Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Vitokhv
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 13:04:22
На VirtualBox версию EES 5.0.2228.0 [COLOR=#045F20][B]работает[/B][/COLOR].
Windows XP
Изменено: Виктор - 25.09.2014 13:06:32
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:57:24
Может путь разный?
Щас пробую на VirtualBox версию EES 5.0.2228.0

C:\Users\\AppData\Local\Temp\1.cmd
C:\Documents and Settings\\Local Settings\Temp\1.cmd
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 12:48:05
Eset Smart Security 7.0.317.4
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:56:27
Вот рисунки:

http://rghost.ru/58193378/image.png
http://rghost.ru/58193379/image.png
http://rghost.ru/58193381/image.png
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:46:00
Все, поэтому и высветился [B]C:\Windows\System32\cmd.exe[/B], а если бы указал исходным только файл [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] то он бы пропустил приложение [B]cmd.exe[/B]
т.е. тут надо точно знать, что выбираемое приложение действительно самостоятельное  :D
Изменено: Виктор - 25.09.2014 11:49:41
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 11:19:26
Все понял, когда указываем, исходное приложение [B]C:\Users\\AppData\Local\Temp\1.cmd[/B] правило включает только его.
Другие с ним связанные приложения работают.

Вот так правильно:





Изменено: Виктор - 25.09.2014 11:26:33
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:59:59
Теперь понятно, почему удалялся файл...
У меня разрешено файлу [B]explorer.exe[/B] удалять/изменять файлы.

Зато теперь можно контролировать командную строку, с ней тоже могут и файлы поудалять.

Изменено: Виктор - 25.09.2014 11:02:14
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:48:56
Получилось так:





Создаю Блокирующее правило на выполнение [B]1.cmd[/B] удалять файл [B]test.txt[/B] как в первом скрине, затем запрещаю конечному приложению выполняться.
Все остальное по умолчанию [COLOR=#045F20]"Действительно для всех"[/COLOR]
Получается, чтобы запретить выполнение шифровальщика нужно добавлять конечное приложение [B]C:\Users\\AppData\Local\Temp\pubring.gpg[/B]
Изменено: Виктор - 25.09.2014 10:51:36
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 10:10:04
Это правило не помогает:



Запрещено всем приложениям, когда запускаю [B]1.cmd[/B] появляются уведомления, что блокируются доступ к файлу, но файл все равно удаляется.
При создании правила в запросе на выборе действия, указывается путь к приложению [B]C:\Windows\System32\cmd.exe[/B] видимо HIPS понимает поведение только приложений.
Хотя при запрещении всем приложениям, все равно, файл удаляется...
Изменено: Виктор - 25.09.2014 10:18:51
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 09:15:15
Как например заставить правила HIPS запретить удалять батником файл?
C:\Users\\AppData\Local\Temp\1.cmd

В батнике содержание:
del test.txt

В исходное приложение записал путь к батнику, не реагирует... удаляет файл test.txt
Изменено: Виктор - 25.09.2014 09:16:40
Перейти
Пред. 1 ... 4 5 6 7 8 9 10 11 12 13 14 ... 41 След.