Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Открыть новую тему     Написать ответ в эту тему

alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HIPS

Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения.
В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления.
Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного.


В  соответствии  с принципом  организации  защиты  HIPS  могут  быть  
подразделены на три основные группы
:  
 
1) Классические  HIPS  
К этому типу можно отнести:
- 360.cn Malware Defender (бывш Torchsoft) - FREE, неплохие показатели в тестах
- OSSS (Online Solutions Security Suite) - платная, неплохие показатели в тестах
- Jetico Personal Firewall - платная, слабые результаты в тестах
- Real-time Defender Professional (бывший ProSecurity) - развивается пока только как RTD Smart
- CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall)
- Safe'n'Sec Enterprise Pro - не развивается
- Ghost Security Suite (AppDefend, RegDefend) - не развивается
 
2) Экспертные    HIPS
К этому типу можно отнести:
- Comodo Internet Security - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox
- Privatefirewall (ранее Dynamic Security Agent) - FREE, средние показатели в тестах
- Prevx  
- PCTools ThreatFire (Cyberhawk)  
- McAfee Host Intrusion Prevention for Desktops and Servers    
Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).
 
3) HIPS    типа    Sandbox («песочница»)
Типичные представители данного типа:
- DefenseWall HIPS  
- Sandboxie  
ориентированные на систему в целом:
- Returnil Virtual System
- Shadow Defender
- ShadowProtect и ShadowServer
- PowerShadow
- Deep Freeze
- BitDisk


Исполнение бывает в 3-х вариантах:
1) хипсы отдельным продуктом.
2) хипсы в файрволах.  
3) хипсы в секьюрити сьютах.


Предлагаем для начала ознакомиться с результатами тестирования различных HIPS:
multimania.fr от 17.07.2007 г.
а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:
 
 
Софт для тестирования HIPS:
На matousec (Подробнее)
На virusinfo
Comodo Buffer Overflow Test x86 x64
Comodo Leak Tests.  
 
 
результаты тестов matousec Proactive Security Challenge 64
 
 
 
Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь #

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:48 25-08-2007 | Исправлено: DrakonHaSh, 15:49 21-07-2015
ComradG



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как-то не задумывался над этим ранее, но вот сегодня совсем случайно наткнулся на статью в одном из местных изданий о HIPS'ах по типу песочниц. странно то, что столько лет прошло с момента скандальной истории Sony руткит, а зловредные технологии взяли на вооружение "спецы" из аверных лабораторий. так, например, некоторые песочницы модифицируют MBR, другие устанавливают глобальные хуки на инфрастуктуру системы, третьи и того хуже. взять хотя бы Sandboxie. вроде крутая песочница, денег много не просит, но как по хамски она запускает свои клешни в систему: с одной стороны сплайсинг OLE/ActiveX, с другой... даже страшно говорить. в общем это так, информация к размышлению.
 

Цитата:
Ну например в Nod 32 5 версии имеется система hips.
ну, например, тот же нод можно запросто грохнуть Process Hacker'ом

Всего записей: 2038 | Зарегистр. 05-07-2008 | Отправлено: 15:49 16-12-2011
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На W7 x64 не получается один процесс Nod грохнуть Process Hacker, уже проверял до этого. А вот на x32 почему то очень просто процесс завершает свое существование. Не углублялся в вопрос в виду отсутствия надобности, можете поинтересоваться и озвучить результаты проведенной работы. Меня Nod еще не подводил.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 16:54 16-12-2011 | Исправлено: chq, 16:56 16-12-2011
kosjachok



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Меня Nod еще не подводил

Меня тоже, т.к. не страдаю всякой фигнёй, но у знакомых же - задралсо бегать переустанавливать  
то с флешки авторанер нод срезал и вместо него свое резидентное приложение вставил которое при любом клике на значок нода в трее писало типа все ок - вмешательство пользователя не требуется,  
то порнобаннер...

Всего записей: 689 | Зарегистр. 18-08-2004 | Отправлено: 12:53 17-12-2011
ComradG



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chq

Цитата:
На W7 x64 не получается один процесс Nod грохнуть Process Hacker
а кто сказал, что процесс у нода один? или, чай, очепятка? уж не знаю, как любезный, вы пытались грохнуть процесс нода, что он у вас не закрывается, но лично я на х64 (на работе) запросто грохал и ноды, и кавы и прочие хипсы.

Цитата:
можете озвучить результаты проведенной работы
а вот подробности озвучивать не стану, не хочу чтобы вы расчувствовались разочаровались в ноде. нет, ничего против нода я не имею (ровно как и прочих вендоров), но могу заметить, что грохнуть любой процесс в ОСи не такая уж и непосильная задача, при этом не нужны специфические утилиты вроде навороченных менеджеров процессов, досточно отладчика, знаний асма, прямых рук и головы на шее.

Всего записей: 2038 | Зарегистр. 05-07-2008 | Отправлено: 16:46 17-12-2011 | Исправлено: ComradG, 16:48 17-12-2011
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скажем так, я не утверждал что в Nod один процесс. Оба процесса восстанавливались при из завершении с помощью Process Hacker, а погасить с помощью стандартного Task Manager не удалось. Также я не утверждал, что их не можно грохнуть, можно, но уже не стандартным диспетчером задач. Согласен, не совсем верно истолковал свою мысль в предыдущем посте.

Всего записей: 543 | Зарегистр. 03-08-2011 | Отправлено: 02:49 04-02-2012 | Исправлено: chq, 02:49 04-02-2012
nicklan



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите хорошую программу для мониторинга процессов в системе (для Malware analysis). С показом изменений в файловой системе, регистрах. Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше.

Всего записей: 3 | Зарегистр. 14-10-2012 | Отправлено: 01:15 15-10-2012
wdx



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nicklan
System Explorer

Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 10:54 15-10-2012
nicklan



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wdx
И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.)

Всего записей: 3 | Зарегистр. 14-10-2012 | Отправлено: 14:09 15-10-2012
DrakonHaSh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nicklan
sandboxie + Buster Sandbox Analyzer

Всего записей: 2076 | Зарегистр. 08-01-2008 | Отправлено: 14:44 15-10-2012 | Исправлено: DrakonHaSh, 14:44 15-10-2012
wdx



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nicklan
Ваш текст? Ну например Process Explorer или AnVir Task Manager, только что-нибудь по лучше.
Я и указал получше!

Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 17:13 15-10-2012
kosjachok



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nicklan

Цитата:
И где я могу там посмотреть деятельность некоторых файлов? (изменения в файловой системе, регистрах, и т.д.)

Элементарно, + снимки (snapshots)  
- снимок файлов и реестра до запуска
- снимок после,
-сравнение изменений.
 
 
Добавлено:
Ну а если более подробно и без печальных последствий - то DrakonHaSh все верно написал.

Всего записей: 689 | Зарегистр. 18-08-2004 | Отправлено: 18:13 15-10-2012
wdx



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались. Никто не в курсе?

Всего записей: 425 | Зарегистр. 26-06-2010 | Отправлено: 19:44 15-10-2012
KismetT



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Когда-то был regmon и filemon. Потом они во что-то другое вроде трансформировались.

ProcMon.

Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 19:47 15-10-2012
Petrik_Pjatochkin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, плиз, какой программой можно запретить процессу (программе) доступ к файлу (чтение, изменение, удаление)? Нужно запретить конкретной программе доступ к конкретному файлу, поэтому шаманство с правами пользователя не подходит.

Всего записей: 689 | Зарегистр. 04-12-2007 | Отправлено: 18:08 24-12-2012
KismetT



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Petrik_Pjatochkin
Из того, что пробовал сам.  
Malware Defender и CIS. Но стоит ли их ставить только для решения вашей проблемы, вот в чём вопрос.

Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 18:25 24-12-2012
Petrik_Pjatochkin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT, спасибо, посмотрю, может еще для чего пригодятся.

Всего записей: 689 | Зарегистр. 04-12-2007 | Отправлено: 18:27 24-12-2012
VitRom

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Petrik_Pjatochkin, а может таки шаманство?
вар-т 1
Если прога не слишком десктопная, то просто запускать её от имени конкретного специального юзера (возможна автоматика ч-з runas, sanur, shellrunas, surun)
вар-т 2
права юзера + dropmyrights или surun
 
Ну или точно подойдут (из тех, что пробовал) Комод, Джетико и MalwareDefender, но ставить целый хипс из-за одной проги... Хотя МД очень лёгкий.

Всего записей: 3097 | Зарегистр. 18-06-2006 | Отправлено: 18:27 24-12-2012 | Исправлено: VitRom, 18:28 24-12-2012
Petrik_Pjatochkin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MalwareDefender на Windows 7 x64 не запустился. Перезагрузка не помогла, пишет "Failed to load MalwareDefender driver".  
 
VitRom

Цитата:
вар-т 1
Если прога не слишком десктопная, то просто запускать её от имени конкретного специального юзера (возможна автоматика ч-з runas, sanur, shellrunas, surun)
вар-т 2
права юзера + dropmyrights или surun  

 
Прога - Firefox. Для меня эти слова runas, sanur, shellrunas, surun темный лес. Можете объяснить о чем идет речь?

Всего записей: 689 | Зарегистр. 04-12-2007 | Отправлено: 18:54 24-12-2012
shura1973



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Petrik_Pjatochkin

Цитата:
Нужно запретить конкретной программе доступ к конкретному файлу,


Цитата:
Прога - Firefox

а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение?

Всего записей: 4944 | Зарегистр. 14-10-2007 | Отправлено: 19:02 24-12-2012
Petrik_Pjatochkin



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
а что конкретно вы хотите запретить Firefox-у или в Firefox-е доступ к самому Firefox-у или доступ к папке профиля на изменение?

 
Есть такая программа WebReserch (для сохранения контента вэб-страничек). В папке этой программы есть файл WRThread.dll. Из-за того, что Firefox "обращается" к этой длл-ке он постоянно зависает (почему-то это происходит при смене раскладки) и приходится через Process Explorer убивать "threads" (не знаю как называются, "потоки"?) этой длл-ки. Геморно, короче.
 
Удалить длл-ку я не могу, т.к. она нужна для работы WebReserch. Я подумал, что если я запрещу доступ для Firefox к этой длл-ке, Firefox перестанет зависать.

Всего записей: 689 | Зарегистр. 04-12-2007 | Отправлено: 19:11 24-12-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru