Несколько вопросов о HIPS , Пробую его изучать, но есть некоторые моменты

1. Устанавливаю игры, само собой не лицензионные, некоторые из них хотят получить доступ к csrss.exe https://sun9-7.userapi.com/impf/ZM3eGyLmwJPKdL7LnF-fn799gbX6q-wFJfSDvQ/5OqOZApphUA.jpg?size=1041x276... и мне хочется узнать, нормально ли это или стоит опасаться?

2. Эта игра так и вовсе хочет прописать ключик в реестре https://sun9-29.userapi.com/impf/sdMAexR7YwiLil2nm33XON7XFas5r7gwi5Ij-Q/5sBgNDZCgUY.jpg?size=694x513... и еще пытается получить не только доступ к csrss.exe но и к службам ESET https://sun9-7.userapi.com/impf/OwdiWzI6M9gOnMqiTLgKJiqY-LW0h5YYFjtkig/KPgSrGUfno8.jpg?size=1007x771... что тоже меня заинтересовало

3. Еще одна игра тоже меня заинтересовала. Мне показывает это при сканировании https://sun9-27.userapi.com/impf/uuzSiNU6qVNz6rM0SJRb9-ZzitExsElUxWyKNA/U9p96-4xOHg.jpg?size=798x393...  как я понимаю, это кряк для взлома игры, но могу ошибаться, дефендер мелкомягких показал это https://sun9-7.userapi.com/impf/pKL_NfzKnN1M0PWQR4ad0DOilWv9hsOokt5gyA/9ma3-rTJoTk.jpg?size=448x367&... а доктор веб cureit  молчит, пробовал удалить через дефендер, но это как я понял уже ЕСЕТ не разрешает)) ну это я так для эксперимента https://sun9-72.userapi.com/impf/6cu_W7WN087QhuNbs_baaZq39mXAxtI3-FlkOw/vKUnjsPxTfE.jpg?size=788x316...
а самим ЕСЕТом я удалил https://sun9-61.userapi.com/impf/U4s-kIDJJ5TLDp3-U8aXazFU8PoQEkqnwPr-lw/F7lQbah6h_o.jpg?size=745x547... и повторно просканил - всё нормас. Правда в windows defender один хрен он показывает, но это насколько я знаю баг такой (хз как от него избавиться теперь)

И вот что интересно:
а) Зачем некоторые экзешники лезут в csrss.exe ? Ведь некоторые другие игры с торрента вообще не пытаются лезть туда, да и не собираются менять параметры системы
б) За каким лешим спираченой игре ключ в реестр запиливать?
в) Может ли безопасная без вирусов спираченая игра лезть к антивируснику с попыткой получить доступ? (наверное глупый вопрос) Может ей типо разрешение надо для чего-то?
г) Что за Windows32HackToolCrack.CS такой? Кряк/таблетка для игры или что? В других спираченых игрушках при сканировании ничего такого обнаружено не было, от слова совсем, однако там таблэтки наверняка тоже есть, весь не лицензионные же игрушки то.

Нужно изучать\искать информацию по каждому объекту\файлу\процессу.
csrss.exe

Сведения о реестре Windows
https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/performance/windows-registry-advanced-users
https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D0%B5%D1%81%D1%82%D1%80_Windows

egui.exe - графический интерфейс пользователя. т.е. видимые окна с которыми мы работаем.
В антивирусе есть: Игровой режим.

Цитата
При включении этой функции отключаются все всплывающие окна.

Возможно файл\процесс игры: Alone.exe - пытается взаимодействовать с любыми активными окнами. ( например свернуть\закрыть окно при запуске игры )
Нужно наблюдать и смотреть, что происходит.
Для этого или найти старый PC и на нём проводить эксперименты или установить виртуальную машину.

Большинство программ прописывают параметры в реестр.
Есть автоматический запуск - да\нет и тип и параметры запуска ( например отложенный запуск )
Прописывают информацию самой программе - версия, крайнее обновление и т.д.

HackTool.Crack

Цитата
Возможно файл\процесс игры: Alone.exe - пытается взаимодействовать с любыми активными окнами. ( например свернуть\закрыть окно при запуске игры )

Хмм... получается, если egui если пытается получить доступ, то это не значит, что есть опасность (на старом PC кстати эксперименты провожу, но там для сравнения, нет интернета и антивируса ESET)

Цитата
Большинство программ прописывают параметры в реестр. Есть автоматический запуск - да\нет и тип и параметры запуска ( например отложенный запуск ) Прописывают информацию самой программе - версия, крайнее обновление и т.д.

Значит ключик этот может быть просто "информацией" об игре (но это не точно)

Цитата
HackTool.Crack

Судя по описанию этого сайта, опасность он представляет. Хотя с другой стороны их антивирус - параноик, судя по отзывам вирустотал. Однако я удалил этот файл с кряком, и игра всё равно запустилась, что интересно. Ах да, то же касается Alone in the dark. Я вот что заметил то... остальные спираченые игры работают без всяких там хактулов и ключиков. Но как... там же должна быть таблэтка и в теории должна детектиться. И я пришёл к выводу, что есть "плохие" таблэтки, которые помимо игры могут взломать тебе ж*пу, и хорошие, которые на столько безопасны для пользователя и системы, что антивирусами за опасное ПО не считаются. Я правильно понимаю?

И вот еще что интересно. Процесс EKRN - если в теории к нему захочет получить доступ какой-то экзешник, то это повод бить тревогу?

Цитата
Подозрительный Человек написал: (на старом PC кстати эксперименты провожу, но там для сравнения, нет интернета и антивируса ESET)

Можно легально качать Антивирусные базы ESET NOD32 ( при наличие лицензии вы получаете доступ к этим файлам )
Установить Windows 7 + Антивирус ESET 4.2

Для мониторинга изменений в файловой системе и реестре есть отделенные программы.

Цитата
Подозрительный Человек написал: И вот еще что интересно. Процесс EKRN - если в теории к нему захочет получить доступ какой-то экзешник, то это повод бить тревогу?

Есть программы которые уведомляют производителя о всех запущенных в системе процессах. Например для улучшения совместимости ит.д.
т.е. нет общего знаменателя - каждый случай нужно изучать отдельно.

Понял, благодарю. Хорошо, буду исследовать дальше) Как раз на старом ПК много пиратского контента для теста. Еще изучу про защиту сети, чтобы выяснить, почему csrss уже порты атаковать начала, совсем уже мелкомягкие охренели, я по совпадению времени определил, кто виновник https://sun9-4.userapi.com/impf/nKUrIw4L-s3eJ6HaNm8OgHPWtSChAPCm_FcDrg/IDrKI5Fdqmw.jpg?size=925x664&...
По сути HIPS же своё дело делает. Значит можно и в эти пиратские игры играть, и быть при этом в безопасности. Ведь изменить процессы или реестр хипс им не разрешит

Цитата
Подозрительный Человек написал: Ведь изменить процессы или реестр хипс им не разрешит

Нет идеальных программ.
-----
+
https://forum.esetnod32.ru/messages/forum9/topic16234/message111146/#message111146

Цитата
https://forum.esetnod32.ru/messages/forum9/topic16234/message111146/#message111146

Жесть... а как же тогда защищаться или вычислять такие вирусы... а также  руткиты и вот эти вот буткиты. Что их может выдать? Я слышал ещё о такой проге, как TDSSkiller от Касперского. А есть что-то подобное у ЕСЕТ или Майкрософт?

TDSSkiller -  и т.д. в данном случае не помогут.
Теоретически даже если вирус будет найден - не смогут очистить.
-------
Что можно сделать.
1) Настроить режимы безопасности в BIOS\UEFI - защита от записи.
2) Знать своё железо т.е. какая прошивка\версия BIOS\UEFI  установлена.
Допустим:  :)
Award
Версия F5
Дата 06/20/2018
Размер 3072 KB
----------
System Information Viewer - SIV
------
Понимать что может быть DUAL BIOS
т.е. Оригинальная версия с завода и обновлённая.
------
Записать данные - сделать снимок.
И если в данных будет расхождение...

а зачем тогда TDSS нужен... для руткитов что-ли только. Хмм... а если БИОС перепрошить например, проблема исчезнет?

Цитата
Подозрительный Человек написал: если БИОС перепрошить например, проблема исчезнет?

А как ?
Из под Системы или с Live CD может и не дать - если есть механизм самозащиты.
Через сам BIOS\UEFI - через настройки + usb с прошивкой ? Этой функции вообще может и не быть.
https://www.youtube.com/watch?v=DDSBRgOlPA0
Если есть DUAL BIOS
https://youtu.be/s3anyXAN2Uo
и т.д.
-------
Это всё нужно проверять и тестировать.
Если нет опыта - то пользователь сам без вируса прикончит РС