Ru-Board.club
← Вернуться в раздел «Программы»

» HIPS - Host-based Intrusion Prevention System

Автор: Kirilenko
Дата сообщения: 08.03.2010 02:52
Заголовок темы по моему не правильный, фаервол это и есть часть функционала hips.
Автор: Erekle
Дата сообщения: 08.03.2010 02:57

Цитата:
PatchGuard

Ну например:

Цитата:
По правде говоря (положа руку на хвост), как и все сделанное Microsoft, Patch-Guard катастрофически ненадежен. Во-первых, он может быть элементарным образом отключен (что и было продемонстрировано авторами статьи "Bypassing PatchGuard on Windows x64"), во-вторых, после установки гипервизора основная операционная система неожиданно для себя переходит в гостевой режим, полностью подконтрольный монитору виртуальных машин. В третьих, подсчет контрольной суммы защищаемых объектов выполнен в "пионерском" стиле и в принципе не обнаруживает преднамеренные искажения! И это все методы, не требующие перезагрузки!!! А если добавить сюда возможность создания собственного загрузчика, имитирующего наличие системного отладчика, то получится вообще косяк!

Черви, хакеры и rootkit'ы ничуть не пострадают, а вот легальным разработчикам придется попыхтеть.

Но это возможно, видимо.

Цитата:
фаервол это и есть часть функционала hips

А сначала было наоборот.
Автор: mahtanoronra
Дата сообщения: 25.05.2010 23:41
народ подскажите плиз...каклй HIPS выбрать..в нете всё ищу ищу что нибудь о них да и так толком ни чего не нахожу...вот тут максимум нашёл http://forum.ru-board.com/topic.cgi?forum=5&topic=24422&start=60#17 так хочу послушать совета..
Автор: Trumpeter
Дата сообщения: 26.05.2010 01:02
mahtanoronra

Цитата:
народ подскажите плиз...каклй HIPS выбрать..в нете всё ищу ищу что нибудь о них да и так толком ни чего не нахожу...

ИМХО советую установить Malware Defender



По тестам matousec показывает хорошие результаты, с версии 2.7 стал бесплатен, что немаловажно!
Автор: mahtanoronra
Дата сообщения: 26.05.2010 01:26
Trumpeter
спасибо скачал уже...а как себя DefenseWall HIPS и .Safe`n`Sec ведут? я вот знаю тока о них более менее..ставил
Автор: Trumpeter
Дата сообщения: 26.05.2010 01:41
mahtanoronra

Цитата:
а как себя DefenseWall HIPS и .Safe`n`Sec ведут?

Если говорить в целом , то принцип работы у всех одинаков. Лично у меня эти перечисленные вызывают некоторое заметное подтормаживание, и к тому же нет желания возиться с кряками и патчами к ним (софт безопасности это не тот случай, чтобы использовать "ломанные" продукты). Потому из таких в основном соображений пока отдаю предпочтение Malware Defender.
Автор: mahtanoronra
Дата сообщения: 26.05.2010 01:46
Trumpeter
а по опыту если забить на платный и бесплатный...то всё равно выбор на Malware Defender остаёться?
Автор: Trumpeter
Дата сообщения: 26.05.2010 01:55
mahtanoronra, остается! Я - за Malware Defender, потому его и советую!
Особых премудростей в работе с ним нет, всё интуитивно понятно, работает корректно.
В общем, поработай, присмотрись, а там видно будет. В любом случае попробовать стОит.
Автор: mahtanoronra
Дата сообщения: 26.05.2010 02:12
Trumpeter
спасибо))надеюсь кто нибудь ещё что посоветует))или подскажет))
Автор: DrakonHaSh
Дата сообщения: 26.05.2010 09:37
хороший HIPS, судя по отзывам местной общественности и тестам matousec (100% против 90% у Malware Defender), в comodo
хотя сам я тоже Malware Defender предпочтение отдаю - у меня с комодом инет радио через бесплатный шлюз провайдера почему-то не работает, да и Malware Defender мал да удал по сравнению с монстриком комодой.
Автор: Engaged Clown
Дата сообщения: 26.05.2010 09:59
Вечером думаю в шапку добавить основных вендоров - RTD, MD, DW и Sandbox как представителей песочниц.
Автор: opt_step
Дата сообщения: 26.05.2010 10:09
Здесь был руссификатор к 2.7, а он подойдет к вете 2.7.1?
не подойдет
Автор: opt_step
Дата сообщения: 28.05.2010 10:55
Принцип работы HIPS
HIPS-система перехватывает все обращения ПО к ядру ОС

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.
Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы: - файлы и системный реестр (объект – файлы, ключи реестра); - системные права (объект – системные права на выполнение тех или иных действий); - сети (объект – IP-адреса и их группы, порты и направления).
Виды HIPS
* HIPS, в которых решение принимается пользователем — когда перехватчик API-функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
* HIPS, в которых решение принимается системой — решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
* «Смешанная» HIPS система — решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.
Преимущества HIPS
* Низкое потребление системных ресурсов.
* Не требовательны к аппаратному обеспечению компьютера.
* Могут работать на различных платформах.
* Высокая эффективность противостояния новым угрозам.
* Высокая эффективность противодействия руткитам, работающим на прикладном уровне (user-mode).
Недостатки HIPS
* Низкая эффективность противодействия руткитам, работающим на уровне ядра.
* Большое количество обращений к пользователю.
* Пользователь должен обладать знаниями о принципах функционирования ОС.
* Невозможность противодействия активному заражению компьютера.
Примеры HIPS
* Kaspersky Internet Security
* Agnitum Outpost Security Suite
* PC Tools Firewall Plus
* Jetico Personal Firewall
* Comodo Internet Security
Есть желание в доработке шапки
Автор: Engaged Clown
Дата сообщения: 28.05.2010 13:54
opt_step
ИМХО комбайнам в этом топике места нет, нужны именно чистые хипсы и песочницы с хипсами.
Автор: mahtanoronra
Дата сообщения: 28.05.2010 18:46
вот может будет полезным
В соответствии с принципом организации защиты HIPS могут быть
подразделены на три основные группы.
1) Классические HIPS – системы, оснащенные открытой таблицей
правил. На основании этой таблицы драйверы HIPS разрешают /
запрещают определенные действия со стороны приложений либо
запрашивают пользователя о том, что необходимо предпринять по
отношению к данному действию. Такое устройство системы
ориентировано на ручное управление разрешениями и активное
взаимодействие с пользователем, что предъявляет высокие требования
к компетентности последнего. В качестве примера могут быть
приведены продукты System Safety Monitor и AntiHook.
2) Экспертные HIPS, иначе называемые поведенческими
эвристиками, осуществляют анализ активности работающего приложения. Если совокупность выполняемых действий приобретает
подозрительный или опасный характер, продукт данного типа сообщает
о вероятном присутствии вредоносной программы. Примером
экспертной HIPS может служить система CyberHawk.
3) HIPS типа Sandbox («песочница») реализуют принцип
минимального взаимодействия с пользователем. В их основе лежит
разделение приложений на доверенные и недоверенные; на работу
доверенных приложений HIPS не оказывает никакого воздействия, в то
время как недоверенные запускаются в специальном пространстве,
отграниченном от системы. Это позволяет работать с подозрительными
приложениями без риска инфицирования или повреждения системы и
изучать отчеты об их активности. Типичные представители данного типа
– продукты DefenseWall HIPS и Sandboxie.
Автор: zhe_zho
Дата сообщения: 28.05.2010 19:00
А Malware Defender к какому типу относится?
Автор: DrakonHaSh
Дата сообщения: 28.05.2010 19:44
к 1.
Автор: Redisych
Дата сообщения: 10.06.2010 11:44
Порекомендуйте что-нибудь безпроблемное для чайника. Мне-то почти всё равно, т.к. люблю копаться с софтом. А народ в ступор впадает.
Автор: serg53
Дата сообщения: 10.06.2010 11:55
Redisych
Из русских: Kaspersky Internet Security, из буржуйских: Norton Internet Security, Norton 360...
Автор: Redisych
Дата сообщения: 10.06.2010 12:18
serg53
Это ж кошмар...
Хорошо, уточню Желательно, чтобы система защиты была незаметна.
Автор: kosjachok
Дата сообщения: 10.06.2010 12:33
Redisych
чайники и HIPS - вещи не совместимые
Здесь выхода два:
Либо Malware Defender(или др. HIPS ) с настроенными разрешениями в тихом режиме
- тогда не будет выскакивать ничего, но и чайник не сможет запустить ничего, кроме разрешенного

Либо ставить любой антивирус и не заморачиваться...
Автор: Engaged Clown
Дата сообщения: 10.06.2010 12:44
kosjachok
+1 к Malware Defender
Ещё RTD Smart, DefenseWall.
Автор: serg53
Дата сообщения: 10.06.2010 13:01
Redisych
Отдельные HIPS, антивиры, FireWall уже не для чайников, я кинул комплексные подходы... KIS вполне идет на хороших машинах - поставил и забыл... Да, еще для инета Ad Muncher...
Автор: Redisych
Дата сообщения: 10.06.2010 13:20
Поставил DefenseWall, вроде тихо сидит, не мешает... Будем попробовать...
Автор: Engaged Clown
Дата сообщения: 13.06.2010 19:07
У кого-нибудь в загашниках не осталось eqsecure200812pro.exe ?
Это HIPS EQSecure 4.1 plus английско-тайваньская, последняя из бесплатных.
В гугле только ссылки на 4гиговый образ в осле, и не факт, что это не фейк.
Автор: HarDDroN
Дата сообщения: 13.06.2010 19:37
Engaged Clown
o_O а разве не китайская?
Автор: Engaged Clown
Дата сообщения: 13.06.2010 19:47
HarDDroN
Ну на выбор предлагается 2 языка EN/TW, а Тайвань это вроде как часть Китая.
Автор: Erekle
Дата сообщения: 14.06.2010 00:37
А когда 4,1 был доступен для скачивания?
Автор: Engaged Clown
Дата сообщения: 14.06.2010 11:24
Erekle
Когда-то был
http://www.ziddu.com/download/4740472/eqsecure200812pro.exe.html
http://www.wilderssecurity.com/showthread.php?t=227359
Сейчас бесплатно есть 4.2 lite, но она очень сильно урезана.
Может кто спросит на wilderssecurity ?
Автор: mykee
Дата сообщения: 14.06.2010 13:04
спасибо за EQSecure 4.1 plus, не знал такую. поставил себе, балуюсь

Страницы: 12345678910

Предыдущая тема: Active WebCam


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.