Защита от вирусных шифровщиков с помощью HIPS

1 2 3 4 5 ... 11 След.
RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31
Правильный вариант указания подпапок: С:\Users\\Documents\*

ПРИМЕЧАНИЕ. При вводе объекта можно использовать подстановочные знаки с определенными ограничениями. Вместо конкретного раздела в пути реестра можно использовать символ звездочки («*»). Например, HKEY_USERS\*\software может означать HKEY_USER\.default\software, но не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* не является допустимым путем раздела реестра. Путь, в котором содержится сочетание символов «\*», означает «этот путь или любой путь на любом уровне после этого символа». Это единственный способ, которым можно использовать подстановочные знаки, для объектов файлов. Сначала оценивается точный путь, а затем путь после подстановочного знака («*»).
Изменено: Виктор - 25.09.2014 10:31:32
Виктор, а сами вы можете проверить: работают правила по маске файлов и по относительным путям в HIPS или нет?
Проверял, работают, но вдруг есть правила обработки слэша \ с ним или без него.
Может есть баги как в прошлых версиях при указании сервера обновлений, например http://update.nod/folder (не работало) http://update.nod/folder/ (работало)
для url или для веток реестра маска * работает, а вот для конечных файлов в HIPS скорее всего нет.
я проверял на ESET ENdpoint Suite 5.
задание пути в правилах блокирования вот по такой маске не проходит. говорит что неверный путь.
Цитата
C:\Documents and Settings\*\Local Settings\Temp\pubring.gpg
а жаль, таким способом можно защититься от шифраторов keybtc или paybtc (бат энкодеров по классификации ДрВеб)
Изменено: santy - 25.09.2014 06:53:40
Вот так работает, у меня:
C:\Users\\AppData\Local\Temp\pubring.gpg

Так должно работать, у Вас:
C:\Documents and Settings\\Local Settings\Temp\pubring.gpg

На маску *.gpg не реагирует... только на \* или \*.*
И на переменные так же не реагирует: %UserProfile% и %Temp%
Изменено: Виктор - 25.09.2014 09:53:48
Цитата
Виктор пишет:

Вот так работает, у меня:
C:\Users \\ AppData\Local\Temp\ pubring.gpg
ок, проверю.
тема неважно где. можно в полезную информацию перенести, главное чтобы полезная инфо была.
-------
действительно работает. спасибо. это может быть полезным для настройки защиты в HIPS.
Изменено: santy - 25.09.2014 09:01:10
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
надо различать: есть исходные приложения, есть конечные файлы.
bat file - это исходное приложение. конечным файлом будет test.txt

т.е. можно либо конкретному приложению запретить удалять все конечные файлы, или конкретный файл
либо всем приложениям запретить удалять все файлы или конкретный файл.
Изменено: santy - 25.09.2014 09:42:22
Это правило не помогает:



Запрещено всем приложениям, когда запускаю 1.cmd появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению C:\Windows\System32\cmd.exe видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
1 2 3 4 5 ... 11 След.
Читают тему (гостей: 1)