Настройка HIPS

RSS
Подскажите каким образом настроить правила в HIPS'e чтобы защищалась целая ветка реестра, а не конкретный параметр.
На форуме уже спрашивал, Валентин сказал что это возможно, но подробностей не было. В справке подобную информацию не обнаружил.
Screen_116.png (71.94 КБ)
Правильно заданный вопрос - это уже половина ответа

Ответы

Цитата
Арвид пишет:
в принципе что мне надо было - работает. просто я думал что если править файл блокнотом или еще чем нибудь, то антивирус разрешение спросит, но тут он молчит. зато если другие утилиты хотят это сделать - орет.
Да странно, по другим путям всё -оk. Может там в HIPS свое какое правило(по умолчанию) по этому пути(C:\Windows\System32\drivers\etc\hosts) уже есть, не понятно.
А с таким правилом не изменить не чем вообще. Можно поставить блокировать или спросить.:)
Снимок87.PNG (88.49 КБ)
Снимок322.PNG (102.8 КБ)
Изменено: EVE N - 21.09.2011 00:05:51
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
EVE N,
для тебя тоже английский GUI кажется более адекватным? :D
Правильно заданный вопрос - это уже половина ответа
Решение как на скрине тоже нормальное, но все равно через Тотал (акелпадом) файл спокойно редактируется и сохраняется :D
Кстати, не забывайте про параметр DataBasePath в реестр - HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, если там вирус изменит путь к хосту, то файл c:\Windows\System32\drivers\etc\hosts ему не нужен будет
Правильно заданный вопрос - это уже половина ответа
Не получается у меня с моими настройками отредактировать не чем, там правило установлено для всех программ. Только из безопасного режима, или Live CD. :)
Изменено: EVE N - 21.09.2011 01:13:02
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Цитата
Арвид пишет:
EVE N,  
для тебя тоже английский GUI кажется более адекватным?  
Я с беты к нему привык. ;)  :)
Изменено: EVE N - 21.09.2011 01:19:15
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
Цитата
Арвид пишет:
stopudof,  

добавь в правило приложение которое открывает этот файл
Что то не помогает этот способ файлы открываются без запросов
Цитата
stopudof пишет:
Что то не помогает этот способ файлы открываются без запросов
Так на скрине у EVE N стоит действие "Блокировать", а для запросов нужно установить "Запросить".
В общем, лучше сделать скрин вашего правила, тогда будет более понятно в чем проблема.
Господа! А что еще вы защитили с помощью HIPS кроме файла хост? Ведь там можно очень даже неплохо все настроить как я понимаю. Кроме веток реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*

В системе полно уязвимых мест! Просветите на этот счет, тема та интересная.
Я защитил вот эти файлы:
Цитата
C:\Windows\explorer.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Windows\System32\drivers\etc\*
и эти ветки реестра:
Цитата
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\System\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\DataBasePath
и + еще поставил галочку на Сообщить об изменениях регистрации запуска
Правильно заданный вопрос - это уже половина ответа
Арвид,
Спасибо, интересно почитать, до меня остается непонятным вкладка "Конечные приложения" - я так понимаю это дает возможность зделать "Jail" для приложения?
Читают тему (гостей: 1)