Форум esetnod32.ru [тема: Несколько вопросов о HIPS]

Форум esetnod32.ru [тема: Несколько вопросов о HIPS] http://forum.esetnod32.ru Новое в теме Несколько вопросов о HIPS форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 10:06:36 +0300 Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
По поводу BIOS\UEFI
Изменения в прошивке сводяться к таким вариантам:

1) Легальная чистая прошивка от производителя - с завода.
1.1) Легальная прошивка с модулями слежения...
типа: Модифицированный EFI/CompuTrace.A
https://xakep.ru/2014/02/13/62048/
https://support.eset.com/en/kb6567-you-receive-an-eset-uefi-detection

2) Легальное обновление прошивки от производителя - запущенное автоматически, или пользователем\администратором.

3) Чистая модифицированная прошивка - например добавлена поддержка нового оборудования.
Выполненная частным лицом, или предприятием - не имеющим к производителю никого отношения.

4) "Вирус" - Троянец.
Перепрошивка
4.1) Повторная перепрошивка - обновление.

5) Аппаратно\Программные комплексы защиты с перепрошивкой.
Обзор рынка средств (модулей) доверенной загрузки (СДЗ, МДЗ)
т.е. Теоретически, если производитель постановляет версию со встроенным в BIOS\UEFI модулем слежения - и этот же компонент содержаться в новых версиях прошивки...
можно применить модуль доверенной загрузки, если есть поддержка данной версии BIOS\UEFI
21.12.2020 10:11:24, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111395/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111395/ Mon, 21 Dec 2020 10:11:24 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
Благодарю за информацию
18.12.2020 00:21:27, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111358/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111358/ Fri, 18 Dec 2020 00:21:27 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
Это имеется ввиду программы по созданию вирусов?
=============
Сейчас сами "вирусы" - это конструктор.

====quote====
Подозрительный Человек написал:
у моего знакомого "разработчика" игр
=============
Возможно реакция на упаковщик - он может написать в пару тройку компаний\антивирусов и возможно ему ответят что-как и почему.

====quote====
Подозрительный Человек написал:
можно ли СЛУЧАЙНО напечатать "вредоносный код"?
=============

Можно - Вирусы на Delphi
Человек пишет код - а модифицированная программа добавляет свой.
В принципе любая взломанная\модифицированная программа может что нибудь от себя добавить.

====quote====
Подозрительный Человек написал:
Хмм... я так понимаю, можно же ещё посмотреть в автозагрузке, где собака зарыта, и вычислить гада?
=============

Файл может быть и не прописан в автозагрузке - параметры запуска могут быть прописаны в ярлыке ( например ярлыке браузера )

====quote====
Подозрительный Человек написал:
Отслеживать можно с помощью таких программ, как AUTORUN или мониторингом файловой системы и сетевой активности в сервисе антивируса? Или как это удобно делать?
=============
Прежде все нужно запомнить что у вас в норме загружено в память - но чем больше у вас программ тем сложнее это сделать...
Программы подбираются по функционалу и на вкус.
====quote====

Подозрительный Человек написал:
о FRST слышу впервые.
=============
Руководство по Farbar’s Recovery Scan Tool (FRST) | SafeZone - форум по информационной безопасности
15.12.2020 11:53:21, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111339/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111339/ Tue, 15 Dec 2020 11:53:21 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====

Сейчас угрозы это конструкторы

=============
Это имеется ввиду программы по созданию вирусов?
====quote====
КОД - отдельные функции\возможности\компоненты.

=============
Кстати о коде, у моего знакомого "разработчика" игр, почему-то постоянно одна из его игр детектируется на VT как завирусованная, ему так написали игроки-параноики. Но она нормальная, dr.web cureit ещё ещё проверяли - чисто (он кстати не нашёл hacktool, о котором было выше, видимо доктор веб не агрится на кряки и таблетки), однако да, установщик пихаем на ВТ, и показывает зверей. Так вот появился у нас такой вопрос, можно ли СЛУЧАЙНО напечатать "вредоносный код"?
====quote====
Есть файловые вирусы т.е. на диске сохраняются файл\файлы вирусов ( в скрытом или явном виде )- которые запускаются - тем или иным образом.

=============
Хмм... я так понимаю, можно же ещё посмотреть в автозагрузке, где собака зарыта, и вычислить гада?
====quote====
Есть без файловые - т.е. это просто процесс в оперативной памяти - пока PC работает "вирус" есть - перезагрузили его уже нет.

=============
Получается, достаточно например просто снять галочку "быстрый запуск", чтобы компьютер не сохранял мусор в оперативной памяти, и всё? Как-то помню, сканером доктор веба бекдор нашёл в onedrive как раз таки в оперативной памяти, при этом я винду переустанавливал, и я в итоге не понял, как он там оказался, я ведь и не качал ничего
====quote====
нужно отслеживать что находиться в оперативной памяти в норме и при появлении нового объекта реагировать

=============
Отслеживать можно с помощью таких программ, как AUTORUN или мониторингом файловой системы и сетевой активности в сервисе антивируса? Или как это удобно делать?
====quote====
Для лечения и профилактики изучать uVS и FRST

=============
Про uVS я слышал, а вот о FRST слышу впервые. Что за функционал у программы?

====quote====
Реально это троянская программа.

=============
Кстати, почитал я в одной статье про трояны, которые к ботнету подключают, но при этом не в биосе заседают, а на жестких дисках (то есть файловые вирусы), и там говорится, что достаточно удалить трояк, и комп отключается от ботнет-сети. И это меня порадовало, конечно =)
15.12.2020 10:00:21, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111338/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111338/ Tue, 15 Dec 2020 10:00:21 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
вирус
=============
На самом деле термин "вирус " в данном случае не верен.
Классический вирус - это то, что повреждает или уничтожает системные файлы, файлы пользователя.
т.е. название отсылает нас к биологическим угрозам\вирусом.
Реально это троянская программа.
Сейчас угрозы это конструкторы - нужен новый функционал - добавляют, что-то не нужно удаляют. Продают\покупают даже не сам вирус а КОД - отдельные функции\возможности\компоненты.

Есть файловые вирусы т.е. на диске сохраняются файл\файлы вирусов ( в скрытом или явном виде )- которые запускаются - тем или иным образом.
Есть без файловые - т.е. это просто процесс в оперативной памяти - пока PC работает "вирус" есть - перезагрузили его уже нет.

Как я уже говорил нужно отслеживать что находиться в оперативной памяти в норме и при появлении нового объекта реагировать.
Для лечения и профилактики изучать uVS и FRST
https://forum.esetnod32.ru/forum8/topic15785/
+
Читать статьи на специализированных сайтах форумах по информационной безопасности.
14.12.2020 00:25:56, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111280/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111280/ Mon, 14 Dec 2020 00:25:56 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
он должен решать определённые задачи - для этого ему нужны доп. модули и новые инструкции которые он и получает ( как правило по сети ).
=============
И вот отсюда начинается настоящая информационная безопасность - выдёргивание провода))

Ну с этим трикботом понятное дело... трудновато бороться, это не простой вирус. Но а что вот, касательно простых троянов, которые машину заражают и потом в ботнет-сеть добавляют - удалить этот троян, проверить на бекдоры систему, если найдутся, то удалить, и тогда же ПК отрубится от ботнета? Или что-то ещё понадобится, с тем же BIOS например? Просто я читал, что в основном в ботнеты прилетает машина из-за троянов, или чушь написана была?
13.12.2020 23:28:48, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111277/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111277/ Sun, 13 Dec 2020 23:28:48 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
Получается из ботнета можно только выбраться, перепрошив БИОС?
=============
От _этого "вируса" Да, сброс\прошивка.

====quote====
Подозрительный Человек написал:
запретить фаерволом, хипсом и UAC скачивать вредоносное ПО или что-то в этом роде?
=============
" Вирус " запускается до старта системы и средств защиты, они или не увидят его, или увидят - но не смогут удалить.
Могут эксплуатироваться уязвимости браузеров - и тогда загрузка будет идти за счёт браузера.
Компоненты которые загрузит " вирус " можно блокировать.
Но в этом нет смысла. Это как битва с ветряными мельницами.

====quote====
Подозрительный Человек написал:
Как я понял, вирус, который из компьютера делает зомби для ботнет-сети - заседает в BIOS
=============

В статье об этом и говориться...
1) Можно предотвратить заражение - настроив режим безопасности в BIOS
2) Нужно знать данные о своей родной прошивке - и отслеживать изменения.
3) Чтобы PC функционировал - нужен BIOS чтобы BIOS работал нужен нормальный код. В чипе мало памяти, а у "вируса" должен быть определённый функционал.
т.е. он должен решать определённые задачи - для этого ему нужны доп. модули и новые инструкции которые он и получает ( как правило по сети ).
13.12.2020 17:32:51, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111267/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111267/ Sun, 13 Dec 2020 17:32:51 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Нет, это не поможет.
BIOS\UEFI - информация записана на чип который встроен в материнскую плату.

=============
Получается из ботнета можно только выбраться, перепрошив БИОС? А если к примеру запретить фаерволом, хипсом и UAC скачивать вредоносное ПО или что-то в этом роде?
Как я понял, вирус, который из компьютера делает зомби для ботнет-сети - заседает в BIOS
13.12.2020 16:45:12, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111266/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111266/ Sun, 13 Dec 2020 16:45:12 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
ОС переустановить с полным форматированием всех дисков... наверное...
=============

Нет, это не поможет.
BIOS\UEFI - информация записана на чип который встроен в материнскую плату.
На диске могут быть дополнительные компоненты вируса - которые вирус загрузит по сети - при форматировании диска они будут удалены ( но вирус их снова запросит по сети )
Но если преступников накроют - вирус не сможет загружать дополнительные компоненты, получать обновления и информация от вируса - её некуда будет передавать.
13.12.2020 13:27:13, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111264/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111264/ Sun, 13 Dec 2020 13:27:13 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Есть ещё промышленный шпионаж Таргетированные (или целенаправленные) атаки - А есть на удачу - т.е. Одним махом семерых побивахом ...
Из 100 атакованных PC - хоть один да содержит нужную информацию... А это потенциально миллионы $...

=============
Плюс ещё эти компьютеры попадут в ботнет-сеть, из которой я так понимаю выбраться трудно, или ждать, когда её накроют. Ну или ОС переустановить с полным форматированием всех дисков... наверное...
====quote====
RP55 RP55 написал:
Есть Даркнет
Купля\продажа\обмен кодом\зверями.
=============
Слышал об этом. Мне кажется, что уже лазая по даркнету, можно нахватать чего не попадя. Но насколько я знаю, ZOG не дремлет и хватает за задницу зазевавшихся киберпреступников как раз в даркнете
13.12.2020 12:19:39, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111263/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111263/ Sun, 13 Dec 2020 12:19:39 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
В общем касательно этого вируса - единственный вариант, менять материнку.
=============
Это категоричное заявление :)
Если есть DUAL BIOS - то сброс настроек должен пройти нормально.
Сейчас риск выше чем раньше - BIOS\UEFI всё больше унифицированы и железо производят всего несколько компаний.
т.е. намного проще подобрать ключ.
Если пользователь не научиться решать эту проблему - то у него не будет денег на покупку нового железа ( всё сопрут )

====quote====
Подозрительный Человек написал:
А этот вирус не специально против простого смертного сделан.
=============
Есть ещё промышленный шпионаж Таргетированные (или целенаправленные) атаки - А есть на удачу - т.е. Одним махом семерых побивахом ...
Из 100 атакованных PC - хоть один да содержит нужную информацию... А это потенциально миллионы $...

====quote====
Подозрительный Человек написал:
Я конечно вообще поражаюсь, что к примеру могут просто пак с вирусами выложить, ведь это же вроде как уголовно наказуемо.
=============
Есть сайты\ресурсы - где можно скачать вирус - для изучения.
они работают вполне легально.

Есть Даркнет
Купля\продажа\обмен кодом\зверями.

====quote====
Подозрительный Человек написал:
А то, что спад - так это хорошо.
=============
Не уверен. Многие антивирусные компании откидывают копыта - протягивают ласты.
Нет смысла не выгодно создавать новые компании.

Будущее за машинным обучением искусственным интеллектом - квантовыми PC ( в плане отлова зверья )
12.12.2020 10:19:17, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111258/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111258/ Sat, 12 Dec 2020 10:19:17 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
В общем касательно этого вируса - единственный вариант, менять материнку. А так на него ещё нарваться надо. К примеру на торрентах 2летней давности вряд ли попадёшь на него. А этот вирус не специально против простого смертного сделан. Потом да, когда он потеряет актуальность... то тогда уже как Вы и написали - будет чуть ли не в свободном доступе. Я конечно вообще поражаюсь, что к примеру могут просто пак с вирусами выложить, ведь это же вроде как уголовно наказуемо.

Ещё как вариант не качать с торрентов однодневок, есть бухта, ест рутрекер, рутор... на крайняк thelastgame. Для фильмов тоже свои торренты есть.

А то, что спад - так это хорошо. Ну конечно расслабляться нет стоит)
12.12.2020 09:02:47, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111257/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111257/ Sat, 12 Dec 2020 09:02:47 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
Вначале вирусы под BIOS\UEFI были больше как научный эксперимент. т.е. случаи единичные и лабораторные.
Сейчас случаи заражения могут идти на тысячи.
т.е. ситуация похожа на первые компьютерные "вирусы".

Сейчас сложно прогнозировать что будет дальше.

По поводу заработка на Пупкиных - "Один Пупки рубль - Десять Пупкиных червонец"
Сейчас продаётся\перепродаётся любая информация.

Дорого стоит новый\оригинальный вирус - а потом его продают\перепродают со скидкой, или вообще выкладывают в свободный доступ и т.д.
т.е. в конце концов распространяют вирус люди к его созданию не имеющие никакого отношения.
Есть деньги есть, вирус - купили\заказали\модифицировали.

т.е. если данный метод заражения окажется эффективным и прибыльным... последуют новые заказы.

Сейчас наблюдается спад активности обычных вирусов\угроз и народ несколько расслабился...
12.12.2020 08:02:10, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111256/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111256/ Sat, 12 Dec 2020 08:02:10 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
Ну я так думаю, подобные вирусы как правило не водятся на всяких трекерах и подобным им интернет-ресурсах. Поскольку на такую малварь требуются хорошие мозги и ресурсы, которые тратить на какого-нибудь Васю Пупкина из 7Б, качающего игрушечки, уж слишком геморно. Я так полагаю, что этот вирус для кого-то посерьёзнее предназначен. На счёт руткитов и буткитов, увы не знаю. И как их вычислять тоже не знаю
12.12.2020 07:16:44, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111255/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111255/ Sat, 12 Dec 2020 07:16:44 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
если БИОС перепрошить например, проблема исчезнет?
=============
А как ?
Из под Системы или с Live CD может и не дать - если есть механизм самозащиты.
Через сам BIOS\UEFI - через настройки + usb с прошивкой ? Этой функции вообще может и не быть.
https://www.youtube.com/watch?v=DDSBRgOlPA0
Если есть DUAL BIOS
https://youtu.be/s3anyXAN2Uo
и т.д.
-------
Это всё нужно проверять и тестировать.
Если нет опыта - то пользователь сам без вируса прикончит РС
11.12.2020 21:09:29, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111254/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111254/ Fri, 11 Dec 2020 21:09:29 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
а зачем тогда TDSS нужен... для руткитов что-ли только. Хмм... а если БИОС перепрошить например, проблема исчезнет?
11.12.2020 18:10:05, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111253/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111253/ Fri, 11 Dec 2020 18:10:05 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
TDSSkiller - и т.д. в данном случае не помогут.
Теоретически даже если вирус будет найден - не смогут очистить.
-------
Что можно сделать.
1) Настроить режимы безопасности в BIOS\UEFI - защита от записи.
2) Знать своё железо т.е. какая прошивка\версия BIOS\UEFI установлена.
Допустим: :)
Award
Версия F5
Дата 06/20/2018
Размер 3072 KB
----------
System Information Viewer - SIV
------
Понимать что может быть DUAL BIOS
т.е. Оригинальная версия с завода и обновлённая.
------
Записать данные - сделать снимок.
И если в данных будет расхождение...
11.12.2020 10:29:29, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111250/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111250/ Fri, 11 Dec 2020 10:29:29 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
https://forum.esetnod32.ru/messages/forum9/topic16234/message111146/#message111146
=============
Жесть... а как же тогда защищаться или вычислять такие вирусы... а также руткиты и вот эти вот буткиты. Что их может выдать? Я слышал ещё о такой проге, как TDSSkiller от Касперского. А есть что-то подобное у ЕСЕТ или Майкрософт?
11.12.2020 09:11:51, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111249/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111249/ Fri, 11 Dec 2020 09:11:51 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
Ведь изменить процессы или реестр хипс им не разрешит
=============
Нет идеальных программ.
-----
+
https://forum.esetnod32.ru/messages/forum9/topic16234/message111146/#message111146
10.12.2020 23:00:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111246/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111246/ Thu, 10 Dec 2020 23:00:33 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
Понял, благодарю. Хорошо, буду исследовать дальше) Как раз на старом ПК много пиратского контента для теста. Еще изучу про защиту сети, чтобы выяснить, почему csrss уже порты атаковать начала, совсем уже мелкомягкие охренели, я по совпадению времени определил, кто виновник https://sun9-4.userapi.com/impf/nKUrIw4L-s3eJ6HaNm8OgHPWtSChAPCm_FcDrg/IDrKI5Fdqmw.jpg?size=925x664&...
По сути HIPS же своё дело делает. Значит можно и в эти пиратские игры играть, и быть при этом в безопасности. Ведь изменить процессы или реестр хипс им не разрешит
10.12.2020 22:40:20, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111245/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111245/ Thu, 10 Dec 2020 22:40:20 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Подозрительный Человек написал:
(на старом PC кстати эксперименты провожу, но там для сравнения, нет интернета и антивируса ESET)
=============

Можно легально качать Антивирусные базы ESET NOD32 ( при наличие лицензии вы получаете доступ к этим файлам )
Установить Windows 7 + Антивирус ESET 4.2

Для мониторинга изменений в файловой системе и реестре есть отделенные программы.

====quote====
Подозрительный Человек написал:
И вот еще что интересно. Процесс EKRN - если в теории к нему захочет получить доступ какой-то экзешник, то это повод бить тревогу?
=============
Есть программы которые уведомляют производителя о всех запущенных в системе процессах. Например для улучшения совместимости ит.д.
т.е. нет общего знаменателя - каждый случай нужно изучать отдельно.
10.12.2020 21:13:28, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111243/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111243/ Thu, 10 Dec 2020 21:13:28 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.

====quote====
Возможно файл\процесс игры: Alone.exe - пытается взаимодействовать с любыми активными окнами. ( например свернуть\закрыть окно при запуске игры )

=============
Хмм... получается, если egui если пытается получить доступ, то это не значит, что есть опасность (на старом PC кстати эксперименты провожу, но там для сравнения, нет интернета и антивируса ESET)

====quote====
Большинство программ прописывают параметры в реестр.
Есть автоматический запуск - да\нет и тип и параметры запуска ( например отложенный запуск )
Прописывают информацию самой программе - версия, крайнее обновление и т.д.

=============
Значит ключик этот может быть просто "информацией" об игре (но это не точно)

====quote====
HackTool.Crack
=============
Судя по описанию этого сайта, опасность он представляет. Хотя с другой стороны их антивирус - параноик, судя по отзывам вирустотал. Однако я удалил этот файл с кряком, и игра всё равно запустилась, что интересно. Ах да, то же касается Alone in the dark. Я вот что заметил то... остальные спираченые игры работают без всяких там хактулов и ключиков. Но как... там же должна быть таблэтка и в теории должна детектиться. И я пришёл к выводу, что есть "плохие" таблэтки, которые помимо игры могут взломать тебе ж*пу, и хорошие, которые на столько безопасны для пользователя и системы, что антивирусами за опасное ПО не считаются. Я правильно понимаю?

И вот еще что интересно. Процесс EKRN - если в теории к нему захочет получить доступ какой-то экзешник, то это повод бить тревогу?
10.12.2020 20:46:30, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111241/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111241/ Thu, 10 Dec 2020 20:46:30 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
Нужно изучать\искать информацию по каждому объекту\файлу\процессу.
csrss.exe

Сведения о реестре Windows
https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/performance/windows-registry-advanced-users
https://ru.wikipedia.org/wiki/%D0%A0%D0%B5%D0%B5%D1%81%D1%82%D1%80_Windows

egui.exe - графический интерфейс пользователя. т.е. видимые окна с которыми мы работаем.
В антивирусе есть: Игровой режим.

====quote====
При включении этой функции отключаются все всплывающие окна.
=============
Возможно файл\процесс игры: Alone.exe - пытается взаимодействовать с любыми активными окнами. ( например свернуть\закрыть окно при запуске игры )
Нужно наблюдать и смотреть, что происходит.
Для этого или найти старый PC и на нём проводить эксперименты или установить виртуальную машину.

Большинство программ прописывают параметры в реестр.
Есть автоматический запуск - да\нет и тип и параметры запуска ( например отложенный запуск )
Прописывают информацию самой программе - версия, крайнее обновление и т.д.

HackTool.Crack
10.12.2020 18:55:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111240/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111240/ Thu, 10 Dec 2020 18:55:45 +0300 Флудилка обо всем Несколько вопросов о HIPS Несколько вопросов о HIPS Пробую его изучать, но есть некоторые моменты в форуме Флудилка обо всем.
1. Устанавливаю игры, само собой не лицензионные, некоторые из них хотят получить доступ к csrss.exe https://sun9-7.userapi.com/impf/ZM3eGyLmwJPKdL7LnF-fn799gbX6q-wFJfSDvQ/5OqOZApphUA.jpg?size=1041x276... и мне хочется узнать, нормально ли это или стоит опасаться?

2. Эта игра так и вовсе хочет прописать ключик в реестре https://sun9-29.userapi.com/impf/sdMAexR7YwiLil2nm33XON7XFas5r7gwi5Ij-Q/5sBgNDZCgUY.jpg?size=694x513... и еще пытается получить не только доступ к csrss.exe но и к службам ESET https://sun9-7.userapi.com/impf/OwdiWzI6M9gOnMqiTLgKJiqY-LW0h5YYFjtkig/KPgSrGUfno8.jpg?size=1007x771... что тоже меня заинтересовало

3. Еще одна игра тоже меня заинтересовала. Мне показывает это при сканировании https://sun9-27.userapi.com/impf/uuzSiNU6qVNz6rM0SJRb9-ZzitExsElUxWyKNA/U9p96-4xOHg.jpg?size=798x393... как я понимаю, это кряк для взлома игры, но могу ошибаться, дефендер мелкомягких показал это https://sun9-7.userapi.com/impf/pKL_NfzKnN1M0PWQR4ad0DOilWv9hsOokt5gyA/9ma3-rTJoTk.jpg?size=448x367&... а доктор веб cureit молчит, пробовал удалить через дефендер, но это как я понял уже ЕСЕТ не разрешает)) ну это я так для эксперимента https://sun9-72.userapi.com/impf/6cu_W7WN087QhuNbs_baaZq39mXAxtI3-FlkOw/vKUnjsPxTfE.jpg?size=788x316...
а самим ЕСЕТом я удалил https://sun9-61.userapi.com/impf/U4s-kIDJJ5TLDp3-U8aXazFU8PoQEkqnwPr-lw/F7lQbah6h_o.jpg?size=745x547... и повторно просканил - всё нормас. Правда в windows defender один хрен он показывает, но это насколько я знаю баг такой (хз как от него избавиться теперь)

И вот что интересно:
а) Зачем некоторые экзешники лезут в csrss.exe ? Ведь некоторые другие игры с торрента вообще не пытаются лезть туда, да и не собираются менять параметры системы
б) За каким лешим спираченой игре ключ в реестр запиливать?
в) Может ли безопасная без вирусов спираченая игра лезть к антивируснику с попыткой получить доступ? (наверное глупый вопрос) Может ей типо разрешение надо для чего-то?
г) Что за Windows32HackToolCrack.CS такой? Кряк/таблетка для игры или что? В других спираченых игрушках при сканировании ничего такого обнаружено не было, от слова совсем, однако там таблэтки наверняка тоже есть, весь не лицензионные же игрушки то.
10.12.2020 13:26:06, Подозрительный Человек.]]> http://forum.esetnod32.ru/messages/forum17/topic16241/message111238/ http://forum.esetnod32.ru/messages/forum17/topic16241/message111238/ Thu, 10 Dec 2020 13:26:06 +0300 Флудилка обо всем