Настройка HIPS

RSS
Подскажите каким образом настроить правила в HIPS'e чтобы защищалась целая ветка реестра, а не конкретный параметр.
На форуме уже спрашивал, Валентин сказал что это возможно, но подробностей не было. В справке подобную информацию не обнаружил.
Screen_116.png (71.94 КБ)
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 3 4 5 6 7 ... 9 След.
Цитата
glitch пишет:
Спасибо, интересно почитать, до меня остается непонятным вкладка "Конечные приложения" - я так понимаю это дает возможность зделать "Jail" для приложения?

Конечные приложения

· Отладка другого приложения : прикрепление отладчика к процессу. При отладке какого-либо приложения можно просмотреть и изменить многие сведения о его поведении и получить доступ к его данным.

· Перехватывать события другого приложения : исходное приложение пытается захватить события, направленные на конечное приложение (например, клавиатурный шпион, пытающийся захватить события браузера).

· Завершить/приостановить работу другого приложения : приостановка, возобновление или завершение процесса (можно получить доступ непосредственно из обозревателя процессов или панели «Процессы»).

· Запустить новое приложение : запуск новых приложений или процессов.

· Изменить состояние другого приложения : исходное приложение пытается осуществить запись в память целевого приложения или выполнить код от его имени. Эта функциональность может быть полезна для защиты имеющего высокое значение приложения путем конфигурирования его в качестве целевого приложения в правиле, блокирующем использование данной операции.
ESET Technical Support
Валентин,
Спасибо, извиняюсь что не удосужился почитать F1 :)

В дополнение к тому что рекомендовал Арвид
Вот еще рекомендуют, в частности от винлокеров:
Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­\*

И еще вопрос к знающим людям, там же советуют защищать по маске:
Цитата
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
тоесть получаеться включать значения в ветке HKEY_CURRENT_USER тоже - это правильнне наверное будет?

Ну и еще рекомендуют к охране:
Цитата
*\SOFTWARE\Policies\*
Изменено: glitch - 06.10.2011 10:49:05
запросы на создания правил многочислены и в какой то момент приводят к зависанию окошка

операционная система пытается завершить работу антивируса, но его самозащита не даёт это сделать  ;)
Изменено: EMBRACE - 05.11.2011 15:35:38
у тебя такое предупреждение как на скрине? это как минимум не нормально:)
Правильно заданный вопрос - это уже половина ответа
Арвид, этот снимок ранее из темы, 21 сообщение, использован для примера  8)
Доброго времени! Подскажите, как настроить фаервол/хипс на прохождение тестов(от pcflanc, comodo и т.д.) если они конечно актуальны? У меня выставленно все по максимуму(интеракт.+ защита реестра данная тут же)
Kurt, установите файервол и хипс в интерактивный режим.
ESET Technical Support
Цитата
Валентин пишет:
Kurt , установите файервол и хипс в интерактивный режим.

если хипс в интер., то окон масса,не продохнуть, это единственный способ?
Kurt, по поводу хипса - у нас есть набор инструкций: http://forum.esetnod32.ru/forum9/topic3141/ , но это прежде всего для защиты от блокеров.
На время тестирования советую всё таки временно включить интерактивный.
ESET Technical Support
Цитата
Валентин пишет:
Kurt, по поводу хипса - у нас есть набор инструкций:  http://forum.esetnod32.ru/forum9/topic3141/  , но это прежде всего для защиты от блокеров.

На время тестирования советую всё таки временно включить интерактивный.

Спасибо!
Пред. 1 ... 3 4 5 6 7 ... 9 След.
Читают тему (гостей: 1)