Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

через фар или тотал
http://www.farmanager.com/download.php?l=ru
FAR

25.09.2014 20:23:07 C:\Program Files\Far Manager\Far.exe Получить доступ к файлу C:\Documents and Settings\Virlab\Local Settings\Temp\test.txt определенный доступ заблокирован 1 Удалить файл
25.09.2014 20:23:07 C:\Program Files\Far Manager\Far.exe Получить доступ к файлу C:\Documents and Settings\Virlab\Local Settings\Temp\test.txt определенный доступ заблокирован 1 Удалить файл
Изменено: Виктор - 25.09.2014 13:25:05
а вот если из папки запустить cmd-шник, да, правило работает.

Цитата
25.09.2014 16:18:50 C:\WINDOWS\explorer.exe Получить доступ к файлу C:\Documents and Settings\****\Local Settings\Temp\pubring.tmp определенный доступ заблокирован block run cmd Выполнить запись в файл

я такой cmd-шник использовал

Код
REM 1.
REM :goto test3

cd "%TEMP%"
----------------------------
REM rename pubring.gpg pubring.gpg.old
REM rename pubring.gpg.old pubring.gpg
copy pubring.tmp pubring.tmp.old
del pubring.tmp
:exit
Изменено: santy - 25.09.2014 13:27:19
все равно, нестабильно. то работает, то опять все пропускает
Батник не рабочий, не переименовывает файл pubring.gpg или какой там файл указан?
Изменено: Виктор - 25.09.2014 13:49:46
Разобрался, во вкладке "Конечные файлы" не работает путь с двумя слэшами: C:\Documents and Settings\\Local Settings\Temp\pubring.gpg
Можно сделать в два правила.

Допустим, у нас есть папка с любыми важными документами (к примеру, в формате txt в папке C:\Users\\Documents\).

Создаем два правила:

1) Разрешающее. Исходные приложения - C:\Windows\explorer.exe, C:\Windows\notepad.exe. Конечные файлы - C:\Users\\Documents\*
2) Запрещающее. Исходные приложения - Все. Конечные файлы - C:\Users\\Documents\*

В итоге получаем возможность редактировать файлы с помощью блокнота + перемещать, переименовывать их, а доступ для всех сторонних программ к файлам в этой папке будет запрещён.
Попробуйте протестировать.
ESET Technical Support
там все команды закоментированы, кроме этих двух

Цитата
copy pubring.tmp pubring.tmp.old
del pubring.tmp
Цитата
Виктор пишет:

Разобрался, во вкладке "Конечные файлы" не работает путь с двумя слэшами: C:\Documents and Settings \\ Local Settings\Temp\pubring.gpg

да, если прямой путь на конечный файл указываем, тогда срабатывает правило. при запуске cmd из far.

Цитата
25.09.2014 16:56:23 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp
определенный доступ заблокирован block run cmd Удалить файл

возможно будет работать и в том случае, если прямой путь указать на конечное приложение, и не прямой на конечный файл.
Изменено: santy - 25.09.2014 14:01:08
Работает только с полным путем: C:\Documents and Settings\User\Local Settings\Temp\pubring.tmp
Два слэша \\ не работают только во вкладке "Конечные файлы"

25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован 1 Удалить файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован 1 Удалить файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Выполнить запись в файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Удалить файл,Выполнить запись в файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Удалить файл,Выполнить запись в файл
Изменено: Виктор - 25.09.2014 14:07:00
Читают тему (гостей: 3)