Ru-Board.club
← Вернуться в раздел «Программы»

» HIPS - Host-based Intrusion Prevention System

Автор: alt76
Дата сообщения: 25.08.2007 12:48
HIPS

Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения.
В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления.
Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного.


В соответствии с принципом организации защиты HIPS могут быть
подразделены на три основные группы
:

1) [more= Классические HIPS ] – системы, оснащенные открытой таблицей
правил. На основании этой таблицы драйверы HIPS разрешают /
запрещают определенные действия со стороны приложений либо
запрашивают пользователя о том, что необходимо предпринять по
отношению к данному действию. Такое устройство системы
ориентировано на ручное управление разрешениями и активное
взаимодействие с пользователем, что предъявляет высокие требования
к компетентности последнего. [/more]
К этому типу можно отнести:
- [more= 360.cn Malware Defender (бывш Torchsoft)] Ключевые особенности Malware Defender:
Система защиты в реальном времени, Следит за активностью процессов, файлов и Реестра на предмет подозрительного поведения. Следит за сетевой активностью. Обнаруживает любые формы вредоносного ПО, - и известного и еизвестного.
Поддерживает режим обучения и тихой работы. Высокая производительность и низкое потребление ресурсов.
Менеджер процессов. Обнаруживает скрытые процессы и потоки. Обнаруживает неподписанные процессы и модули.
Убивает процессы и потоки, используя продвинутые методы. Замораживает/возобновляет процессы и потоки.
Выгружает модули процессов. Закрывает дескрипторы процессов. Менеджер модулей ядра. Обнаруживает скрытые модули и потоки ядра. Обнаруживает неподписанные модули ядра. Убивает, замораживает и возобновляет потоки ядра.
Убивает DPC (Deferred Procedure Call) таймеры ядра. Детектор перехватчиков. Обнаруживает и удаляет перехватчики системной таблицы служб (перехватчики SSDT). Обнаруживает и удаляет перехватчики таблицы служб Win32k (теневые перехватчики SSDT). Обнаруживает и удаляет перехватчики таблицы описания прерываний (перехватчики IDT).
Обнаруживает и удаляет перехватчик дескриптора SYSENTER. Обнаруживает и удаляет перехватчики объектов ядра.
Обнаруживает и удаляет процедуры оповещений ядра. Обнаруживает и удаляет перехватчики уровня ядра.
Обнаруживает и удаляет перехватчики прикладного уровня. Обнаруживает и удаляет глобальные перехватчики сообщений. Обнаруживает подключаемые устройства. Обнаруживает перехваты процедур управления драйверами (перехватчики IRP). Менеджер автоматически загружаемых приложений Сканирует все известные расположения автозагрузок. Обнаруживает скрытые объекты автозагрузки. Обнаруживает недавно добавленные объекты автозагрузки. Отменяет или возвращает удалённые объекты автозагрузки. Проводник файловой системы
Обнаруживает скрытые файлы и папки. Отображает и удаляет Альтернативные Потоки Данных NTFS (ADS).
Удаляет используемые файлы. Полнофункциональный редактор Реестра. Обнаруживает скрытые объекты Реестра.
хомяк | программы[/more] - FREE, неплохие показатели в тестах
- [more=OSSS (Online Solutions Security Suite) ]является комплексным средством защиты, включающим в себя:
* систему проактивной защиты нового поколения Proactive Defense (OSPD),
* мощнейший сетевой экран Personal Firewall (OSPF)
* и антивирусный модуль Autorun Manager (OSAM)
"OSSS" обеспечивает полную защиту компьютера пользователя от новейших хакерских атак, вредоносного кода и руткитов.
хомяк [/more] - платная, неплохие показатели в тестах
- [more=Jetico Personal Firewall] В настоящее время это один из перспективных и динамично развивающихся персональных брандмауэров совмещённых с ХИПСой. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...
хомяк | программы | Варезник [/more] - платная, слабые результаты в тестах
- [more=Real-time Defender Professional (бывший ProSecurity)]с помощью этой утилиты можно разрешить или запретить запускать те или иные процессы, давать или не давать доступ к файлам и папкам, к записям в системном реестре. Можно полностью исключить возможность изменения тех или иных файлов, запретить запись в ту или иную папку. Одним словом, всё направлено именно на максимальное ограничение возможности как-либо изменить систему.
Запуск новых, только что установленных приложений после установки ProSecurity потребует подтверждения. При попытке запустить такое непонятное приложение появится Warning Box,с помощью которого вы можете установить атрибуты для новой программы. Составляется список системных папок (например, из папки C:Windows можно запускать приложения, но в неё ничего нельзя записывать), записей реестра, загружаемых библиотек. После этого ProSecurity становится посредником между ядром системы и приложениями, по сути становится частью ядра.
хомяк | программы[/more] - развивается пока только как RTD Smart
- [more= CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall) ] CA HIPS (CA Host-Based Intrusion Prevention System) - серверная система предотвращения вторжений. CA HIPS объединяет автономный межсетевой экран и систему обнаружения и предотвращения вторжений в централизованную проактивную систему защиты от известных и неизвестных сетевых угроз.
хомяк | Варезник (TPF) | Варезник (CA HIPS) | программы (TPF) [/more]
- [more=Safe'n'Sec Enterprise Pro ]В HIPS Safe'n'Sec, разрабатываемой Российской компанией S.N.Safe&Software, используется собственная технология защиты V.I.P.O. (Valid Inside Permitted Operations). Суть работы программы проста. Драйвер Safe'n'Sec загружается на раннем этапе и перехватывает вызовы системных функций на уровне нулевого кольца ядра ОС. После установки клиент сканирует систему, создавая профиль приложений и формируя список доверенных программ (для этого используется хеш SHA-256). При появлении активности, затрагивающей целостность системных файлов, реестра, запуск нового процесса, открытие сетевого соединения, соответствующая операция блокируется, а пользователь получает запрос на ее подтверждение. Для описания поведения используется универсальный язык правил, определяющий, какие действия приложений и пользователей должны блокироваться. Плюс задаются дополнительные условия, вроде частоты проявления определенного действия. База состоит из системных правил, разрабатываемых специалистами, и пользовательских. Последние формируются автоматически на основе ответов на запросы. Для работы Safe'n'Sec не требуется постоянное обновление баз, хотя периодически следует обновлять программные модули.
хомяк | программы | Варезник[/more] - не развивается
- [more=Ghost Security Suite (AppDefend, RegDefend)] AppDefend - эта система защиты приложений для Windows, способна защитить вас от новейших хакерских атак, вредоносного кода и руткитов. Она обеспечивает полный контроль не только над вредоносными приложениями, но и над всей системой. AppDefend это самое быстрое и наименее ресурсоёмкое ХИПС - решение, с установщиком размером чуть более мегабайта. RegDefend - защищает от модификации реестр, перехватывая запросы от приложений и системы. Вы можете сами определить разделы реестра, которые необходимо защитить от постороннего вмешательства. RegDefend создавался на ассемблере (ASM), поэтому по праву может считаться самым быстрым решением по защите реестра на рынке подобных продуктов.
хомяк | Варезник(AppDefend) | Варезник(RegDefend)[/more] - не развивается

2) [more= Экспертные HIPS]иначе называемые поведенческими
эвристиками, осуществляют анализ активности работающего приложения. Если совокупность выполняемых действий приобретает подозрительный или опасный характер, продукт данного типа сообщает
о вероятном присутствии вредоносной программы. [/more]
К этому типу можно отнести:
- [more=Comodo Internet Security]
Программа комплексной защиты компьютера, включающая в себя антивирус - Comodo Antivirus, персональный сетевой экран - Comodo Firewall и модуль проактивной защиты - Comodo Defense.
Модуль защиты от вирусов успешно распознает и уничтожает все известные подобные объекты, черви и троянские программы, а подозрительные файлы помещает в карантин. Вся защита может осуществляться в режиме реального времени. Встроенный планировщик позволяет заранее задать время для проведения сканирования, а ежедневные обновления антивирусных баз обеспечат отличный уровень готовности для борьбы с новыми угрозами.
Фаервол, встроенный в COMODO Internet Security, способен максимально обеспечить безопасность вашего ПК. Он является первым барьером на пути вредоносных модулей, и поэтому именно на нем лежит самая большая ответственность по защите системы. Он не дает хакерам (или вредоносным модулям, созданным ими) проникнуть в компьютер, то есть, обеспечивает отличную профилактику, которая, как известно, гораздо лучше лечения.
А чтобы совершенно точно исключить возможность заражения, задействуется система Defense+. В списках программы есть более двух миллионов известных ей процессов, компонентов и приложений, которые совершенно точно не нанесут системе вреда. Если же в системе замечен какой-либо процесс, который выполняется неизвестной программой и при этом затрагивает системные или иные важные файлы, то этот модуль его тут же заблокирует.
хомяк | программы[/more] - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox
- [more=Privatefirewall (ранее Dynamic Security Agent)] – инструмент безопасности. Не требуя баз и электронных подписей, засекает непрошенное вторжение в систему. Программа не просто отследит все текущие процессы, она ещё и вовремя блокирует работу вируса и изолирует вредоносные файлы до тех пор, пока вы не удалите их. Программа ориентирована на мониторинг нетипичных для системы команд и действий. Анализирует подозрительное поведение, характерное для вредоносных программ, и блокирует попытки доступа к защищенным областям реестра, попытки запуска новых процессов, попытки контроля служб Windows, попытки создания DNS-запросов, попытки инициировать исходящий TCP-траффик и т.д.
хомяк | программы [/more] - FREE, средние показатели в тестах
- [more=Prevx]Система Prevx появилась в начале 2004 года и была представлена как первая Community IPS, предназначенная для защиты отдельных узлов. Термин Cloud computing в то время еще не использовался, но все признаки предоставления ПО как услуги (software-as-service, SAAS), удаленные хранилища данных, в Prevx уже имелись. В Prevx для определения угроз используются правила, описывающие поведение и контрольные суммы программ. В список рулесетов попадают как заведомо хорошие программы, так и плохие, что позволяет быстро определить характер новой программы или процесса на компьютере. Вся информация хранится в единой базе данных (Prevx Cloud Community Database), являющейся, наверное, самым большим источником информации, который позволяет определить характер программы. В качестве сенсоров этой гигантской IPS выступают агенты, установленные на клиентских машинах.
хомяк | Варезник[/more]
- [more=PCTools ThreatFire (Cyberhawk)]- утилита производит анализ запущенных процессов и определяет уровень доверия к ним ориентируясь на поведение. Все сомнительные программы будут, при вашем согласии, помещены в карантин или удалены с компьютера. ThreatFire отбивает атаки ориентированные на ошибки переполнения буфера, борется с руткитами и блокирует их, защищает от spyware.
хомяк | программы | Варезник[/more]
- [more=McAfee Host Intrusion Prevention for Desktops and Servers ]В HIPS от McAfee объединены возможности продуктов Desktop Firewall и HIPS Entercept (до 2003 года разрабатывался одноименной компанией, которая была выкуплена Network Associates). Доступен как самостоятельное решение, так и как часть комплексного продукта Total Protection for Endpoint. Поведенческий анализатор отслеживает и блокирует нежелательную активность, используя три уровня защиты: поведенческий анализ, сигнатурный и контроль соединений брандмауэром. В результате обеспечивается защита от известных и еще неизвестных атак, направленных на переполнение буфера, а также защита приложений, в том числе от попыток обмена данными с другими приложениями. Из дополнительных функций следует отметить возможность контроля приложений (можно определить список разрешенных и запрещенных) и блокировку USB-носителей.
хомяк | Варезник[/more]
Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).

3) [more=HIPS типа Sandbox («песочница»)] реализуют принцип
минимального взаимодействия с пользователем. В их основе лежит
разделение приложений на доверенные и недоверенные; на работу
доверенных приложений HIPS не оказывает никакого воздействия, в то
время как недоверенные запускаются в специальном пространстве,
отграниченном от системы. Это позволяет работать с подозрительными
приложениями без риска инфицирования или повреждения системы и
изучать отчеты об их активности. [/more]
Типичные представители данного типа:
- [more=DefenseWall HIPS]DefenseWall HIPS (Host Intrusion Prevention System) - это самый легкий и простой способ защитить себя от вредоносного ПО, от которого не способен защитить антивирус, когда ты находишься в интернете. Используя технологии проактивной защиты следующего поколения, DefenseWall поможет добиться максимального уровня защиты, не требуя от тебя никаких специальных знаний и постоянных онлайновых обновлений баз. Никаких сигнатур, никаких всплывающих окон, никаких ложных срабатываний.
В DefenseWall используется принцип разделения программ/процессов на доверенные и недоверенные. Программы из второй группы удерживаются в песочнице (Sandbox), в отдельном от основных программ пространстве. В список недоверенных программ автоматически попадают все приложения для работы в интернете – веб-браузер, P2P, IM-клиенты и т.д. Все файлы, загруженные или созданные такими приложениями, также становятся недоверенными. По умолчанию к недоверенным относятся и файлы на съемных носителях (для CD/DVD это поведение активируется отдельно). Доверенные программы также ограничены в некоторых правах: они не могут модифицировать важные системные файлы, ветки реестра, изменять параметры автозагрузки. Благонадежное приложение может потерять доверие, стоит ему только выполнить действие, считающееся потенциально опасным. Например, запуск доверенной программы из недоверенной автоматически переводит действие в опасное. Статус каждой программы выводится в верхней части окна. В окне настройки есть возможность указать файлы и ресурсы (пароли, игровые аккаунты и т.п.), которые необходимо защищать с особой тщательностью.
хомяк | Варезник[/more]
- [more=Sandboxie]- небольшая, но достаточно интересная программа, которая расценивается как дополнение для веб-браузеров, призванное повысить безопасность ПК при работе с "неблагонадежными" сайтами. Sandboxie защищает компьютер ото всех нежелательных изменений, которые могли бы быть совершены активным содержимым сайтов (например, установка нежелательного ПО). Sandboxie позволяет запускать браузер или другие программы таким образом, чтобы любые изменения связанные с использованием программы были сохранены в ограниченной среде (“песочница”), которая может быть позже удалена. В результате вы можете быстро удалить любые изменения связанные с активностью в Интернет, например изменения закладок, домашней страницы, реестра и другие изменения. Если файл был загружен внутри сессии песочницы, он будет удален при очистке песочницы. Программа запускается в системном трее и для активации песочницы достаточно запустить нужную программу через иконку в трее. Отличие от того же ShadowUser в том, что не требуется перезагрузка. Одна задача может работать в ящике, а другая в нормальном режиме. MSIE или иной браузер можно запустить в нормальном режиме, а можно под защитой, когда возникнет, например, желание зайти на какой-нибудь неблагонадёжный сайт.
хомяк | программы | Варезник[/more]
ориентированные на систему в целом:
- Returnil Virtual System
- Shadow Defender
- ShadowProtect и ShadowServer
- PowerShadow
- Deep Freeze
- BitDisk


Исполнение бывает в 3-х вариантах:
1) хипсы отдельным продуктом.
2) хипсы в файрволах.
3) хипсы в секьюрити сьютах.


Предлагаем для начала ознакомиться с результатами тестирования различных HIPS:
multimania.fr от 17.07.2007 г.
[more= а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:]Latest news
* 2010-05-23: New results have been published for:
o Online Armor Premium 4.0.0.44
o Online Solutions Security Suite 1.5.14905.0
Online Armor Premium confirmed its quality and reached the Excellent 97% score.
A very pleasant surprise is the result of Online Solutions Security Suite on its first appearance in Proactive Security Challenge. It took the second place with incredible 99 %, an Excellent level of protection. Very well done!
* 2010-05-04: New results have been published for:
o Outpost Security Suite Pro 2009 6.7.3.3063.452.0726
o PC Tools Firewall Plus 6.0.0.88
Outpost Security Suite Pro performed similarly to its recently tested Free cousin. Having great problems with the new set of tests it finished with 72% score, a Good level of protection.
PC Tools Firewall Plus had even bigger problems with the new tests and its previously perfect performance against 84 tests is no longer true against 148 tests. PC Tools Firewall Plus this time finished with a Poor result of 51 %.
* 2010-05-01: A response from Comodo Security Solutions, Inc., the vendor of Comodo Internet Security, has been added.
* 2010-05-01: A single product update:
o Comodo Internet Security 4.0.141842.828
Comodo Internet Security 4.0.141842.828 reached the perfect score even against 148 tests. Comodo Internet Security is now the new leader of Proactive Security Challenge. Congratulations!
http://www.matousec.com/projects/proactive-security-challenge/results.php
[/more]


Софт для тестирования HIPS:
На matousec (Подробнее)
На virusinfo
Comodo Buffer Overflow Test x86 x64
Comodo Leak Tests.


результаты тестов matousec Proactive Security Challenge 64



Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь #
Автор: bornbill
Дата сообщения: 25.08.2007 12:57
alt76
в реале мной используется
Блокирование изменения автозагрузки(setacl + скрипты)
не против был бы ультра маленькой hisp системы.... не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк

Добавлено:
забыл добавить также блокируется любой исходящий траффик на 25 порт (gpedit.msc)
сервер смтп расположен на 26 чем я фильтрую исходящий спам траффик
Автор: alt76
Дата сообщения: 25.08.2007 13:11

Цитата:
тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк

По моему подобный функционал есть у ProSecurity. Насколько хорошо он работает не скажу


Цитата:
не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами

подобные системы ориентированны скорее не на бедного пользователя , а на продвинутого спеца


Добавлено:
bornbill
какой конкретно софт используешь ?
Автор: bornbill
Дата сообщения: 25.08.2007 13:38
alt76
плохо он работает... с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности....

Цитата:
а на продвинутого спеца

вообщето HISP системы изначально придуманы были ,как понятие, как часть корпоративной безопасности тоесть как приятное добавление к антивирусу внутри организации....

тоесть есть организация в которой работают пользователи, на PC которых стоят HISP системы которые работают по правилам настроенным системным администратором системы, и пользователю видеть злобные окошки с выкриками ни всегда обязательно(чаще всего нервы пользователей и системного администратора не железные), иногда проще заразится а уж потом в спокойной обстановке системный администратор произведет восстановление системы....

тоесть есть правила которые нарушать не льзя по мнению сисадмина и нарушать некому не позволено, и сообщать об этом страдающему пользователю который хочет поставить себе игрушку, или пропатчить оную пинчем необязательно...


Цитата:
какой конкретно софт используешь ?

мозг+руки

Блокирую на изменение ветки реестра(взятые из autoruns)
С помощью Setacl и самописных скриптов....

а gpedit.msc правлю политики так чтобы нельзя было испускать на 25 порт

Стоит NOD32 и всё мирно себе работает не напрягается

В случаях заражения(что бывает редко но бывает) прохожусь AVZ...
Потомучто элементарное блокирование автозагрузки спасает от 90% зловредных программ, сюда есстественно не поподают все качественные руткиты. есть списки файлов сделанные утилиткой filelist, которые иногда сравниваются с шаблон один раз в день в конце рабочего дня дабы сообщить мне о всех новых exe,com,bat,cmd,sys,dll,vxd в системных файлах... как итог изменения получаю на почту.... опять же в случае правильных руткитов это не спасает....

В идеале мечтаю:
диск поделен на
С:System
D:Backup+Data
E:Winpe.

Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.

Такой себе осовремененный Adinf

Таким образом получим, присмотр за системой+возможность её быстрого восстановления+отсутствия процессов,программ перехватывающих всё и вся...
Автор: cracklover
Дата сообщения: 25.08.2007 13:44
хм... продукты платные.. 34-35 баксов не лишние(
Автор: alt76
Дата сообщения: 25.08.2007 13:51

Цитата:
хм... продукты платные.. 34-35 баксов не лишние(

есть бесплатный Dynamic Security Agent по тестам он не так уж плох
ну и вечно триальный варез еще никто не отменял

Добавлено:
bornbill

Цитата:
плохо он(ProSecurity) работает...

да, я тоже как-то тестировал его в VMware - файлы у него защищать как-то не получалось


Цитата:
с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности....

Насчет старфорса согласен
В принципе еще неплохое впечатление на меня произвел System Safety Monitor. Защиту файлов авторы обещали сделать летом Пока еще не сделали
Автор: bornbill
Дата сообщения: 25.08.2007 14:01

имхо тема не для обсуждения ценовой политики компаний производителей и методов обхода ограничений а рассуждения на тему какая hisp система лучше, кто что пользует и каковы результаты данного использования

А по делу к примеру ProSecurity странным образом просыпается при своём деинсталле (защита файлов)

System Safety Monitor-- не полностью контролит автозагрузку, что теоритически может привести к заражению зловредным ПО
Автор: iglezz
Дата сообщения: 25.08.2007 14:11

Цитата:
мозг+руки

самый важный компонент вобще любой системы

winpooch подходит под определение hips? если да, то вот еще один бесплатный (даже opensource)


Цитата:
В идеале мечтаю:
диск поделен на
С:System
D:Backup+Data
E:Winpe.

Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.

Такой себе осовремененный Adinf

это сколько же времени уйдет на загрузку системы, если вдруг случится перезагрузка?
Автор: bornbill
Дата сообщения: 25.08.2007 14:32
iglezz
один раз в начале рабочего дня...
+ имхо на отлаженной системе перезагрузок не бывает
минут 10-15 зато это гарантирует спокоствие пользователю и сис администратору в целосности ситемы и отсутствие проникновения зловредного ПО
также онли имхо процессорного времени HISP системы набежит не меньше за рабочий день


winpooch уже почти понравился

его минусы,
-доступ к окну нельзя запретить паролем
-очень интенсивно(жестоко я бы даже заметил) работает с винтом если включенны по умолчанию правила для сети....

ну а вс остальное как бы решаемо
бум тестить на профпригодность с борьбой против руткитов....

Протестил проф пригодность равна нулю....

3 из 5 руткитов под рукой которые были пропустил и ни как не реагировал на создание ими exe шников запрещённых, наблюдаются интерфейсные глюки, более 12 Bsod в драйвере
Автор: KUSA
Дата сообщения: 25.08.2007 19:51
Мое мнение - HIPS - альтернатива антивирусам и файрволам - не совсем точное название.
Не все существующие HIPS умеют работать с сетью (например ProcessGuard) + не защитят от входящих соединений.
Есть предложние - HIPS - как альтернатива антивирусам.

cracklover

Цитата:
хм... продукты платные.. 34-35 баксов не лишние(

А теперь представь, что ты купил Tiny фаервол - там уже есть HIPS.
Причем по конфигурации он намного удобнее и интереснее чем ProcessGuard.
Посчитай свою экономию.
Автор: maispovis
Дата сообщения: 26.08.2007 00:30
1) Safe'n'Sec - гавнище редкостное. создал тест на выход в сеть с инжнктом в виндовс обновлятор. Эта"поделка" и не пикнула. хотя каспер HIPS сечет норм.

2) ну не верю я что у ProSecurity прям super HIPS, скорее тест это пиар того чему она может противостоять. Приходилось както тестироать проги этой конторы Анти Троян Элит(вдумайтесь название то какое) ..и ничегошеньки незнаем, даж стареньких пионЭров...
Автор: alt76
Дата сообщения: 26.08.2007 15:12
решил попробовать winpooch - открываю bred3-ом boot.ini, правлю, нажимаю ESC - BSOD
диагноз - в топку

Добавлено:
решил поискать на яндексе "ProSecurity System Safety Monitor"
первая строка - руборд
там месага от NightHorror:

Цитата:
Host Intrusion Prevention System - специализированный программный продукт для поведенческого анализа и контроля активности приложений. То что мы видим в аутпосте или джетике (ну и в других фаерах тоже) как попытки повлиять на адресное пространство/состояние чужих процессов: запись в чужое адр. пр-во, создание удаленных потоков, приостановка/возобновление потоков, установка системных хуков и т.д. Там много способов воздействия. В фаерах реализованы ограниченные функционально зачатки такой защиты (проактивной), но тем не менее они зачастую способны отловить/не дать запуститься трою. Ну а специализированные HIPS'ы - те предназначены для тотального контроля и защиты как приложений так и реестра от потенциально вредоносных действий. Очень хорошие решения - System Safety Monitor и Prosecurity HIPS. На сегодняшний день, с ними и имея голову на плечах возможно полностью застраховаться от заражения компа троем или руткитом. За исключением, возможно, применения против твоего компа какого-нибудь приватного сплоита тонн за 20 килобаксов, использующего малоизвестную уязвимость оси. Ну тут надо заплатками обновляться вовремя.

Автор: bornbill
Дата сообщения: 26.08.2007 17:42
maispovis
если верно настроиш правила наступит тебе счастье....


У каспера есть большой минус, он не имеет правил для контроля чего и где в том же реестре
Например посмотри эти темы до конца
НОД vs Kasper 7.0
Защита в Kaspersky Internet Security и Anti-Virus 6.0.х

из этих тем видно что иногда даже проактивная защита каспера, имеет дыры которые никак не отрегулируеш...

А системы HISP дают возможность контролить... то что хочет пользователь и запрещать ессено..
Автор: alt76
Дата сообщения: 01.09.2007 10:16
ВОТ еще один тест нарыл по 38 файрволам (HIPS там относят похоже тоже к Firewall )

Excellent:
1. Comodo Firewall Pro 2.4.18.184FREE
2. Jetico Personal Firewall 2.0.0.28 beta
Very good:
3. ProSecurity 1.40 beta 1
4. Outpost Firewall PRO 4.0 (1024.700.292)
5. ZoneAlarm Pro 7.0.362.000
6. Lavasoft Personal Firewall 2.0.1019.7604 (700)
7. Online Armor Personal Firewall 2.0.1.204
8. Kaspersky Internet Security 7.0.0.119
9. System Safety Monitor 2.4.0.617 beta
10. Jetico Personal Firewall 1.0.1.61 FreewareFREE
11. Privatefirewall 5.0.8.11
12. Ghost Security Suite [BETA] 1.110
...
None, т.е. хуже, чем Very poor
38 Windows Firewall XP SP2FREE
Автор: maispovis
Дата сообщения: 01.09.2007 19:48
bornbill
ненадо мне такого счастья
есесно настраивал...
Автор: Mylord666
Дата сообщения: 02.09.2007 02:00
...Если есть "железный" файрвол (то бишь линаксовый фильтр пакетов в роутере) - HIPS, как мне кажется - самое то...
Автор: clancy
Дата сообщения: 06.09.2007 15:16
Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит, да и русский язык не помешал бы. System Safety Monitor попроще будет, пользуюсь пока им.
Сам не пробовал, но может для защиты лучше использовать Shadow User?
Автор: alt76
Дата сообщения: 07.09.2007 12:35

Цитата:
Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит

Ща юзаю 1.40.beta2, тоже понравилась, правда принцип ее работы на 100% не усек, но впечатление очень даже вери гуд.
Тормозов от ее юзания, кста, не заметил.
Автор: BlackXSun
Дата сообщения: 02.10.2007 18:45
Несколько лет назад работал сисадмином в интернет клубе. Первоочередная задача при открытии клуба была - поиск программы администрирования клуба которую бы нельзя было бы ломануть (поиграться на халяву). Опробовав не много не мало около пары десятков таких программ все таки такой софт был найден (рекламировать не буду, кому интересно в личку). Не утверждаю, что ее вообще никак нельзя ломануть, но пару знакомых хакеров сломать не смогли. Может хакеры некудышние (но предыдущие подопытные образцы ломали), может возиться не захотели, но вывод - простому смертному юзеру не ломануть.
Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром: В операционку, как и в HIPS системах вшивается модуль, который перехватывает все процессы. При первом запуске любого из процессов, программа не дает ему запускаться и одновременно снимает с него показания (контрольную сумму и путь запуска, что исключает подмену файла). Администратор может указать программе стоит ли вообще когда либо разрешать запускаться этому процессу и если стоит то при каком тарифе. При блокировании компьютера (когда у клиента заканчиваеться время) абсолютно все процессы "гасяться". Зная архитектуру программы я счел лишним устанавливать антивирус на клиентские машины. За три года работы в салоне небыло ниодного заражения клиентских компов (все работали под админскими правами) при том, что все компы каждый день по несколько часов "выходили" в интернет. Ну а какие сайты посищают посетители интернет салонов наверное все догадываються (Вы даже не догадываетесь ). Естественно тела вирусов я частенько находил в темпах IE, но ниодного заражения !!!

Вопросы:
1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)???
2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать").
3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее.
Автор: KUSA
Дата сообщения: 02.10.2007 21:55
BlackXSun

Цитата:
1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)???

Нет, это не тебе везло... Способы....если без подробностей ... очень дорого

Цитата:
2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать").

ProSecurity очень понравился, другие особо не тестировал.Также рекомендую тебе посетить их форум,
особенно раздел BUGS Еще есть фаеры с HIPS - из них самый сильный HIPS в Tiny.

Цитата:
3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее.
В общем - не панацея, но как вариант тоже имеет право жить.

То что ты просишь называется"белый список"+"раздача прав приложениям". Нормально реализован лишь в Tiny и появилась основа в Comodo Firewall Pro V 3.0.9.229beta.Возможно, были еще программы,но я не встречал.

Цитата:
Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром
А ты о какой программе говоришь?
Автор: BlackXSun
Дата сообщения: 03.10.2007 08:46
KUSA

Цитата:
А ты о какой программе говоришь?


http://forum.ru-board.com/topic.cgi?forum=35&topic=22072#14

Автору программы я несколько лет назад намекал, что на базе его движка можно написать HIPS (хотя тогда я еще не знал, что это называеться HIPS). Но ответа от автора не получил.
Автор: alt76
Дата сообщения: 07.11.2007 15:49
Немного новостей:

новый тест hips и firewall
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
1. Online Armor Personal Firewall 2.1.0.19 FreeFREE - Excellent - 100%
1. Outpost Firewall Pro 2008 6.0.2162.205.402.266 - Excellent - 100%
2. Comodo Firewall Pro 2.4.18.184FREE - Excellent
3. Jetico Personal Firewall 2.0.0.35 - Excellent
4. ProSecurity 1.40 beta 1 - Very good

Вышла новая бетка(стабильная и 100% пригодная к работе) лучшего HIPS - ProSecurity:
http://www.proactive-hips.com/download/pssetup_140pb3.exe
Автор: vitaly9999
Дата сообщения: 11.11.2007 17:27

Цитата:
Вышла новая бетка(стабильная и 100% пригодная к работе) лучшего HIPS - ProSecurity:
http://www.proactive-hips.com/download/pssetup_140pb3.exe


А она фриварная?
Автор: alt76
Дата сообщения: 11.11.2007 20:59

Цитата:
А она фриварная?

30 дней триал + законная с т.з. чиста реестра и жесткого своего компа + еще 30 дней триал
и так хоть всю жизнь
Автор: sbudnik
Дата сообщения: 11.11.2007 21:03

Цитата:
Вышла новая бетка(стабильная и 100% пригодная к работе) лучшего HIPS - ProSecurity:
http://www.proactive-hips.com/download/pssetup_140pb3.exe


А она фриварная?

Нет
Автор: alt76
Дата сообщения: 11.11.2007 22:09
vitaly9999
Если для тебя фриварность принципиальна, то обрати внимание на Online Armor Personal Firewall 2.1.0.19 Free. По результатам тестов с моего предыдущего поста она обошла ProSecurity 1.40 beta 1
Автор: maispovis
Дата сообщения: 12.11.2007 01:53
русского не хватает
Автор: T4NUK1
Дата сообщения: 13.11.2007 03:56
alt76
А нафига эта штука юзверям КИСы, Панды, Комода и других ХИПС-укомплектованных программ?
Автор: alt76
Дата сообщения: 13.11.2007 11:10
T4NUK1
Ну это вопрос немного/частично из разряда:

Зачем пользователю Avira Premium Security Suite еще и файрвол ?
-> Затем что у хорошего антивируса Avira достаточно посредственный(Very poor) файрвол.
Обычно сборный комбайн из нескольких компонентов обладает меньшей эффективностью/качеством чем теже компоненты, но от разных производителей, которые не строят комбайны а специализируется на конкретном функционале.

Я сейчас юзаю Avira PE Premium + Comode 2.4 + ProSecurity 2.4 beta 3 (все они работают отлично и друг другу не мешают). И качество/надежность их совместной работы, я почти на 100% уверен, лучше чем качество/надежность вышеприведенных тобой программ.
Автор: T4NUK1
Дата сообщения: 04.12.2007 06:27
alt76
Т.е. у тебя стоит два фаера???? И два хипса? И они друг дружке место любезно уступают при допуске к файлам? Не верю (с) станиславский

Страницы: 12345678910

Предыдущая тема: Active WebCam


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.