• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Как правильно использовать классический HIPS ?


dima2_90

Пользователь
Форумчанин
Регистрация
16.10.2018
Сообщения
4
В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах.

Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная.

То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
А в чём вопрос ?

HIPS это подозрительные действия программы.

Если пользователь не гиг, то антивирусное ПО, должно автоматически принимать решение.

Идеально сделано у Касперского, есть несколько уровней работы приложений.

Если программа имеет низкий коэффициент, то антивирус сильно урежит программу в правах.

Например, сделали вы стиллер, сканер его не детектит, НО т.к. программа запустится сильно урезанна в правах, у неё не будет доступа в сеть, и прочее-прочее...)

Но есть и минусы таких решений, небольшие лазейки есть, например если использовать легальный софт.

Как-то так вкратце, от самописных вирусов защита отличная, но мало применима от уязвимостей и если в комплексе с легальным софтом атаковать.)
 

dima2_90

Пользователь
Форумчанин
Регистрация
16.10.2018
Сообщения
4
Если пользователь не гиг
А если пользователь гик - то как он примет решение, когда HIPS пишет, к примеру - "Процесс такой-то собирается загрузить драйвер " ? На чём будет основано решение - разрешить или запретить процессу выполнить это действие ? Чтобы точно понять, вредоносна ли эта программа, или нет, нужно использовать другие инструменты, например, IDA Pro. А по сообщениям HIPS вредоносность не определишь (я не представляю, как гик может это определить, используя только HIPS). В некоторых случаях HIPS позволяет определить вредоносное ПО, которое визуально себя не выдаёт, как, например, троян винлок, но это редко бывает.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
А если пользователь гик - то как он примет решение, когда HIPS пишет, к примеру - "Процесс такой-то собирается загрузить драйвер " ?
Единственно правильное использование HIPS, это создание белых/черных списков программ...

Например, вы поставили нужные программы и уверены, что новые программы, не должны работать с системой "на низком уровне", например загружать драйвер, работа с файловой системой и т.д.

Ну-так и делайте всё в блок по правилам, в любом HIPS это настраивается.

Ещё как пример, это использовать UAC + ограничение учетки в винде + беккапы регулярные.)))
 
Автор темы Похожие темы Форум Ответы Дата
IvanPetrov ВОПРОС-ОТВЕТ. БАРАХОЛКА 11
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 0
NeLamer ВОПРОС-ОТВЕТ. БАРАХОЛКА 10
0b170xor ВОПРОС-ОТВЕТ. БАРАХОЛКА 6
Platon666 ВОПРОС-ОТВЕТ. БАРАХОЛКА 4
H ВОПРОС-ОТВЕТ. БАРАХОЛКА 13
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 27
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 18
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 2
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 19
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 14
ason ВОПРОС-ОТВЕТ. БАРАХОЛКА 23
сега ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
RobinXak ВОПРОС-ОТВЕТ. БАРАХОЛКА 20
Верх Низ