверов и скрытые запуски и install mode и любая обнаруженная дырка закрывается за день-два. В общем, все что мне нужно в одном флаконе. Виртуализаторами я не пользусь, потому что пользуюсь настоящей виртуализацией при необходимости (то есть VMWare).

**alex_s** · 19 октября, 2007

Отметим также , одними HIPS без антивирусов , не пользуются ( если я не прав попробуйте на практике , отключите антивирус , зайдите на Warez , скачайте какой нить кряк с вирусом ).Во вторых чем мощнее будет HIPS , что будем наблюдать....?

Это зависит от установленного софта. При наличии хорошей HIPS системы будем наблюдать несколько предупреждающих попапов, которые позволят заблокировать опасные действия

Я могу сказать точно, что будет делать моя система в каждом конкретном случае, если мне пришлют кокнретный вирус, малваре или руткит.

PS.

Я не агитирую сносить антивирусы, но многие из них нуждаются в защите, потому что агрессивный малваре может их просто задизейблить, убить, расхукать.

**alex_s** · 2 ноября, 2007

Король умер, да здравствует король ! :blush2:

http://www.matousec.com/projects/windows-p...sts-results.php

===

System Safety Monitor и др. HIPS-системы

Рекомендуемые сообщения

Ссылка на комментарий

Поделиться на другие сайты

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Ссылка на комментарий

Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Создать учетную запись

Войти

Последние посетители 0 пользователей онлайн

Объявления