» HIPS - Host-based Intrusion Prevention System

как-то не задумывался над этим ранее, но вот сегодня совсем случайно наткнулся на статью в одном из местных изданий о HIPS'ах по типу песочниц. странно то, что столько лет прошло с момента скандальной истории Sony руткит, а зловредные технологии взяли на вооружение "спецы" из аверных лабораторий. так, например, некоторые песочницы модифицируют MBR, другие устанавливают глобальные хуки на инфрастуктуру системы, третьи и того хуже. взять хотя бы Sandboxie. вроде крутая песочница, денег много не просит, но как по хамски она запускает свои клешни в систему: с одной стороны сплайсинг OLE/ActiveX, с другой... даже страшно говорить. в общем это так, информация к размышлению.


Цитата:

Ну например в Nod 32 5 версии имеется система hips.

ну, например, тот же нод можно запросто грохнуть Process Hacker'ом

На W7 x64 не получается один процесс Nod грохнуть Process Hacker, уже проверял до этого. А вот на x32 почему то очень просто процесс завершает свое существование. Не углублялся в вопрос в виду отсутствия надобности, можете поинтересоваться и озвучить результаты проведенной работы. Меня Nod еще не подводил.

Цитата:

Меня Nod еще не подводил

Меня тоже, т.к. не страдаю всякой фигнёй, но у знакомых же - задралсо бегать переустанавливать
то с флешки авторанер нод срезал и вместо него свое резидентное приложение вставил которое при любом клике на значок нода в трее писало типа все ок - вмешательство пользователя не требуется,
то порнобаннер...

chq

Цитата:

На W7 x64 не получается один процесс Nod грохнуть Process Hacker

а кто сказал, что процесс у нода один? или, чай, очепятка? уж не знаю, как любезный, вы пытались грохнуть процесс нода, что он у вас не закрывается, но лично я на х64 (на работе) запросто грохал и ноды, и кавы и прочие хипсы.

Цитата:

можете озвучить результаты проведенной работы

а вот подробности озвучивать не стану, не хочу чтобы вы расчувствовались разочаровались в ноде. нет, ничего против нода я не имею (ровно как и прочих вендоров), но могу заметить, что грохнуть любой процесс в ОСи не такая уж и непосильная задача, при этом не нужны специфические утилиты вроде навороченных менеджеров процессов, досточно отладчика, знаний асма, прямых рук и головы на шее.

Скажем так, я не утверждал что в Nod один процесс. Оба процесса восстанавливались при из завершении с помощью Process Hacker, а погасить с помощью стандартного Task Manager не удалось. Также я не утверждал, что их не можно грохнуть, можно, но уже не стандартным диспетчером задач. Согласен, не совсем верно истолковал свою мысль в предыдущем посте.

Подскажите хорошую программу для мониторинга процессов в системе (для Malware analysis). С показом изменений в файловой системе, регистрах. Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше.

nicklan
System Explorer

wdx
И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.)

nicklan
sandboxie + Buster Sandbox Analyzer

nicklan
Ваш текст? Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше.
Я и указал получше!

nicklan

Цитата:

И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.)

Элементарно, + снимки (snapshots)
- снимок файлов и реестра до запуска
- снимок после,
-сравнение изменений.


Добавлено:
Ну а если более подробно и без печальных последствий - то DrakonHaSh все верно написал.

Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались. Никто не в курсе?

Цитата:

Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались.

ProcMon.

Подскажите, плиз, какой программой можно запретить процессу (программе) доступ к файлу (чтение, изменение, удаление)? Нужно запретить конкретной программе доступ к конкретному файлу, поэтому шаманство с правами пользователя не подходит.

Petrik_Pjatochkin
Из того, что пробовал сам.
Malware Defender и CIS. Но стоит ли их ставить только для решения вашей проблемы, вот в чём вопрос.

KismetT, спасибо, посмотрю, может еще для чего пригодятся.

Petrik_Pjatochkin, а может таки шаманство?
вар-т 1
Если прога не слишком десктопная, то просто запускать её от имени конкретного специального юзера (возможна автоматика ч-з runas, sanur, shellrunas, surun)
вар-т 2
права юзера + dropmyrights или surun

Ну или точно подойдут (из тех, что пробовал) Комод, Джетико и MalwareDefender, но ставить целый хипс из-за одной проги... Хотя МД очень лёгкий.

MalwareDefender на Windows 7 x64 не запустился. Перезагрузка не помогла, пишет "Failed to load MalwareDefender driver".

VitRom

Цитата:

вар-т 1
Если прога не слишком десктопная, то просто запускать её от имени конкретного специального юзера (возможна автоматика ч-з runas, sanur, shellrunas, surun)
вар-т 2
права юзера + dropmyrights или surun

Прога - Firefox. Для меня эти слова runas, sanur, shellrunas, surun темный лес. Можете объяснить о чем идет речь?

Petrik_Pjatochkin

Цитата:

Нужно запретить конкретной программе доступ к конкретному файлу,

Цитата:

Прога - Firefox

а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение?

Цитата:

а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение?

Есть такая программа WebReserch (для сохранения контента вэб-страничек). В папке этой программы есть файл WRThread.dll. Из-за того, что Firefox "обращается" к этой длл-ке он постоянно зависает (почему-то это происходит при смене раскладки) и приходится через Process Explorer убивать "threads" (не знаю как называются, "потоки"?) этой длл-ки. Геморно, короче.

Удалить длл-ку я не могу, т.к. она нужна для работы WebReserch. Я подумал, что если я запрещу доступ для Firefox к этой длл-ке, Firefox перестанет зависать.

Petrik_Pjatochkin
так вам, может надо просто отключить расширение или плагин WebReserch в firefox ?


Цитата:

MalwareDefender на Windows 7 x64 не запустился.

он, к сожалению, только для x32 систем

Цитата:

так вам, может надо просто отключить расширение или плагин WebReserch в firefox ?

Ну да, можно. Можно еще пользоваться ИЭ.
Без расширения не получится в Firefox'e копировать в базу WebResearch.

Цитата:

Без расширения не получится в Firefox'e копировать в базу WebResearch.

Подозреваю что без обращения к файлу WRThread.dll тоже не получится...

Цитата:

Подозреваю что без обращения к файлу WRThread.dll тоже не получится...

Это я и хочу проверить. Сейчас поставлю CIS и посмотрю.

ПыСы: поставил - посмотрел. Комодо оказывается не умеет блокировать доступ к отдельному файлу для отдельной программы. То есть он может защитить от записи, но не может заблокировать на чтение. Либо блокирует на чтение, но полностью для всех программ, это тоже не подходит. Придется видимо перебирать хипсы все подряд из списка.

Цитата:

эти слова runas, sanur, shellrunas, surun

JFYI это просто названия программ, помогающих автоматизировать "запуск от имени", гугл их хорошо знает.

И я таки согласен с kosjachok. Для проги, юзающей некую dll, в общем-то поровну: то ли её "нельзя читать", то ли её вообще нет (удалена)

Добавлено:
ЗЫ. А обновить или наоборот откатить версию ВёбРесерча не вариант?

Добавлено:
ЗЗЫ. Или "уйти" в 32-бит (поставить и Лиса и ВёбРесерч оба 32)?

Цитата:

ЗЫ. А обновить или наоборот откатить версию ВёбРесерча не вариант?

Всё это перепробовано. Это тянется очень давно. На WindowsXP проблема решалась правкой реестра, 7-ке это не подходит.

Цитата:

ЗЗЫ. Или "уйти" в 32-бит (поставить и Лиса и ВёбРесерч оба 32)?

Они и так 32-битные.

Меня больше удивляет, что я нету HIPS'a, который мог бы решить банальную задачу - запретить одной программе полный доступ к одному файлу. Когда я сидел на ХР, с этим легко справлялся Tiny Personal Firewall, но на 7-ку он не устанавливается.

Добавлено после экспериментов на вирт. машине с Windows XP 32bit: как и говорили выше, Firefox отказался работать с расширением, если ему запретить доступ к длл-ке. Всем спасибо!

Цитата:

Программа комплексной защиты компьютера, включающая в себя антивирус - Comodo Antivirus, персональный сетевой экран - Comodo Firewall и модуль проактивной защиты - Comodo Defense.

а у других подобных - NIS, KIS, DR 7, 8 проактивной защиты нет?

есть.
"пз" это просто отслеживание и при необх. блокировка "подозрительных" действий (например, запись в автостарт).
а звучными названиями маркетологи заведуют

В добавление к средствам анализа изменений в операционной системе - просто-быстро-наглядно:
путём сравнения снимков "ДО" и "ПОСЛЕ" - очень доходчиво:

http://www.blueproject.ro/systracer

http://forum.rsload.net/cat-Programmnoe-obespechenie--/topic-3330.html

Друзья, а есть ли в природе непрожорливая программа-песочница (бесплатная или излечимая без кейгенов и патчей), которая по каждой впервые запускаемой программе будет спрашивать у пользователя, запускать ли ее в виртуалке, или обычным образом? С запоминанием ответа пользователя. Требуется совместимость с WinXP x64.
Пробовал Comodo Internet Security - он как-то странно работает...
А Malware Defender и Private Firewall не совместимы с OC x64.
Спасибо!