alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HIPS Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения. В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления. Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного. В  соответствии  с принципом  организации  защиты  HIPS  могут  быть   подразделены на три основные группы:     1) Классические  HIPS   К этому типу можно отнести: - 360.cn Malware Defender (бывш Torchsoft) - FREE, неплохие показатели в тестах - OSSS (Online Solutions Security Suite) - платная, неплохие показатели в тестах - Jetico Personal Firewall - платная, слабые результаты в тестах - Real-time Defender Professional (бывший ProSecurity) - развивается пока только как RTD Smart - CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall) - Safe'n'Sec Enterprise Pro - не развивается - Ghost Security Suite (AppDefend, RegDefend) - не развивается   2) Экспертные    HIPS К этому типу можно отнести: - Comodo Internet Security - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox - Privatefirewall (ранее Dynamic Security Agent) - FREE, средние показатели в тестах - Prevx   - PCTools ThreatFire (Cyberhawk)   - McAfee Host Intrusion Prevention for Desktops and Servers     Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).   3) HIPS    типа    Sandbox («песочница») Типичные представители данного типа: - DefenseWall HIPS   - Sandboxie   ориентированные на систему в целом: - Returnil Virtual System - Shadow Defender - ShadowProtect и ShadowServer - PowerShadow - Deep Freeze - BitDisk Исполнение бывает в 3-х вариантах: 1) хипсы отдельным продуктом. 2) хипсы в файрволах.   3) хипсы в секьюрити сьютах. Предлагаем для начала ознакомиться с результатами тестирования различных HIPS: multimania.fr от 17.07.2007 г. а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:     Софт для тестирования HIPS: На matousec (Подробнее) На virusinfo Comodo Buffer Overflow Test x86 x64 Comodo Leak Tests.       результаты тестов matousec Proactive Security Challenge 64       Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь # Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:48 25-08-2007 | Исправлено: DrakonHaSh, 15:49 21-07-2015

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alt76 в реале мной используется Блокирование изменения автозагрузки(setacl + скрипты) не против был бы ультра маленькой hisp системы.... не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк   Добавлено: забыл добавить также блокируется любой исходящий траффик на 25 порт (gpedit.msc) сервер смтп расположен на 26 чем я фильтрую исходящий спам траффик Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 13:57 25-08-2007

alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: тоесть хотелось бы просто указать в какие папки нельзяписать файлы с указанными расширениям этк По моему подобный функционал есть у ProSecurity. Насколько хорошо он работает не скажу   Цитата: не грузящей ни систему ни бедного пользователя своими тревогами, и мечтами подобные системы ориентированны скорее не на бедного пользователя , а на продвинутого спеца     Добавлено: bornbill какой конкретно софт используешь ? Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 14:11 25-08-2007

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alt76 плохо он работает... с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности.... Цитата: а на продвинутого спеца вообщето HISP системы изначально придуманы были ,как понятие, как часть корпоративной безопасности тоесть как приятное добавление к антивирусу внутри организации....   тоесть есть организация в которой работают пользователи, на PC которых стоят HISP системы которые работают по правилам настроенным системным администратором системы, и пользователю видеть злобные окошки с выкриками ни всегда обязательно(чаще всего нервы пользователей и системного администратора не железные), иногда проще заразится а уж потом в спокойной обстановке системный администратор произведет восстановление системы....   тоесть есть правила которые нарушать не льзя по мнению сисадмина и нарушать некому не позволено, и сообщать об этом страдающему пользователю который хочет поставить себе игрушку, или пропатчить оную пинчем необязательно...   Цитата: какой конкретно софт используешь ? мозг+руки   Блокирую на изменение ветки реестра(взятые из autoruns) С помощью Setacl и самописных скриптов....   а gpedit.msc правлю политики так чтобы нельзя было испускать на 25 порт   Стоит NOD32 и всё мирно себе работает не напрягается   В случаях заражения(что бывает редко но бывает) прохожусь AVZ... Потомучто элементарное блокирование автозагрузки спасает от 90% зловредных программ, сюда есстественно не поподают все качественные руткиты. есть списки файлов сделанные утилиткой filelist, которые иногда сравниваются с шаблон один раз в день в конце рабочего дня дабы сообщить мне о всех новых exe,com,bat,cmd,sys,dll,vxd в системных файлах... как итог изменения получаю на почту.... опять же в случае правильных руткитов это не спасает....   В идеале мечтаю: диск поделен на С:System D:Backup+Data E:Winpe.   Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.   Такой себе осовремененный Adinf   Таким образом получим, присмотр за системой+возможность её быстрого восстановления+отсутствия процессов,программ перехватывающих всё и вся... Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 14:38 25-08-2007 | Исправлено: bornbill, 14:55 25-08-2007

cracklover Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору хм... продукты платные.. 34-35 баксов не лишние( ---------- Когда-то я вёл авторскую музыкальную передачу на радио. Можно послушать! Всего записей: 6613 | Зарегистр. 04-10-2004 | Отправлено: 14:44 25-08-2007

alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: хм... продукты платные.. 34-35 баксов не лишние( есть бесплатный Dynamic Security Agent по тестам он не так уж плох ну и вечно триальный варез еще никто не отменял   Добавлено: bornbill Цитата: плохо он(ProSecurity) работает... да, я тоже как-то тестировал его в VMware - файлы у него защищать как-то не получалось   Цитата: с момента твоего поста прошёлся по разным hisp и понял что от старфорс как всегда на высоте, но нет таблетки от жадности.... Насчет старфорса согласен В принципе еще неплохое впечатление на меня произвел System Safety Monitor. Защиту файлов авторы обещали сделать летом Пока еще не сделали Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 14:51 25-08-2007 | Исправлено: alt76, 14:52 25-08-2007

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору имхо тема не для обсуждения ценовой политики компаний производителей и методов обхода ограничений а рассуждения на тему какая hisp система лучше, кто что пользует и каковы результаты данного использования   А по делу к примеру ProSecurity странным образом просыпается при своём деинсталле (защита файлов)   System Safety Monitor-- не полностью контролит автозагрузку, что теоритически может привести к заражению зловредным ПО Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 15:01 25-08-2007 | Исправлено: bornbill, 15:08 25-08-2007

iglezz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: мозг+руки самый важный компонент вобще любой системы   winpooch подходит под определение hips? если да, то вот еще один бесплатный (даже opensource)   Цитата: В идеале мечтаю:   диск поделен на   С:System   D:Backup+Data   E:Winpe.     Каждый день при первом старте стартует WinPE отслеживает изменения в системных файлах, и отправляет их мне на автоматический(viruslist.com), полуавтоматический анализ(мне на почту), если необходимо то затирает указанные файлы, и восстанавливает реестр.     Такой себе осовремененный Adinf это сколько же времени уйдет на загрузку системы, если вдруг случится перезагрузка? Всего записей: 1521 | Зарегистр. 18-02-2003 | Отправлено: 15:11 25-08-2007

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iglezz один раз в начале рабочего дня... + имхо на отлаженной системе перезагрузок не бывает минут 10-15 зато это гарантирует спокоствие пользователю и сис администратору в целосности ситемы и отсутствие проникновения зловредного ПО также онли имхо процессорного времени HISP системы набежит не меньше за рабочий день     winpooch уже почти понравился     его минусы,   -доступ к окну нельзя запретить паролем -очень интенсивно(жестоко я бы даже заметил) работает с винтом если включенны по умолчанию правила для сети....   ну а вс остальное как бы решаемо  бум тестить на профпригодность с борьбой против руткитов....   Протестил проф пригодность равна нулю....   3 из 5 руткитов под рукой которые были пропустил и ни как не реагировал на создание ими exe шников запрещённых, наблюдаются интерфейсные глюки, более 12 Bsod в драйвере Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 15:32 25-08-2007 | Исправлено: bornbill, 17:42 25-08-2007

maispovis Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1) Safe'n'Sec - гавнище редкостное. создал тест на выход в сеть с инжнктом в виндовс обновлятор. Эта"поделка" и не пикнула. хотя каспер HIPS сечет норм.   2) ну не верю я что у ProSecurity прям super HIPS,  скорее тест это пиар того чему она может противостоять. Приходилось както тестироать проги этой конторы Анти Троян Элит(вдумайтесь название то какое) ..и ничегошеньки незнаем, даж стареньких пионЭров... Всего записей: 985 | Зарегистр. 01-02-2006 | Отправлено: 01:30 26-08-2007 | Исправлено: maispovis, 20:42 03-10-2007

alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору решил попробовать winpooch - открываю bred3-ом boot.ini, правлю, нажимаю ESC - BSOD диагноз - в топку   Добавлено: решил поискать на яндексе "ProSecurity System Safety Monitor" первая строка - руборд там месага от NightHorror: Цитата: Host Intrusion Prevention System - специализированный программный продукт для поведенческого анализа и контроля активности приложений. То что мы видим в аутпосте или джетике (ну и в других фаерах тоже) как попытки повлиять на адресное пространство/состояние чужих процессов: запись в чужое адр. пр-во, создание удаленных потоков, приостановка/возобновление потоков, установка системных хуков и т.д. Там много способов воздействия. В фаерах реализованы ограниченные функционально зачатки такой защиты (проактивной), но тем не менее они зачастую способны отловить/не дать запуститься трою. Ну а специализированные HIPS'ы - те предназначены для тотального контроля и защиты как приложений так и реестра от потенциально вредоносных действий. Очень хорошие решения - System Safety Monitor и Prosecurity HIPS. На сегодняшний день, с ними и имея голову на плечах возможно полностью застраховаться от заражения компа троем или руткитом. За исключением, возможно, применения против твоего компа какого-нибудь приватного сплоита тонн за 20 килобаксов, использующего малоизвестную уязвимость оси. Ну тут надо заплатками обновляться вовремя. Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 16:12 26-08-2007

bornbill Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору maispovis если верно настроиш правила наступит тебе счастье....     У каспера есть большой минус, он не имеет правил для контроля чего и где в том же реестре Например посмотри эти темы до конца НОД vs Kasper 7.0 Защита в Kaspersky Internet Security и Anti-Virus 6.0.х   из этих тем видно что иногда даже проактивная защита каспера, имеет дыры которые никак не отрегулируеш...   А системы HISP дают возможность контролить... то что хочет пользователь и запрещать ессено.. Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 18:42 26-08-2007

alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ВОТ еще один тест нарыл по 38 файрволам (HIPS там относят похоже тоже к Firewall )   Excellent: 1.  Comodo Firewall Pro 2.4.18.184FREE 2.  Jetico Personal Firewall 2.0.0.28 beta Very good: 3.  ProSecurity 1.40 beta 1 4.  Outpost Firewall PRO 4.0 (1024.700.292) 5.  ZoneAlarm Pro 7.0.362.000 6.  Lavasoft Personal Firewall 2.0.1019.7604 (700) 7.  Online Armor Personal Firewall 2.0.1.204 8.  Kaspersky Internet Security 7.0.0.119 9.  System Safety Monitor 2.4.0.617 beta 10. Jetico Personal Firewall 1.0.1.61 FreewareFREE 11. Privatefirewall 5.0.8.11 12. Ghost Security Suite [BETA] 1.110 ... None, т.е. хуже, чем Very poor 38 Windows Firewall XP SP2FREE Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 11:16 01-09-2007 | Исправлено: alt76, 11:30 01-09-2007

maispovis Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору bornbill ненадо мне такого счастья есесно настраивал... Всего записей: 985 | Зарегистр. 01-02-2006 | Отправлено: 20:48 01-09-2007

clancy Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит, да и русский язык не помешал бы. System Safety Monitor попроще будет, пользуюсь пока им. Сам не пробовал, но может для защиты лучше использовать Shadow User? Всего записей: 1111 | Зарегистр. 04-12-2006 | Отправлено: 16:16 06-09-2007

alt76 BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Страшная вещь эта ProSecurity, хотя понравилась, но систему грузит Ща юзаю 1.40.beta2, тоже понравилась, правда принцип ее работы на 100% не усек, но впечатление очень даже вери гуд. Тормозов от ее юзания, кста, не заметил. Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:35 07-09-2007

BlackXSun Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Несколько лет назад работал сисадмином в интернет клубе. Первоочередная задача при открытии клуба была - поиск программы администрирования клуба которую бы нельзя было бы ломануть (поиграться на халяву). Опробовав не много не мало около пары десятков таких программ все таки такой софт был найден (рекламировать не буду, кому интересно в личку). Не утверждаю, что ее вообще никак нельзя ломануть, но пару знакомых хакеров сломать не смогли. Может хакеры некудышние (но предыдущие подопытные образцы ломали), может возиться не захотели, но вывод - простому смертному юзеру не ломануть. Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром: В операционку, как и в HIPS системах вшивается модуль, который перехватывает все процессы. При первом запуске любого из процессов, программа не дает ему запускаться и одновременно снимает с него показания (контрольную сумму и путь запуска, что исключает подмену файла). Администратор может указать программе стоит ли вообще когда либо разрешать запускаться этому процессу и если стоит то при каком тарифе. При блокировании компьютера (когда у клиента заканчиваеться время) абсолютно все процессы "гасяться". Зная архитектуру программы я счел лишним устанавливать антивирус на клиентские машины. За три года работы в салоне небыло ниодного заражения клиентских компов (все работали под админскими правами) при том, что все компы каждый день по несколько часов "выходили" в интернет. Ну а какие сайты посищают посетители интернет салонов наверное все догадываються (Вы даже не догадываетесь ). Естественно тела вирусов я частенько находил в темпах IE, но ниодного заражения !!!   Вопросы: 1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)??? 2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать"). 3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее. Всего записей: 160 | Зарегистр. 12-04-2006 | Отправлено: 19:45 02-10-2007 | Исправлено: BlackXSun, 19:48 02-10-2007

KUSA Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BlackXSun Цитата:  1. Интересно мне просто везло или это действительно возможно (может просто не нарывались на вирусов способных обойти эту защиту)??? Нет, это не тебе везло...    Способы....если без подробностей ... очень дорого Цитата:  2. Из вышеобсуждаемых HIPS систем есть с похожим функциолналом (в которой тупо можно указать какие процессы можно запускать, а какие нет)??? Сейчас в конторе которую я админю, все работают под ограниченным доступом (тупо "пользователь"). Хотелось бы вообще на рабочих местах отказаться от антивирусов как таковых (ну можно сканером прогонять раз в месяц - "трупы пособирать").     ProSecurity очень понравился, другие особо не тестировал.Также рекомендую тебе посетить их форум, особенно раздел BUGS   Еще есть фаеры с HIPS - из них самый сильный HIPS в Tiny. Цитата:  3. Раз уж затронул ограниченный доступ - какова вероятность подцепить какую либо заразу работая под ограниченным доступом вообще без защиты ??? Если можно поподробнее. В общем - не панацея, но как вариант тоже имеет право жить.   То что ты просишь называется"белый список"+"раздача прав приложениям". Нормально реализован лишь в Tiny и появилась основа в Comodo Firewall Pro V 3.0.9.229beta.Возможно, были еще программы,но я не встречал. Цитата:  Обеспечение взломоустойчивости этой программы со стороны клиетна организованно таким макаром А ты о какой программе говоришь? Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:55 02-10-2007 | Исправлено: KUSA, 23:18 02-10-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование