В случае с винлоками нужен поведенчесский анализ. Если юзверь может и не знать, что делать с файлом svchost.exe, который почему-то находится в папке Windows , а не в Windows\System32, то уж когда у него залочится экран и выскочит поверх окна WinLock'а сообщение Eset'а примерно такого содержания: Процесс aasasfw546514.exe заблокировал ваш экран. Возможно это вредоносная программа. Что сделать? Завершить этот процесс? Заблокировать? Отправить в облачный анализ?..и так далее...; уж тут я думаю, он сообразит что делать.
Второе, правила HIPS должны быть включены по умолчанию. На основные ветки реестра и основные файлы изначально. Взять, например, COMODO, если его настроить в жёстком режиме, то вопросов будет много, НО, уже сразу после установки, довольно большое количество системных файлов будет уже стоять в Доверенные. И запросов по ним не будет. И тем более правила hips должны быть включены по умолчанию, если политика такая
Цитата |
---|
невозможно идти на поводу у дилетантов и делать так, чтобы им не надо было ничего делать |
Только работа с дилетантами должна быть гибче. Что то можно им дать на расмотрение, а что-то должно блокироваться независимо от уровня знаний пользователя.
Например, взять БЕСПЛАТНЫЙ антивирус COMODO. Его для новичков тоже никак не назовёшь. При жёстких настройках он довольно много вопросов задаёт, первое время, пока правила не созданы. Но в нём есть при установке настройки, галочка, что бы не задавать много вопросов. При таких настройках, HIPS будет отключен. Но поведенчесский анализ, песочница, всё-равно будет работать.
Вот случай из жизни: С недели три назад, я словил винлока, причём не заметил как, но комод его в песок загнал, в ожидаемые решения. Увидел только случайно, благодаря гаджету на раб.столе, который показывал что один файл ожидает решения. Я открыл окно где он ожидал решения, и не успел его закрыть, как пришёл ответ из облака, что это вредонос, и файл был удалён.Тоесть, мои действия к нулю практически сводились. Как скачался вирус, я не заметил. не заметил как его поместили в ожидаемые решения. И если бы меня не было за компом, то и как его удалили не заметил бы. И это при том, что и HIPS включен, и правила какие-то особые я в него специально не загонял, и то, что баз на этот винлок на то время у комодо не было.
Это я к тому, что надо искать золотую середину в решениях. Где-то юзверя и задолбать вопросами, а что-то может быть сделано и по умолчанию.
У шестой версии комода хватает недостатков, он сыроват ещё. Но уже то, что он делает....
В общем, нодовцам есть над чем подумать.