Расширенная Эвристика , целеособразность включения или отключения

RSS
Здравствуйте, вопрос по поводу расширенной эвристики в последней версии продукта Eset (5.0.93.15). Включил расширенную эвристику только для интернета и сканирования по требованию, имеет ли смысл её включать где-либо ещё, либо же вовсе отключить ибо разницы не заметил...

Ответы

а где-нибудь можно почитать про те, скажем так "критические" правила для HIPS, которые нужно создать?
Тут, насколько я помню, была отдельная ветка про настройку HIPS.
Но все-таки пару слов скажу здесь)
На самом деле, сценариев работы с HIPS может быть сколько угодно: все здесь упирается в собственную фантазию и понимание работы ПК.
На мой взгляд, для обеспечения максимальной безопасности можно воспользоваться следующим методом.
При этом подразумевается, что под систему выделяется отдельный раздел, а на всех остальных разделах хранятся пользовательские данные.
В HIPS же создается правило в разделе "Конечные файлы" для всего системного раздела (или, по крайней мере, для всей директории Windows) для всех операций с действием "Запросить", и далее в течение нескольких дней стоит усиленно поиспользовать программы, чтобы настроить разрешающие правила для тех или иных приложений, чтобы постоянно не отвлекаться на простые запросы.
Ну, и лучше создать правила с тем же действием "Запросить" для основных веток реестра, таких как:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer
Можно и другие ветки сюда добавить: справочников по реестру Windows хватает.
При таких настроенных правилах при всяких подозрительных действиях будет выдаваться запрос, и пользователь сможет сам определять необходимость того или иного действия.
Изменено: marshal64 - 24.09.2011 15:12:58
я вот какие добавил:
Цитата
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\*
и еще на папку
Цитата
C:\Windows\System32\drivers\etc\*
Правильно заданный вопрос - это уже половина ответа
Думаю расширенный эвристик нету резона включать. Отличия..отличия в том что в отдельных случаях может быть затормозка, если эвристик запалит что-то подозрительное. Обычный эвристик это совмещение различных видов сигнатур (сигнатуры файлов, угроз, поведенческие сигнатуры и т.д), расширенная как я думаю это обычная + непосредственная эмуляция программы в защищенной среде, получается связка эмулятор процессора + песоцница. В случае с сайтами, могут дольше загружаться сайты пока эвристик понасилует все скрипты. В реальной защите включать думаю вещь довольно ненужная.
Код
Активная эвристика 
Технология активной эвристики ESET создает виртуальный компьютер в ядре сканирования, что позволяет сканеру изучить возможные действия программы, если она будет запущена на реальном компьютере. Это позволяет распознать потенциально вредоносные действия, которые не определяются при помощи других способов обнаружения.
Изменено: ORION - 22.11.2011 02:23:42
Согласно правилам раздела, в данном разделе форума ведётся обсуждение ответов на конкретные обращения в техническую поддержку пользователей.

Сообщите, если проблема ещё актуальна. После этого тема будет перенесена в соответствующий раздел форума.

Спасибо.
ESET Technical Support
Читают тему (гостей: 2)