Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.
Защита от вирусных шифровщиков с помощью HIPS
На VirtualBox версию EES 5.0.2228.0 [COLOR=#045F20][B]работает[/B][/COLOR].
Windows XP
Изменено: Виктор - 25.09.2014 13:06:32
Защита от вирусных шифровщиков с помощью HIPS
Может путь разный?
Щас пробую на VirtualBox версию EES 5.0.2228.0

C:\Users\\AppData\Local\Temp\1.cmd
C:\Documents and Settings\\Local Settings\Temp\1.cmd
Защита от вирусных шифровщиков с помощью HIPS
Eset Smart Security 7.0.317.4
Защита от вирусных шифровщиков с помощью HIPS
Вот рисунки:

http://rghost.ru/58193378/image.png
http://rghost.ru/58193379/image.png
http://rghost.ru/58193381/image.png
Защита от вирусных шифровщиков с помощью HIPS
Все, поэтому и высветился [B]C:\Windows\System32\cmd.exe[/B], а если бы указал исходным только файл [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] то он бы пропустил приложение [B]cmd.exe[/B]
т.е. тут надо точно знать, что выбираемое приложение действительно самостоятельное  :D
Изменено: Виктор - 25.09.2014 11:49:41
Защита от вирусных шифровщиков с помощью HIPS
Все понял, когда указываем, исходное приложение [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] правило включает только его.
Другие с ним связанные приложения работают.

Вот так правильно:





Изменено: Виктор - 25.09.2014 11:26:33
Защита от вирусных шифровщиков с помощью HIPS
Теперь понятно, почему удалялся файл...
У меня разрешено файлу [B]explorer.exe[/B] удалять/изменять файлы.

Зато теперь можно контролировать командную строку, с ней тоже могут и файлы поудалять.

Изменено: Виктор - 25.09.2014 11:02:14
Защита от вирусных шифровщиков с помощью HIPS
Получилось так:





Создаю Блокирующее правило на выполнение [B]1.cmd[/B] удалять файл [B]test.txt[/B] как в первом скрине, затем запрещаю конечному приложению выполняться.
Все остальное по умолчанию [COLOR=#045F20]"Действительно для всех"[/COLOR]
Получается, чтобы запретить выполнение шифровальщика нужно добавлять конечное приложение [B]C:\Users\\AppData\Local\Temp\pubring.gpg[/B]
Изменено: Виктор - 25.09.2014 10:51:36
Защита от вирусных шифровщиков с помощью HIPS
Это правило не помогает:



Запрещено всем приложениям, когда запускаю [B]1.cmd[/B] появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению [B]C:\Windows\System32\cmd.exe[/B] видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
Защита от вирусных шифровщиков с помощью HIPS
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.