Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

Защита от вирусных шифровщиков с помощью HIPS

1 2 3 4 5 ... 12 След.
RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 05:47:37
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 05:53:00
Правильный вариант указания подпапок: С:\Users\\Documents\*

ПРИМЕЧАНИЕ. При вводе объекта можно использовать подстановочные знаки с определенными ограничениями. Вместо конкретного раздела в пути реестра можно использовать символ звездочки («*»). Например, HKEY_USERS\*\software может означать HKEY_USER\.default\software, но не HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* не является допустимым путем раздела реестра. Путь, в котором содержится сочетание символов «\*», означает «этот путь или любой путь на любом уровне после этого символа». Это единственный способ, которым можно использовать подстановочные знаки, для объектов файлов. Сначала оценивается точный путь, а затем путь после подстановочного знака («*»).
Изменено: Виктор - 25.09.2014 10:31:32
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.09.2014 06:25:24
Виктор, а сами вы можете проверить: работают правила по маске файлов и по относительным путям в HIPS или нет?
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 06:35:05
Проверял, работают, но вдруг есть правила обработки слэша \ с ним или без него.
Может есть баги как в прошлых версиях при указании сервера обновлений, например http://update.nod/folder (не работало) http://update.nod/folder/ (работало)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.09.2014 06:50:36
для url или для веток реестра маска * работает, а вот для конечных файлов в HIPS скорее всего нет.
я проверял на ESET ENdpoint Suite 5.
задание пути в правилах блокирования вот по такой маске не проходит. говорит что неверный путь.
Цитата
C:\Documents and Settings\*\Local Settings\Temp\pubring.gpg
а жаль, таким способом можно защититься от шифраторов keybtc или paybtc (бат энкодеров по классификации ДрВеб)
Изменено: santy - 25.09.2014 06:53:40
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 07:53:17
Вот так работает, у меня:
C:\Users\\AppData\Local\Temp\pubring.gpg

Так должно работать, у Вас:
C:\Documents and Settings\\Local Settings\Temp\pubring.gpg

На маску *.gpg не реагирует... только на \* или \*.*
И на переменные так же не реагирует: %UserProfile% и %Temp%
Изменено: Виктор - 25.09.2014 09:53:48
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.09.2014 08:56:58
Цитата
Виктор пишет:

Вот так работает, у меня:
C:\Users \\ AppData\Local\Temp\ pubring.gpg
ок, проверю.
тема неважно где. можно в полезную информацию перенести, главное чтобы полезная инфо была.
-------
действительно работает. спасибо. это может быть полезным для настройки защиты в HIPS.
Изменено: santy - 25.09.2014 09:01:10
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 09:15:15
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.09.2014 09:41:32
надо различать: есть исходные приложения, есть конечные файлы.
bat file - это исходное приложение. конечным файлом будет test.txt

т.е. можно либо конкретному приложению запретить удалять все конечные файлы, или конкретный файл
либо всем приложениям запретить удалять все файлы или конкретный файл.
Изменено: santy - 25.09.2014 09:42:22
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:10:04
Это правило не помогает:



Запрещено всем приложениям, когда запускаю 1.cmd появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению C:\Windows\System32\cmd.exe видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
 
1 2 3 4 5 ... 12 След.
Читают тему