Страницы: 1 2 3 4 5 6 След.
RSS
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
Все рассматриваемые настройки находятся в разделе Дополнительные настройки (F5) -> Компьютер -> Системы предотвращения вторжений на узел.

За включение/отключение HIPS отвечает галочка "Включить систему предотвращения вторжений на узел".
За включение самозащиты ESET отвечает галочка "Включить модуль самозащиты Self-defence" (перед удалением/переустановкой продуктов ESET я бы советовал эту галочку снимать).
За включение журнала заблокированных действий (крайне рекомендую включить этот пункт, чтобы можно было отследить поведение HIPS при тех или иных проблемах) отвечает пункт Дополнительные настройки -> "Регистрировать все заблокированные операции".

В качестве Режима фильтрации лучше выбрать или Интерактивный режим (запросы на операции, к которым не созданы правила, будут выдаваться постоянно), или Автоматический режим с правилами (запросов не будет, будут учитываться только ранее созданные правила). Лучше сначала переключиться в Интерактивный режим, создать все необходимые правила для доверенных операций и приложений, а затем переключиться в Автоматический режим с правилами.

Для создания, изменения и удаления правил используется кнопка "Конфигурировать правила".
Далее в появившемся диалоговом окне есть соответствующие кнопки: "Создать", "Изменить", "Удалить".
Для всех создаваемых правил лучше ставить галочку "Уведомить пользователя".

1. Защита файлов (в том числе системных).
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочки "Удалить файл", "Выполнить запись в файл";
- в списке "Над этими файлами" нажать кнопку "Добавить" и выбрать необходимые файлы или папку для защиты. (При выборе действия "Запросить" рекомендую добавить сразу всю папку Windows\System32. Но советую крайне аккуратно добавлять файлы в этот список при выборе действия "Блокировать": например, из папки Windows\System32 имеет смысл добавить только исполняемые файлы с расширениями .exe, .dll, .bat, .cmd, и по усмотрению другие редактируемые файлы вроде файла Windows\System32\drivers\etc\hosts).
Нажать кнопку "ОК".

2. Защита MBR жесткого диска.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные файлы":
- в списке "Операции" включить галочку "Непосредственный доступ к диску".
Нажать кнопку "ОК".

3. Защита системных записей в реестре.
Имя - любое
Действие - "Запросить" (или "Блокировать", если сразу будут настроены все исключения для доверенных приложений; исключения добавляются на вкладке "Исходные приложения" ;)  
На вкладке "Конечные реестр":
- в списке "Операции" включить галочку "Использовать для всех операций";
- в списке "Над этими записями реестра" нажать кнопку "Добавить" и затем поочередно добавить с список следующие пути в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Для блокировки/запроса изменения настроек TCP/IP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Для защиты политики безопасности IP:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec­\*

Для блокировки/запроса записи блокирующих статических маршрутов:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\PersistentRoutes\*

Для блокировки/запроса блокирования запуска ESET через отладчики:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\*

Нажать кнопку "ОК".
Изменено: marshal64 - 19.08.2013 20:29:08
 
К пункту 3. "Защита системных записей в реестре" желательно добавить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
Изменено: w21life - 29.01.2013 12:30:45
 
возможно, к защите hosts следует добавить правило защиты записи в файл
(блокировать запись в файл для данного каталога)

Цитата
C:\WINDOWS\Tasks\*.*

чтобы избежать добавления заданий такого рода

Цитата
Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\130817446FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\822574661FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\TASKS\AT3.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\824358298FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT3
Изменено: santy - 29.01.2013 13:37:32
 
santy
Правило HIPS, которое защищает системный каталог "Windows\System32" распространяется на подкаталоги и файлы? Если да, то наверное необязательно отдельно защищать файл hosts. Или все же стоит? ;)
Изменено: w21life - 29.01.2013 15:37:18
 
под защитой hosts я имею ввиду это правило
http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767
Изменено: santy - 29.01.2013 19:16:56
 
Цитата
santy пишет:
под защитой hosts я имею ввиду это правило
http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767
Понятно. Но все же вопрос остался открытым? Правило HIPS, описанное выше, распространяется на подкаталоги и файлы?

Файл hosts находится, в подкаталоге System32, который уже защищен правилом от изменений.
Изменено: w21life - 30.01.2013 10:28:20
 
в общем случае в задачах могут быть прописаны и другие трояны, в частности, сейчас довольно часто Spy.Voltar так запускается.
------
лично я таких жестких правил для себя (полностью на каталога system32) не создаю.

на ваш вопрос вы можете ответить сами. здесь несколько минут потратить на проверку работы подобного правила.
Изменено: santy - 30.01.2013 10:39:06
 
За последнюю неделю, десяток раз, на разных компьютерах обнаружил, что вредоносная программа прописала адрес своего dns-сервера

в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Если прописать правило запрета изменения сетевых параметров в HIPS, то необходимые настройки TCP/IP нужно внести вручную предварительно. ;)
Изменено: w21life - 05.02.2013 15:05:17
 
w21life,
эти правила работают у вас?
Цитата
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
(здесь, скорее всего, надо прописывать уникальный SID для пользователя, что не есть хорошо.)

так и есть
необходимо указывать абсолютный SID
Цитата
HKEY_USERS\S-1-5-21-*****\Software\Microsoft\Windows\CurrentVersion\Run\*
были защищены соответствующие ветки реестра текущего пользователя.
Изменено: santy - 05.02.2013 17:17:44
 
работает такое правило. это ведь HKEY_CURRENT_USER
SID юзера есть в ветке HKEY_USERS, но там проблема тоже решается - HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
Правильно заданный вопрос - это уже половина ответа
Страницы: 1 2 3 4 5 6 След.
Читают тему (гостей: 1)