Форум esetnod32.ru [тема: Расширенная Эвристика] http://forum.esetnod32.ru Новое в теме Расширенная Эвристика форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 13:10:39 +0300 Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Согласно правилам раздела, в данном разделе форума ведётся обсуждение ответов на конкретные обращения в техническую поддержку пользователей.

Сообщите, если проблема ещё актуальна. После этого тема будет перенесена в соответствующий раздел форума.

Спасибо.
10.12.2012 17:55:03, Валентин.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message58972/ http://forum.esetnod32.ru/messages/forum3/topic2409/message58972/ Mon, 10 Dec 2012 17:55:03 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Думаю расширенный эвристик нету резона включать. Отличия..отличия в том что в отдельных случаях может быть затормозка, если эвристик запалит что-то подозрительное. Обычный эвристик это совмещение различных видов сигнатур (сигнатуры файлов, угроз, поведенческие сигнатуры и т.д), расширенная как я думаю это обычная + непосредственная эмуляция программы в защищенной среде, получается связка эмулятор процессора + песоцница. В случае с сайтами, могут дольше загружаться сайты пока эвристик понасилует все скрипты. В реальной защите включать думаю вещь довольно ненужная.
====code==== 
Активная эвристика 
Технология активной эвристики ESET создает виртуальный компьютер в ядре сканирования, что позволяет сканеру изучить возможные действия программы, если она будет запущена на реальном компьютере. Это позволяет распознать потенциально вредоносные действия, которые не определяются при помощи других способов обнаружения.
=============
22.11.2011 02:20:57, ORION.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message24278/ http://forum.esetnod32.ru/messages/forum3/topic2409/message24278/ Tue, 22 Nov 2011 02:20:57 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
я вот какие добавил:

====quote====
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\*
=============
и еще на папку

====quote====
C:\Windows\System32\drivers\etc\*
=============

24.09.2011 17:37:09, Арвид.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20916/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20916/ Sat, 24 Sep 2011 17:37:09 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Тут, насколько я помню, была отдельная ветка про настройку HIPS.
Но все-таки пару слов скажу здесь)
На самом деле, сценариев работы с HIPS может быть сколько угодно: все здесь упирается в собственную фантазию и понимание работы ПК.
На мой взгляд, для обеспечения максимальной безопасности можно воспользоваться следующим методом.
При этом подразумевается, что под систему выделяется отдельный раздел, а на всех остальных разделах хранятся пользовательские данные.
В HIPS же создается правило в разделе "Конечные файлы" для всего системного раздела (или, по крайней мере, для всей директории Windows) для всех операций с действием "Запросить", и далее в течение нескольких дней стоит усиленно поиспользовать программы, чтобы настроить разрешающие правила для тех или иных приложений, чтобы постоянно не отвлекаться на простые запросы.
Ну, и лучше создать правила с тем же действием "Запросить" для основных веток реестра, таких как:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\System
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer
Можно и другие ветки сюда добавить: справочников по реестру Windows хватает.
При таких настроенных правилах при всяких подозрительных действиях будет выдаваться запрос, и пользователь сможет сам определять необходимость того или иного действия.
24.09.2011 14:56:32, marshal64.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20912/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20912/ Sat, 24 Sep 2011 14:56:32 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
а где-нибудь можно почитать про те, скажем так "критические" правила для HIPS, которые нужно создать?
24.09.2011 12:14:55, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20909/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20909/ Sat, 24 Sep 2011 12:14:55 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Хм, ясно. Поэксперементирую с его настройкой. Спасибо.
23.09.2011 23:01:58, Alexkmk.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20905/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20905/ Fri, 23 Sep 2011 23:01:58 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.

====quote====
Alexkmk пишет:
Кстати, по умолчанию (автоматические правила) ведь хипс настроен на свободную запись любым приложением в реестр? Два пункта - которые стоят по умолчанию это предусматривают. Так оно?
=============

Да, так, HIPS представляет наибольший интерес при наличии самостоятельно созданных пользовательских правил, либо в интерактивном режиме, но лично я предпочитаю первый вариант.
23.09.2011 20:13:42, Валентин.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20900/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20900/ Fri, 23 Sep 2011 20:13:42 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.

====quote====
marshal64 пишет:

====quote====
Нужно
=============
Вообще, учитывая, что в новой версии появился более-менее нормальный HIPS, то правильной его настройки (например, создании правил на системные директории и системные ключи реестра) и наличия мало-мальского понимания основ компьютерной безопасности уже вполне достаточно. Т.к., на самом деле, HIPS + файервол в грамотных руках могут обеспечивать 90%-ую безопасность даже при отсутствии обновлений.
Кстати, интересно, насколько эффективно HIPS от ESET позволяет предотвращать заражения от буткитов/руткитов. Думаю, подобные тесты не за горами.
=============
Кстати, по умолчанию (автоматические правила) ведь хипс настроен на свободную запись любым приложением в реестр? Два пункта - которые стоят по умолчанию это предусматривают. Так оно?
23.09.2011 20:09:16, Alexkmk.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20897/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20897/ Fri, 23 Sep 2011 20:09:16 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.

====quote====
Нужно
=============
Вообще, учитывая, что в новой версии появился более-менее нормальный HIPS, то правильной его настройки (например, создании правил на системные директории и системные ключи реестра) и наличия мало-мальского понимания основ компьютерной безопасности уже вполне достаточно. Т.к., на самом деле, HIPS + файервол в грамотных руках могут обеспечивать 90%-ую безопасность даже при отсутствии обновлений.
Кстати, интересно, насколько эффективно HIPS от ESET позволяет предотвращать заражения от буткитов/руткитов. Думаю, подобные тесты не за горами.
23.09.2011 14:37:05, marshal64.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20872/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20872/ Fri, 23 Sep 2011 14:37:05 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Спасибо всем, господа. Думаю в ней нет особой необходимости тогда...
23.09.2011 14:31:49, Alexkmk.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20871/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20871/ Fri, 23 Sep 2011 14:31:49 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.

====quote====
Alexkmk пишет:
имеет ли смысл её включать где-либо ещё
=============

По умолчанию для защиты в режиме реального времени отключена, как правило включать советуется в исключительных случаях. Всё зависит от того, кто работает на компьютере, как работает, и на каком компьютере  :)
23.09.2011 10:39:59, Валентин.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20830/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20830/ Fri, 23 Sep 2011 10:39:59 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Нужно. Так как во время установки или запуска вредоносной программы могут создаваться новые вредоносные файлы. Или файлы которые ранее были упакованы...
Я ещё себе включил Advanced heuristics on file execution.:)
23.09.2011 05:31:30, EVE N.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20820/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20820/ Fri, 23 Sep 2011 05:31:30 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
marshal64, да, назначение толком непонятно . кроме вычитанных - помогает распозновать неопознанные угрозы и т.д. вкратце... Вопрос не в "пожирательстве" ресурсов даже, сколько в необходимости использования, можно конечно оставить все включенным, но хочется понять для чего что включено.
23.09.2011 04:11:18, Alexkmk.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20819/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20819/ Fri, 23 Sep 2011 04:11:18 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Думаю, вряд ли обычный пользователь что-то заметит.
Если бы разработчики где-то явно описали отличия обычной эвристики от расширенной, то можно было бы что-то конкретно ответить. А так ясно, что в этом случае для детекта и прочего используются некоторые усовершенствованные алгоритмы, которые используют дополнительные ресурсы системы.
Насколько я знаю, на современных машинах с несколькими ядрами нагрузка от включения расширенной эвристики вообще не ощущается.
23.09.2011 01:14:42, marshal64.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20817/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20817/ Fri, 23 Sep 2011 01:14:42 +0400 Обращение в техническую поддержку Расширенная Эвристика Расширенная Эвристика целеособразность включения или отключения в форуме Обращение в техническую поддержку.
Здравствуйте, вопрос по поводу расширенной эвристики в последней версии продукта Eset (5.0.93.15). Включил расширенную эвристику только для интернета и сканирования по требованию, имеет ли смысл её включать где-либо ещё, либо же вовсе отключить ибо разницы не заметил...
22.09.2011 23:37:19, Alexkmk.]]> http://forum.esetnod32.ru/messages/forum3/topic2409/message20815/ http://forum.esetnod32.ru/messages/forum3/topic2409/message20815/ Thu, 22 Sep 2011 23:37:19 +0400 Обращение в техническую поддержку