Защита от вирусных шифровщиков с помощью HIPS

RSS

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 05:47:37

Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...

Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 2 3 4 5 6 ... 12 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.09.2014 13:17:17

через фар или тотал
http://www.farmanager.com/download.php?l=ru

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 13:24:34

FAR

25.09.2014 20:23:07 C:\Program Files\Far Manager\Far.exe Получить доступ к файлу C:\Documents and Settings\Virlab\Local Settings\Temp\test.txt определенный доступ заблокирован 1 Удалить файл
25.09.2014 20:23:07 C:\Program Files\Far Manager\Far.exe Получить доступ к файлу C:\Documents and Settings\Virlab\Local Settings\Temp\test.txt определенный доступ заблокирован 1 Удалить файл

Изменено: Виктор - 25.09.2014 13:25:05

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.09.2014 13:25:03

а вот если из папки запустить cmd-шник, да, правило работает.

Цитата
25.09.2014 16:18:50 C:\WINDOWS\explorer.exe Получить доступ к файлу C:\Documents and Settings\****\Local Settings\Temp\pubring.tmp определенный доступ заблокирован block run cmd Выполнить запись в файл

я такой cmd-шник использовал

Код
REM 1. REM :goto test3 cd "%TEMP%" ---------------------------- REM rename pubring.gpg pubring.gpg.old REM rename pubring.gpg.old pubring.gpg copy pubring.tmp pubring.tmp.old del pubring.tmp :exit

Изменено: santy - 25.09.2014 13:27:19

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.09.2014 13:42:05

все равно, нестабильно. то работает, то опять все пропускает

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 13:43:03

Батник не рабочий, не переименовывает файл pubring.gpg или какой там файл указан?

Изменено: Виктор - 25.09.2014 13:49:46

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 13:50:59

Разобрался, во вкладке "Конечные файлы" не работает путь с двумя слэшами: C:\Documents and Settings\\Local Settings\Temp\pubring.gpg

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 25.09.2014 13:52:49

Можно сделать в два правила.

Допустим, у нас есть папка с любыми важными документами (к примеру, в формате txt в папке C:\Users\\Documents\).

Создаем два правила:

1) Разрешающее. Исходные приложения - C:\Windows\explorer.exe, C:\Windows\notepad.exe. Конечные файлы - C:\Users\\Documents\*
2) Запрещающее. Исходные приложения - Все. Конечные файлы - C:\Users\\Documents\*

В итоге получаем возможность редактировать файлы с помощью блокнота + перемещать, переименовывать их, а доступ для всех сторонних программ к файлам в этой папке будет запрещён.
Попробуйте протестировать.

ESET Technical Support

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.09.2014 13:53:19

там все команды закоментированы, кроме этих двух

Цитата
copy pubring.tmp pubring.tmp.old del pubring.tmp

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.09.2014 14:00:41

Цитата
Виктор пишет: Разобрался, во вкладке "Конечные файлы" не работает путь с двумя слэшами: C:\Documents and Settings \\ Local Settings\Temp\pubring.gpg

да, если прямой путь на конечный файл указываем, тогда срабатывает правило. при запуске cmd из far.

Цитата
25.09.2014 16:56:23 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован block run cmd Удалить файл

возможно будет работать и в том случае, если прямой путь указать на конечное приложение, и не прямой на конечный файл.

Изменено: santy - 25.09.2014 14:01:08

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 14:03:15

Работает только с полным путем: C:\Documents and Settings\User\Local Settings\Temp\pubring.tmp
Два слэша \\ не работают только во вкладке "Конечные файлы"

25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован 1 Удалить файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован 1 Удалить файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Выполнить запись в файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Удалить файл,Выполнить запись в файл
25.09.2014 21:01:19 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\Virlab\LOCALS~1\Temp\pubring.tmp.old определенный доступ заблокирован 1 Удалить файл,Выполнить запись в файл

Изменено: Виктор - 25.09.2014 14:07:00

Пред. 1 2 3 4 5 6 ... 12 След.