Выбрать дату в календареВыбрать дату в календаре

Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
Cпасибо. Я так понимаю, эти файлы актуальны и для ХР, и для семёрки, и для восьмёрок, обоих битностей? Все настройки учтены? Просто те файлы выложены аш в 2012 году.
Изменено: Loner - 22.04.2014 19:38:03
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
Здравствуйте. Давно не был тут.
А где можно скачать файл конфигурации, с уже готовой настройкой HIPS, с прописанными правилами? Помнится, тут такое было. Не, можно один раз прописатЬ, и сохранить свой файл конфигурации, но уже готовый где-нибудь тут есть? Это первый вопрос.
Второй вопрос.
Тут похожая тема, про настройку правил HIPS для защиты от Winlock'ов. Правила из неё добавлены в эту тему? Не надо прописывать сначала из этой темы, потом из той? Я смотрел бегло ту тему, вроде есть повторяющиеся правила. Но хочется быть уверенным на все сто.
Предложения по функционалу продуктов ESET
А такие программы как process explorer или Comodo Killswitch, так же как и comodo autorun analyzer, не пробовали? Так же как и process hacker. Нет?
Предложения по функционалу продуктов ESET
Очень жаль. Юзеры постепенно бы привыкли к его вопросам, научились отвечать. А защиту это бы повысило в разы. Упрямство и не гибкость разработчиков поражает порой. Прописали бы они правила, а при установке, пусть инсталятор спрашивает, как у комодо того же, мол: "хотите вы много вопросов, или нет?". По умолчанию надо что бы стояло ДА. И всё.
Предложения по функционалу продуктов ESET
Много воды утекло. Сижу на комоде с год, наверное. Просто интересно, правила хипс, по умолчанию, добавлены теперь в инсталятор или нет? При мне их надо было туда вручную прописывать.
А теперь?
Предложения по функционалу продуктов ESET
Потерялсо?
Предложения по функционалу продуктов ESET
[QUOTE]w21life пишет:
В последнее время самые ходовые "винлоки" внедряются в
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Не нужно даже антивирусом сканить, достаточно убрать руками эти записи, загрузившись в "безопасном режиме с поддержкой командной строки", если конечно вредоносной программой не испорчена загрузка в "безопасном режиме". [/QUOTE] Последние винлоки поумнели. Они уже не пускают в безопасный режим. При попытке туда загрузиться, или синий экран, или морда винлока.
Предложения по функционалу продуктов ESET
[QUOTE]marshal64 пишет:
что часть пользователей получит то, что хочет.[/QUOTE] Или два интерфейса, продвинутый и для обывателей... Или два варианта настроек, как у того же комодо, "с множеством вопросов и без" Хотя выбирать будут скорее всего без... :(
Вот история, которая ....в общем так...
Вчера мне позвонили, по поводу пойманного где-то винлока. Мол, что делать? Ну, ответил стандартно, что надо загрузиться с диска, через поиск с фильтром по времени найти все exe на системном разделе, потом винда загрузиться. Почистить реестр... И все дела. НО. На вопрос , какой у них был антивирус, они сказали, что вообще никакого...
- Как так?
- Да вот так...Стоял Макафи, чёто стало всё виснуть и глючить. Поставили Касперского...всё виснет и глючит. Тогда удалили все антивирусники... И словили винлока.
Ну, Бог с ним. Я им объяснил что делать...
Сегодня (сутки прошли), опять звонок, от них же. Мол, не можем с диска загрузиться. После недолгого разбирательства по телефону, я им сказал, что бы везли комп ко мне...Я просто понял, что там уровень юзверей слабоват. И проще показать, чем объяснить, тем более по телефону.
Привозят.
Винлок мы нашли быстро. Кстати, свеженький, но Eset его, судя по вирустоталу видел. Всего семь антивирусников его видели. Доктор веб не видел. Комодо тоже не видел.Загрузились в винду, с виду всё в порядке. Решил просканиться malwarebytes Antimalware...Она еле ворочалась... Но нашла вирус Jeefo...Всё. Надо сканить весь комп. (Сканируется из безопасного до сих пор). Они уехали.
Я ради прикола в наглую запускал этот винлок у себя на компе, и все разы он был загнан в Ожидающие решения. Заражения не произошло.
А теперь сами посудите уровень обычных людей, кто не заморачивается по вопросу антивирусов. Если представить, что они установили по умолчанию ESS (без правил hips), да ещё и баз не было бы (как у меня на комодо на текущий момент), и если бы они этот файл запустили, или он сам запустился бы, что бы их ждало? Правильно, залоченный рабочий стол. Не знание как обращаться с LiveCD привело бы к "трагедии", поездке в сервисный центр, или переустановке системы (из-за такой-то ерунды).
Хоть я и отправил этот винлок в лабу комода, до сих пор базы на него нету, но облако...Короче, вот видео.
http://youtu.be/khKB3FGIkMI
Изменено: Loner - 29.01.2013 03:19:55
Предложения по функционалу продуктов ESET
В случае с винлоками нужен поведенчесский анализ. Если юзверь  может и не знать, что делать с файлом svchost.exe, который почему-то находится в папке Windows , а не в Windows\System32, то уж когда у него залочится экран и выскочит поверх окна WinLock'а сообщение Eset'а примерно такого содержания: Процесс aasasfw546514.exe заблокировал ваш экран. Возможно это вредоносная программа. Что сделать? Завершить этот процесс? Заблокировать? Отправить в облачный анализ?..и так далее...; уж тут я думаю, он сообразит что делать.
Второе, правила HIPS должны быть включены по умолчанию. На основные ветки реестра и основные файлы изначально. Взять, например, COMODO, если его настроить в жёстком режиме, то вопросов будет много, НО, уже сразу после установки, довольно большое количество системных файлов будет уже стоять в Доверенные. И запросов по ним не будет. И тем более правила hips должны быть включены по умолчанию, если политика такая [QUOTE]невозможно идти на поводу у дилетантов и делать так, чтобы им не надо было ничего делать[/QUOTE] Только работа с дилетантами должна быть гибче. Что то можно им дать на расмотрение, а что-то должно блокироваться независимо от уровня знаний пользователя.
Например, взять БЕСПЛАТНЫЙ антивирус COMODO. Его для новичков тоже никак не назовёшь. При жёстких настройках он довольно много вопросов задаёт, первое время, пока правила не созданы. Но в нём есть при установке настройки, галочка, что бы не задавать много вопросов. При таких настройках, HIPS будет отключен. Но поведенчесский анализ, песочница, всё-равно будет работать.
Вот случай из жизни: С недели три назад, я словил винлока, причём не заметил как, но комод его в песок загнал, в ожидаемые решения. Увидел только случайно, благодаря гаджету на раб.столе, который показывал что один файл ожидает решения. Я открыл окно где он ожидал решения, и не успел его закрыть, как пришёл ответ из облака, что это вредонос, и файл был удалён.Тоесть, мои действия к нулю практически сводились. Как скачался вирус, я не заметил. не заметил как его поместили в ожидаемые решения. И если бы меня не было за компом, то и как его удалили не заметил бы. И это при том, что и HIPS включен, и правила какие-то особые я в него специально не загонял, и то, что баз на этот винлок на то время у комодо не было.
Это я к тому, что надо искать золотую середину в решениях. Где-то юзверя и задолбать вопросами, а что-то может быть сделано и по умолчанию.
У шестой версии комода хватает недостатков, он сыроват ещё. Но уже то, что он делает....
В общем, нодовцам есть над чем подумать.
Предложения по функционалу продуктов ESET
[QUOTE]RP55 RP55 пишет:
Сейчас надкусанное/погрызенное зелёное яблоко популярно в народе/населении.
Есть капуста - пусть с яблоками замачивают ! :idea:[/QUOTE] МАСа им ещё только не хватало. От вирусов спасёт, правда не от всех, зато по поводу игрушек замахают.