Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Vitokhv
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 13:04:22
На VirtualBox версию EES 5.0.2228.0 [COLOR=#045F20][B]работает[/B][/COLOR].
Windows XP
Изменено: Виктор - 25.09.2014 13:06:32
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:57:24
Может путь разный?
Щас пробую на VirtualBox версию EES 5.0.2228.0

C:\Users\\AppData\Local\Temp\1.cmd
C:\Documents and Settings\\Local Settings\Temp\1.cmd
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:48:05
Eset Smart Security 7.0.317.4
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:56:27
Вот рисунки:

http://rghost.ru/58193378/image.png
http://rghost.ru/58193379/image.png
http://rghost.ru/58193381/image.png
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:46:00
Все, поэтому и высветился [B]C:\Windows\System32\cmd.exe[/B], а если бы указал исходным только файл [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] то он бы пропустил приложение [B]cmd.exe[/B]
т.е. тут надо точно знать, что выбираемое приложение действительно самостоятельное  :D
Изменено: Виктор - 25.09.2014 11:49:41
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:19:26
Все понял, когда указываем, исходное приложение [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] правило включает только его.
Другие с ним связанные приложения работают.

Вот так правильно:





Изменено: Виктор - 25.09.2014 11:26:33
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:59:59
Теперь понятно, почему удалялся файл...
У меня разрешено файлу [B]explorer.exe[/B] удалять/изменять файлы.

Зато теперь можно контролировать командную строку, с ней тоже могут и файлы поудалять.

Изменено: Виктор - 25.09.2014 11:02:14
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:48:56
Получилось так:





Создаю Блокирующее правило на выполнение [B]1.cmd[/B] удалять файл [B]test.txt[/B] как в первом скрине, затем запрещаю конечному приложению выполняться.
Все остальное по умолчанию [COLOR=#045F20]"Действительно для всех"[/COLOR]
Получается, чтобы запретить выполнение шифровальщика нужно добавлять конечное приложение [B]C:\Users\\AppData\Local\Temp\pubring.gpg[/B]
Изменено: Виктор - 25.09.2014 10:51:36
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:10:04
Это правило не помогает:



Запрещено всем приложениям, когда запускаю [B]1.cmd[/B] появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению [B]C:\Windows\System32\cmd.exe[/B] видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 09:15:15
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
Перейти
Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.