Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Vitokhv
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 13:04:22
На VirtualBox версию EES 5.0.2228.0 работает.
Windows XP
Изменено: Виктор - 25.09.2014 13:06:32
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:57:24
Может путь разный?
Щас пробую на VirtualBox версию EES 5.0.2228.0

C:\Users\\AppData\Local\Temp\1.cmd
C:\Documents and Settings\\Local Settings\Temp\1.cmd
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:48:05
Eset Smart Security 7.0.317.4
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:56:27
Вот рисунки:

http://rghost.ru/58193378/image.png
http://rghost.ru/58193379/image.png
http://rghost.ru/58193381/image.png
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:46:00
Все, поэтому и высветился C:\Windows\System32\cmd.exe, а если бы указал исходным только файл C:\Users\\AppData\Local\Temp\1.cmd то он бы пропустил приложение cmd.exe
т.е. тут надо точно знать, что выбираемое приложение действительно самостоятельное  :D
Изменено: Виктор - 25.09.2014 11:49:41
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:19:26
Все понял, когда указываем, исходное приложение C:\Users\\AppData\Local\Temp\1.cmd правило включает только его.
Другие с ним связанные приложения работают.

Вот так правильно:





Изменено: Виктор - 25.09.2014 11:26:33
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:59:59
Теперь понятно, почему удалялся файл...
У меня разрешено файлу explorer.exe удалять/изменять файлы.

Зато теперь можно контролировать командную строку, с ней тоже могут и файлы поудалять.

Изменено: Виктор - 25.09.2014 11:02:14
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:48:56
Получилось так:





Создаю Блокирующее правило на выполнение 1.cmd удалять файл test.txt как в первом скрине, затем запрещаю конечному приложению выполняться.
Все остальное по умолчанию "Действительно для всех"
Получается, чтобы запретить выполнение шифровальщика нужно добавлять конечное приложение C:\Users\\AppData\Local\Temp\pubring.gpg
Изменено: Виктор - 25.09.2014 10:51:36
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:10:04
Это правило не помогает:



Запрещено всем приложениям, когда запускаю 1.cmd появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению C:\Windows\System32\cmd.exe видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 09:15:15
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
Перейти
Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.