Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Обращение в техническую поддержку

Расширенная Эвристика , целеособразность включения или отключения

RSS
 
Alexkmk
Alexkmk
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 21.09.2011
Размещено 22.09.2011 23:37:19
Здравствуйте, вопрос по поводу расширенной эвристики в последней версии продукта Eset (5.0.93.15). Включил расширенную эвристику только для интернета и сканирования по требованию, имеет ли смысл её включать где-либо ещё, либо же вовсе отключить ибо разницы не заметил...

Ответы

Пред. 1 2
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 27
Баллов: 13
Регистрация: 25.03.2011
Размещено 24.09.2011 12:14:55
а где-нибудь можно почитать про те, скажем так "критические" правила для HIPS, которые нужно создать?
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 24.09.2011 14:56:32
Тут, насколько я помню, была отдельная ветка про настройку HIPS.
Но все-таки пару слов скажу здесь)
На самом деле, сценариев работы с HIPS может быть сколько угодно: все здесь упирается в собственную фантазию и понимание работы ПК.
На мой взгляд, для обеспечения максимальной безопасности можно воспользоваться следующим методом.
При этом подразумевается, что под систему выделяется отдельный раздел, а на всех остальных разделах хранятся пользовательские данные.
В HIPS же создается правило в разделе "Конечные файлы" для всего системного раздела (или, по крайней мере, для всей директории Windows) для всех операций с действием "Запросить", и далее в течение нескольких дней стоит усиленно поиспользовать программы, чтобы настроить разрешающие правила для тех или иных приложений, чтобы постоянно не отвлекаться на простые запросы.
Ну, и лучше создать правила с тем же действием "Запросить" для основных веток реестра, таких как:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer
Можно и другие ветки сюда добавить: справочников по реестру Windows хватает.
При таких настроенных правилах при всяких подозрительных действиях будет выдаваться запрос, и пользователь сможет сам определять необходимость того или иного действия.
Изменено: marshal64 - 24.09.2011 15:12:58
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.09.2011 17:37:09
я вот какие добавил:
Цитата
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\*
и еще на папку
Цитата
C:\Windows\System32\drivers\etc\*
Правильно заданный вопрос - это уже половина ответа
 
ORION
ORION
Пользователь
Сообщений: 264
Баллов: 211
Регистрация: 02.04.2010
Размещено 22.11.2011 02:20:57
Думаю расширенный эвристик нету резона включать. Отличия..отличия в том что в отдельных случаях может быть затормозка, если эвристик запалит что-то подозрительное. Обычный эвристик это совмещение различных видов сигнатур (сигнатуры файлов, угроз, поведенческие сигнатуры и т.д), расширенная как я думаю это обычная + непосредственная эмуляция программы в защищенной среде, получается связка эмулятор процессора + песоцница. В случае с сайтами, могут дольше загружаться сайты пока эвристик понасилует все скрипты. В реальной защите включать думаю вещь довольно ненужная.
Код
Активная эвристика 
Технология активной эвристики ESET создает виртуальный компьютер в ядре сканирования, что позволяет сканеру изучить возможные действия программы, если она будет запущена на реальном компьютере. Это позволяет распознать потенциально вредоносные действия, которые не определяются при помощи других способов обнаружения.
Изменено: ORION - 22.11.2011 02:23:42
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 10.12.2012 17:55:03
Согласно правилам раздела, в данном разделе форума ведётся обсуждение ответов на конкретные обращения в техническую поддержку пользователей.

Сообщите, если проблема ещё актуальна. После этого тема будет перенесена в соответствующий раздел форума.

Спасибо.
ESET Technical Support
 
Пред. 1 2
Читают тему