Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Установка и настройка антивируса

Настройка HIPS

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.09.2011 16:54:27
Подскажите каким образом настроить правила в HIPS'e чтобы защищалась целая ветка реестра, а не конкретный параметр.
На форуме уже спрашивал, Валентин сказал что это возможно, но подробностей не было. В справке подобную информацию не обнаружил.
Screen_116.png (71.94 КБ)
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 2 3 4 5 6 ... 9 След.
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 21.09.2011 00:00:34
Цитата
Арвид пишет:
в принципе что мне надо было - работает. просто я думал что если править файл блокнотом или еще чем нибудь, то антивирус разрешение спросит, но тут он молчит. зато если другие утилиты хотят это сделать - орет.
Да странно, по другим путям всё -оk. Может там в HIPS свое какое правило(по умолчанию) по этому пути(C:\Windows\System32\drivers\etc\hosts) уже есть, не понятно.
А с таким правилом не изменить не чем вообще. Можно поставить блокировать или спросить.:)
Снимок87.PNG (88.49 КБ)
Снимок322.PNG (102.8 КБ)
Изменено: EVE N - 21.09.2011 00:05:51
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.09.2011 00:24:57
EVE N,
для тебя тоже английский GUI кажется более адекватным? :D
Правильно заданный вопрос - это уже половина ответа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.09.2011 00:34:52
Решение как на скрине тоже нормальное, но все равно через Тотал (акелпадом) файл спокойно редактируется и сохраняется :D
Кстати, не забывайте про параметр DataBasePath в реестр - HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, если там вирус изменит путь к хосту, то файл c:\Windows\System32\drivers\etc\hosts ему не нужен будет
Правильно заданный вопрос - это уже половина ответа
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 21.09.2011 01:12:34
Не получается у меня с моими настройками отредактировать не чем, там правило установлено для всех программ. Только из безопасного режима, или Live CD. :)
Изменено: EVE N - 21.09.2011 01:13:02
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 21.09.2011 01:18:50
Цитата
Арвид пишет:
EVE N,  
для тебя тоже английский GUI кажется более адекватным?  
Я с беты к нему привык. ;)  :)
Изменено: EVE N - 21.09.2011 01:19:15
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
stopudof
stopudof
Пользователь
Сообщений: 66
Баллов: 52
Регистрация: 15.03.2010
Размещено 22.09.2011 00:19:44
Цитата
Арвид пишет:
stopudof,  

добавь в правило приложение которое открывает этот файл
Что то не помогает этот способ файлы открываются без запросов
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 22.09.2011 14:13:07
Цитата
stopudof пишет:
Что то не помогает этот способ файлы открываются без запросов
Так на скрине у EVE N стоит действие "Блокировать", а для запросов нужно установить "Запросить".
В общем, лучше сделать скрин вашего правила, тогда будет более понятно в чем проблема.
 
glitch
glitch
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.10.2011
Размещено 05.10.2011 11:27:20
Господа! А что еще вы защитили с помощью HIPS кроме файла хост? Ведь там можно очень даже неплохо все настроить как я понимаю. Кроме веток реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*

В системе полно уязвимых мест! Просветите на этот счет, тема та интересная.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 05.10.2011 11:30:35
Я защитил вот эти файлы:
Цитата
C:\Windows\explorer.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Windows\System32\drivers\etc\*
и эти ветки реестра:
Цитата
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\System\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
и + еще поставил галочку на Сообщить об изменениях регистрации запуска
Правильно заданный вопрос - это уже половина ответа
 
glitch
glitch
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.10.2011
Размещено 05.10.2011 11:37:41
Арвид,
Спасибо, интересно почитать, до меня остается непонятным вкладка "Конечные приложения" - я так понимаю это дает возможность зделать "Jail" для приложения?
 
Пред. 1 2 3 4 5 6 ... 9 След.
Читают тему