Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

всем приложениям может быть запрещены определенные действия:

над конечными файлами (всеми или конкретными),
над конечными приложениями (т.е. вызвать запуск другой программы, перехватить другую программу, закрыть другую программу..... для всех конечных программ, или для конкретной конечной программы);
- изменить удалить, переименовать во всем реестре, или к конкретных ветках реестра.
---------------
конкретнее распиши, какое правило создаешь

в моем правиле получается, что для всех приложений (в том числе для бат файла) запрещено изменение или удаление определенного (по определенному пути) конечного файла. и это работает.
Изменено: santy - 25.09.2014 10:44:56
Получилось так:





Создаю Блокирующее правило на выполнение 1.cmd удалять файл test.txt как в первом скрине, затем запрещаю конечному приложению выполняться.
Все остальное по умолчанию "Действительно для всех"
Получается, чтобы запретить выполнение шифровальщика нужно добавлять конечное приложение C:\Users\\AppData\Local\Temp\pubring.gpg
Изменено: Виктор - 25.09.2014 10:51:36
но, вообщем да, согласен, на такие вещи hips не реагирует.

с терминологией не совсем так.
приложение здесь 1.cmd, конечный файл это test.txt
просто действие над test.txt прописано в теле скрипта 1.cmd
--------
как в этом случае правильно построить правило надо потестировать
Изменено: santy - 25.09.2014 10:57:04
Теперь понятно, почему удалялся файл...
У меня разрешено файлу explorer.exe удалять/изменять файлы.

Зато теперь можно контролировать командную строку, с ней тоже могут и файлы поудалять.

Изменено: Виктор - 25.09.2014 11:02:14
а эксплорер каким боком здесь? запускает командную строку?
Все понял, когда указываем, исходное приложение C:\Users\\AppData\Local\Temp\1.cmd правило включает только его.
Другие с ним связанные приложения работают.

Вот так правильно:





Изменено: Виктор - 25.09.2014 11:26:33
понятно. здесь еще и исходное приложение надо добавить. (в ФФ не видно рисунков, только в Хроме)
Изменено: santy - 25.09.2014 11:29:11
А исходные приложения в этих правилах - все?
Изменено: santy - 25.09.2014 11:31:04
Все, поэтому и высветился C:\Windows\System32\cmd.exe, а если бы указал исходным только файл C:\Users\\AppData\Local\Temp\1.cmd то он бы пропустил приложение cmd.exe
т.е. тут надо точно знать, что выбираемое приложение действительно самостоятельное  :D
Изменено: Виктор - 25.09.2014 11:49:41
Вот рисунки:

http://rghost.ru/58193378/image.png
http://rghost.ru/58193379/image.png
http://rghost.ru/58193381/image.png
Читают тему (гостей: 4)