Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 677 678 679 680 681 682 683 684 685 686 687 ... 1784 След.
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 11:30:48
А исходные приложения в этих правилах - все?
Изменено: santy - 25.09.2014 11:31:04
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 11:23:25
понятно. здесь еще и исходное приложение надо добавить. (в ФФ не видно рисунков, только в Хроме)
Изменено: santy - 25.09.2014 11:29:11
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 11:05:30
а эксплорер каким боком здесь? запускает командную строку?
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 10:53:11
но, вообщем да, согласен, на такие вещи hips не реагирует.

с терминологией не совсем так.
приложение здесь 1.cmd, конечный файл это test.txt
просто действие над test.txt прописано в теле скрипта 1.cmd
--------
как в этом случае правильно построить правило надо потестировать
Изменено: santy - 25.09.2014 10:57:04
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 10:42:25
всем приложениям может быть запрещены определенные действия:

над конечными файлами (всеми или конкретными),
над конечными приложениями (т.е. вызвать запуск другой программы, перехватить другую программу, закрыть другую программу..... для всех конечных программ, или для конкретной конечной программы);
- изменить удалить, переименовать во всем реестре, или к конкретных ветках реестра.
---------------
конкретнее распиши, какое правило создаешь

в моем правиле получается, что для всех приложений (в том числе для бат файла) запрещено изменение или удаление определенного (по определенному пути) конечного файла. и это работает.
Изменено: santy - 25.09.2014 10:44:56
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 09:41:32
надо различать: есть исходные приложения, есть конечные файлы.
bat file - это исходное приложение. конечным файлом будет test.txt

т.е. можно либо конкретному приложению запретить удалять все конечные файлы, или конкретный файл
либо всем приложениям запретить удалять все файлы или конкретный файл.
Изменено: santy - 25.09.2014 09:42:22
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 08:56:58
[QUOTE]Виктор пишет:

Вот так работает, у меня:
C:\Users \\ AppData\Local\Temp\ pubring.gpg
[/QUOTE]
ок, проверю.
тема неважно где. можно в полезную информацию перенести, главное чтобы полезная инфо была.
-------
действительно работает. спасибо. это может быть полезным для настройки защиты в HIPS.
Изменено: santy - 25.09.2014 09:01:10
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 06:50:36
для url или для веток реестра маска * работает, а вот для конечных файлов в HIPS скорее всего нет.
я проверял на ESET ENdpoint Suite 5.
задание пути в правилах блокирования вот по такой маске не проходит. говорит что неверный путь.
[QUOTE]C:\Documents and Settings\*\Local Settings\Temp\pubring.gpg[/QUOTE]
а жаль, таким способом можно защититься от шифраторов keybtc или paybtc (бат энкодеров по классификации ДрВеб)
Изменено: santy - 25.09.2014 06:53:40
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 06:25:24
Виктор, а сами вы можете проверить: работают правила по маске файлов и по относительным путям в HIPS или нет?
Перейти
Очень долго запускается система..
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.09.2014 10:21:43
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\NATIONAL INSTRUMENTS\SHARED\UPDATE SERVICE\NIUPDATESERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Перейти
Пред. 1 ... 677 678 679 680 681 682 683 684 685 686 687 ... 1784 След.