HIPS
Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения.
В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления.
Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного.
В соответствии с принципом организации защиты HIPS могут быть
подразделены на три основные группы:
1) [more= Классические HIPS ] – системы, оснащенные открытой таблицей
правил. На основании этой таблицы драйверы HIPS разрешают /
запрещают определенные действия со стороны приложений либо
запрашивают пользователя о том, что необходимо предпринять по
отношению к данному действию. Такое устройство системы
ориентировано на ручное управление разрешениями и активное
взаимодействие с пользователем, что предъявляет высокие требования
к компетентности последнего. [/more]
К этому типу можно отнести:
- [more= 360.cn Malware Defender (бывш Torchsoft)] Ключевые особенности Malware Defender:
Система защиты в реальном времени, Следит за активностью процессов, файлов и Реестра на предмет подозрительного поведения. Следит за сетевой активностью. Обнаруживает любые формы вредоносного ПО, - и известного и еизвестного.
Поддерживает режим обучения и тихой работы. Высокая производительность и низкое потребление ресурсов.
Менеджер процессов. Обнаруживает скрытые процессы и потоки. Обнаруживает неподписанные процессы и модули.
Убивает процессы и потоки, используя продвинутые методы. Замораживает/возобновляет процессы и потоки.
Выгружает модули процессов. Закрывает дескрипторы процессов. Менеджер модулей ядра. Обнаруживает скрытые модули и потоки ядра. Обнаруживает неподписанные модули ядра. Убивает, замораживает и возобновляет потоки ядра.
Убивает DPC (Deferred Procedure Call) таймеры ядра. Детектор перехватчиков. Обнаруживает и удаляет перехватчики системной таблицы служб (перехватчики SSDT). Обнаруживает и удаляет перехватчики таблицы служб Win32k (теневые перехватчики SSDT). Обнаруживает и удаляет перехватчики таблицы описания прерываний (перехватчики IDT).
Обнаруживает и удаляет перехватчик дескриптора SYSENTER. Обнаруживает и удаляет перехватчики объектов ядра.
Обнаруживает и удаляет процедуры оповещений ядра. Обнаруживает и удаляет перехватчики уровня ядра.
Обнаруживает и удаляет перехватчики прикладного уровня. Обнаруживает и удаляет глобальные перехватчики сообщений. Обнаруживает подключаемые устройства. Обнаруживает перехваты процедур управления драйверами (перехватчики IRP). Менеджер автоматически загружаемых приложений Сканирует все известные расположения автозагрузок. Обнаруживает скрытые объекты автозагрузки. Обнаруживает недавно добавленные объекты автозагрузки. Отменяет или возвращает удалённые объекты автозагрузки. Проводник файловой системы
Обнаруживает скрытые файлы и папки. Отображает и удаляет Альтернативные Потоки Данных NTFS (ADS).
Удаляет используемые файлы. Полнофункциональный редактор Реестра. Обнаруживает скрытые объекты Реестра.
хомяк | программы[/more] - FREE, неплохие показатели в тестах
- [more=OSSS (Online Solutions Security Suite) ]является комплексным средством защиты, включающим в себя:
* систему проактивной защиты нового поколения Proactive Defense (OSPD),
* мощнейший сетевой экран Personal Firewall (OSPF)
* и антивирусный модуль Autorun Manager (OSAM)
"OSSS" обеспечивает полную защиту компьютера пользователя от новейших хакерских атак, вредоносного кода и руткитов.
хомяк [/more] - платная, неплохие показатели в тестах
- [more=Jetico Personal Firewall] В настоящее время это один из перспективных и динамично развивающихся персональных брандмауэров совмещённых с ХИПСой. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...
хомяк | программы | Варезник [/more] - платная, слабые результаты в тестах
- [more=Real-time Defender Professional (бывший ProSecurity)]с помощью этой утилиты можно разрешить или запретить запускать те или иные процессы, давать или не давать доступ к файлам и папкам, к записям в системном реестре. Можно полностью исключить возможность изменения тех или иных файлов, запретить запись в ту или иную папку. Одним словом, всё направлено именно на максимальное ограничение возможности как-либо изменить систему.
Запуск новых, только что установленных приложений после установки ProSecurity потребует подтверждения. При попытке запустить такое непонятное приложение появится Warning Box,с помощью которого вы можете установить атрибуты для новой программы. Составляется список системных папок (например, из папки C:Windows можно запускать приложения, но в неё ничего нельзя записывать), записей реестра, загружаемых библиотек. После этого ProSecurity становится посредником между ядром системы и приложениями, по сути становится частью ядра.
хомяк | программы[/more] - развивается пока только как RTD Smart
- [more= CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall) ] CA HIPS (CA Host-Based Intrusion Prevention System) - серверная система предотвращения вторжений. CA HIPS объединяет автономный межсетевой экран и систему обнаружения и предотвращения вторжений в централизованную проактивную систему защиты от известных и неизвестных сетевых угроз.
хомяк | Варезник (TPF) | Варезник (CA HIPS) | программы (TPF) [/more]
- [more=Safe'n'Sec Enterprise Pro ]В HIPS Safe'n'Sec, разрабатываемой Российской компанией S.N.Safe&Software, используется собственная технология защиты V.I.P.O. (Valid Inside Permitted Operations). Суть работы программы проста. Драйвер Safe'n'Sec загружается на раннем этапе и перехватывает вызовы системных функций на уровне нулевого кольца ядра ОС. После установки клиент сканирует систему, создавая профиль приложений и формируя список доверенных программ (для этого используется хеш SHA-256). При появлении активности, затрагивающей целостность системных файлов, реестра, запуск нового процесса, открытие сетевого соединения, соответствующая операция блокируется, а пользователь получает запрос на ее подтверждение. Для описания поведения используется универсальный язык правил, определяющий, какие действия приложений и пользователей должны блокироваться. Плюс задаются дополнительные условия, вроде частоты проявления определенного действия. База состоит из системных правил, разрабатываемых специалистами, и пользовательских. Последние формируются автоматически на основе ответов на запросы. Для работы Safe'n'Sec не требуется постоянное обновление баз, хотя периодически следует обновлять программные модули.
хомяк | программы | Варезник[/more] - не развивается
- [more=Ghost Security Suite (AppDefend, RegDefend)] AppDefend - эта система защиты приложений для Windows, способна защитить вас от новейших хакерских атак, вредоносного кода и руткитов. Она обеспечивает полный контроль не только над вредоносными приложениями, но и над всей системой. AppDefend это самое быстрое и наименее ресурсоёмкое ХИПС - решение, с установщиком размером чуть более мегабайта. RegDefend - защищает от модификации реестр, перехватывая запросы от приложений и системы. Вы можете сами определить разделы реестра, которые необходимо защитить от постороннего вмешательства. RegDefend создавался на ассемблере (ASM), поэтому по праву может считаться самым быстрым решением по защите реестра на рынке подобных продуктов.
хомяк | Варезник(AppDefend) | Варезник(RegDefend)[/more] - не развивается
2) [more= Экспертные HIPS]иначе называемые поведенческими
эвристиками, осуществляют анализ активности работающего приложения. Если совокупность выполняемых действий приобретает подозрительный или опасный характер, продукт данного типа сообщает
о вероятном присутствии вредоносной программы. [/more]
К этому типу можно отнести:
- [more=Comodo Internet Security]
Программа комплексной защиты компьютера, включающая в себя антивирус - Comodo Antivirus, персональный сетевой экран - Comodo Firewall и модуль проактивной защиты - Comodo Defense.
Модуль защиты от вирусов успешно распознает и уничтожает все известные подобные объекты, черви и троянские программы, а подозрительные файлы помещает в карантин. Вся защита может осуществляться в режиме реального времени. Встроенный планировщик позволяет заранее задать время для проведения сканирования, а ежедневные обновления антивирусных баз обеспечат отличный уровень готовности для борьбы с новыми угрозами.
Фаервол, встроенный в COMODO Internet Security, способен максимально обеспечить безопасность вашего ПК. Он является первым барьером на пути вредоносных модулей, и поэтому именно на нем лежит самая большая ответственность по защите системы. Он не дает хакерам (или вредоносным модулям, созданным ими) проникнуть в компьютер, то есть, обеспечивает отличную профилактику, которая, как известно, гораздо лучше лечения.
А чтобы совершенно точно исключить возможность заражения, задействуется система Defense+. В списках программы есть более двух миллионов известных ей процессов, компонентов и приложений, которые совершенно точно не нанесут системе вреда. Если же в системе замечен какой-либо процесс, который выполняется неизвестной программой и при этом затрагивает системные или иные важные файлы, то этот модуль его тут же заблокирует.
хомяк | программы[/more] - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox
- [more=Privatefirewall (ранее Dynamic Security Agent)] – инструмент безопасности. Не требуя баз и электронных подписей, засекает непрошенное вторжение в систему. Программа не просто отследит все текущие процессы, она ещё и вовремя блокирует работу вируса и изолирует вредоносные файлы до тех пор, пока вы не удалите их. Программа ориентирована на мониторинг нетипичных для системы команд и действий. Анализирует подозрительное поведение, характерное для вредоносных программ, и блокирует попытки доступа к защищенным областям реестра, попытки запуска новых процессов, попытки контроля служб Windows, попытки создания DNS-запросов, попытки инициировать исходящий TCP-траффик и т.д.
хомяк | программы [/more] - FREE, средние показатели в тестах
- [more=Prevx]Система Prevx появилась в начале 2004 года и была представлена как первая Community IPS, предназначенная для защиты отдельных узлов. Термин Cloud computing в то время еще не использовался, но все признаки предоставления ПО как услуги (software-as-service, SAAS), удаленные хранилища данных, в Prevx уже имелись. В Prevx для определения угроз используются правила, описывающие поведение и контрольные суммы программ. В список рулесетов попадают как заведомо хорошие программы, так и плохие, что позволяет быстро определить характер новой программы или процесса на компьютере. Вся информация хранится в единой базе данных (Prevx Cloud Community Database), являющейся, наверное, самым большим источником информации, который позволяет определить характер программы. В качестве сенсоров этой гигантской IPS выступают агенты, установленные на клиентских машинах.
хомяк | Варезник[/more]
- [more=PCTools ThreatFire (Cyberhawk)]- утилита производит анализ запущенных процессов и определяет уровень доверия к ним ориентируясь на поведение. Все сомнительные программы будут, при вашем согласии, помещены в карантин или удалены с компьютера. ThreatFire отбивает атаки ориентированные на ошибки переполнения буфера, борется с руткитами и блокирует их, защищает от spyware.
хомяк | программы | Варезник[/more]
- [more=McAfee Host Intrusion Prevention for Desktops and Servers ]В HIPS от McAfee объединены возможности продуктов Desktop Firewall и HIPS Entercept (до 2003 года разрабатывался одноименной компанией, которая была выкуплена Network Associates). Доступен как самостоятельное решение, так и как часть комплексного продукта Total Protection for Endpoint. Поведенческий анализатор отслеживает и блокирует нежелательную активность, используя три уровня защиты: поведенческий анализ, сигнатурный и контроль соединений брандмауэром. В результате обеспечивается защита от известных и еще неизвестных атак, направленных на переполнение буфера, а также защита приложений, в том числе от попыток обмена данными с другими приложениями. Из дополнительных функций следует отметить возможность контроля приложений (можно определить список разрешенных и запрещенных) и блокировку USB-носителей.
хомяк | Варезник[/more]
Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).
3) [more=HIPS типа Sandbox («песочница»)] реализуют принцип
минимального взаимодействия с пользователем. В их основе лежит
разделение приложений на доверенные и недоверенные; на работу
доверенных приложений HIPS не оказывает никакого воздействия, в то
время как недоверенные запускаются в специальном пространстве,
отграниченном от системы. Это позволяет работать с подозрительными
приложениями без риска инфицирования или повреждения системы и
изучать отчеты об их активности. [/more]
Типичные представители данного типа:
- [more=DefenseWall HIPS]DefenseWall HIPS (Host Intrusion Prevention System) - это самый легкий и простой способ защитить себя от вредоносного ПО, от которого не способен защитить антивирус, когда ты находишься в интернете. Используя технологии проактивной защиты следующего поколения, DefenseWall поможет добиться максимального уровня защиты, не требуя от тебя никаких специальных знаний и постоянных онлайновых обновлений баз. Никаких сигнатур, никаких всплывающих окон, никаких ложных срабатываний.
В DefenseWall используется принцип разделения программ/процессов на доверенные и недоверенные. Программы из второй группы удерживаются в песочнице (Sandbox), в отдельном от основных программ пространстве. В список недоверенных программ автоматически попадают все приложения для работы в интернете – веб-браузер, P2P, IM-клиенты и т.д. Все файлы, загруженные или созданные такими приложениями, также становятся недоверенными. По умолчанию к недоверенным относятся и файлы на съемных носителях (для CD/DVD это поведение активируется отдельно). Доверенные программы также ограничены в некоторых правах: они не могут модифицировать важные системные файлы, ветки реестра, изменять параметры автозагрузки. Благонадежное приложение может потерять доверие, стоит ему только выполнить действие, считающееся потенциально опасным. Например, запуск доверенной программы из недоверенной автоматически переводит действие в опасное. Статус каждой программы выводится в верхней части окна. В окне настройки есть возможность указать файлы и ресурсы (пароли, игровые аккаунты и т.п.), которые необходимо защищать с особой тщательностью.
хомяк | Варезник[/more]
- [more=Sandboxie]- небольшая, но достаточно интересная программа, которая расценивается как дополнение для веб-браузеров, призванное повысить безопасность ПК при работе с "неблагонадежными" сайтами. Sandboxie защищает компьютер ото всех нежелательных изменений, которые могли бы быть совершены активным содержимым сайтов (например, установка нежелательного ПО). Sandboxie позволяет запускать браузер или другие программы таким образом, чтобы любые изменения связанные с использованием программы были сохранены в ограниченной среде (“песочница”), которая может быть позже удалена. В результате вы можете быстро удалить любые изменения связанные с активностью в Интернет, например изменения закладок, домашней страницы, реестра и другие изменения. Если файл был загружен внутри сессии песочницы, он будет удален при очистке песочницы. Программа запускается в системном трее и для активации песочницы достаточно запустить нужную программу через иконку в трее. Отличие от того же ShadowUser в том, что не требуется перезагрузка. Одна задача может работать в ящике, а другая в нормальном режиме. MSIE или иной браузер можно запустить в нормальном режиме, а можно под защитой, когда возникнет, например, желание зайти на какой-нибудь неблагонадёжный сайт.
хомяк | программы | Варезник[/more]
ориентированные на систему в целом:
- Returnil Virtual System
- Shadow Defender
- ShadowProtect и ShadowServer
- PowerShadow
- Deep Freeze
- BitDisk
Исполнение бывает в 3-х вариантах:
1) хипсы отдельным продуктом.
2) хипсы в файрволах.
3) хипсы в секьюрити сьютах.
Предлагаем для начала ознакомиться с результатами тестирования различных HIPS:
multimania.fr от 17.07.2007 г.
[more= а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:]Latest news
* 2010-05-23: New results have been published for:
o Online Armor Premium 4.0.0.44
o Online Solutions Security Suite 1.5.14905.0
Online Armor Premium confirmed its quality and reached the Excellent 97% score.
A very pleasant surprise is the result of Online Solutions Security Suite on its first appearance in Proactive Security Challenge. It took the second place with incredible 99 %, an Excellent level of protection. Very well done!
* 2010-05-04: New results have been published for:
o Outpost Security Suite Pro 2009 6.7.3.3063.452.0726
o PC Tools Firewall Plus 6.0.0.88
Outpost Security Suite Pro performed similarly to its recently tested Free cousin. Having great problems with the new set of tests it finished with 72% score, a Good level of protection.
PC Tools Firewall Plus had even bigger problems with the new tests and its previously perfect performance against 84 tests is no longer true against 148 tests. PC Tools Firewall Plus this time finished with a Poor result of 51 %.
* 2010-05-01: A response from Comodo Security Solutions, Inc., the vendor of Comodo Internet Security, has been added.
* 2010-05-01: A single product update:
o Comodo Internet Security 4.0.141842.828
Comodo Internet Security 4.0.141842.828 reached the perfect score even against 148 tests. Comodo Internet Security is now the new leader of Proactive Security Challenge. Congratulations!
http://www.matousec.com/projects/proactive-security-challenge/results.php
[/more]
Софт для тестирования HIPS:
На matousec (Подробнее)
На virusinfo
Comodo Buffer Overflow Test x86 x64
Comodo Leak Tests.
результаты тестов matousec Proactive Security Challenge 64
Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь #
