Поиск сообщества
Showing results for tags 'hips'.
Найдено: 3 результата
-
Как правильно использовать классический HIPS ?
Dima2_90 добавил тема в Современные угрозы и защита от них
В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ? Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п. Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д. -
1. Какой экспертный HIPS по-вашему мнению обнаруживает больше всего угроз ? 2. По-вашему мнению, насколько хорошо защищает HIPS в ESET NOD32 в "Интеллектуальном" режиме от угроз ? 3. В каких антивирусах проактивная защита имеет больше всего "поведенческих" сигнатур и обнаруживает больше всего угроз? Например, в KIS они называются "шаблоны опасного поведения" (Behavior Stream Signatures) , в Comodo эта технология называется "Viruscope", в Norton - "Sonar". 4. Насколько хорошо защищает от угроз "Экран поведения" в антивирусе Avast ? Он защищает хуже, или не хуже, чем "Мониторинг активности" в Касперском, "Viruscope" в Comodo и т.д. ? Можете поделиться своим опытом, какая ВАМ больше всего нравиться проактивная защита.
-
Подскажите, пожалуйста, программы, которые отображают и записывают в журнал активность файловой системы, реестра, процессов и т.д. Та, которая мне нравится, называется Malware Defender, но её разработчики уже 5 лет не поддерживают. Есть ли аналоги этой программы, которые поддерживаются разработчиками? Спасибо за ответы!
