Лидеры форума

Коллеги, рад представить вам результаты нашего нового сравнения. На этот раз мы сравнили эффективность модулей HIPS в составе антивирусов и фаерволов на качество защиты от проникновения в ядро ОС Microsoft Windows. Сравнивались: 1. PC Tools Firewall Plus 5.0.0.38 2. Jetico Personal Firewall 2.0.2.8.2327 3. Online Armor Personal Firewall Premium 3.0.0.190 4. Kaspersky Internet Security 8.0.0.506 5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686) 6. Comodo Internet Security 3.8.65951.477 Методологию и результаты сравнения можно посмотреть здесь http://www.anti-malware.ru/hips_test_ring0 Основные выводы: Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009. Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами. Буду рад услышать ваши комментарии к тесту. Напомню, что его методология обсуждалась здесь.

Виталий, всё "ровно". Я писал о проблеме отсутствия контроля опосредованного доступа в списке рассылки agnitum ещё в 2008 году. После чего было сказано: "Да, это ДЫРА ОГРОМНОГО РАЗМЕРА. Причём она наверняка касается очень много.", и всё - тишина. А почему? Надо менять дизайн продукта, переписывать движок, переписывать всю базу правил, а это титаническая работа. Всего лишь одно правило даже для доверенной подписанной программы (часто автоматическое на основе ImproveNet) может сделать из системы защиты решето. На эту роль идут прямиком services и svchost. Что можно делать посредством них? А многое: C:\XP\system32>reg.exe delete ****** The operation completed successfullyC:\XP\system32>reg.exe delete ****The operation completed successfully*****#BSOD. Можно даже пробивать защиту в перспективе: reg add ***** REG_MULTI_SZ ****** \%SystemRoot%\system32\drivers\ ***** Всё это очень печально...

Хотелось бы заметить, что OfficeScan не стоит называть одним агентом, так как это уже многокомпонентная система и дело здесь только в выборе заказчика - какие функции ему нужны. На уровне рабочих станций будет некий маленький агент, который будет загружать себе трех агентов (по выбору администратора): 1. "Антивирус" 2. DLP 3. Patch managment (BigFix)

Ы? HIPS смотрит на ODS и если есть сигнатура он поместит его в "недоверенные" без всяких алертов и интернета, даже если ФА отключен. Наверное все таки детектилось, потому KIS и помещал в "недоверенные".