Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Открыть новую тему     Написать ответ в эту тему

alt76



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HIPS

Основная задача HIPS - отслеживать активность ОС в режиме реального времени и предотвращать нежелательные действия от различных вредоносных и шпионских программ, т.е. основная задача HIPS – не допустить выполнения вредоносных действий со стороны любого приложения.
В теории подобное ПО является отличной альтернативой антивирусам т.к. позволяет засечь "заразу" по характерным особенностям ее поведения без использования сигнатурных баз требующих постоянного обновления.
Подобные системы скорее ориентированны на компьютерных спецов, которые обладают более менее достаточной квалификацией чтоб отличить полезное действие от злонамеренного.


В  соответствии  с принципом  организации  защиты  HIPS  могут  быть  
подразделены на три основные группы
:  
 
1) Классические  HIPS  
К этому типу можно отнести:
- 360.cn Malware Defender (бывш Torchsoft) - FREE, неплохие показатели в тестах
- OSSS (Online Solutions Security Suite) - платная, неплохие показатели в тестах
- Jetico Personal Firewall - платная, слабые результаты в тестах
- Real-time Defender Professional (бывший ProSecurity) - развивается пока только как RTD Smart
- CA Host-Based Intrusion Prevention System r8.1 (CA HIPS - бывший Tiny Personal Firewall)
- Safe'n'Sec Enterprise Pro - не развивается
- Ghost Security Suite (AppDefend, RegDefend) - не развивается
 
2) Экспертные    HIPS
К этому типу можно отнести:
- Comodo Internet Security - лидирует в тестах, FREE, активно развивается, с 4 версии так же включает в себя и sandbox
- Privatefirewall (ранее Dynamic Security Agent) - FREE, средние показатели в тестах
- Prevx  
- PCTools ThreatFire (Cyberhawk)  
- McAfee Host Intrusion Prevention for Desktops and Servers    
Так же данный вид ХИПСы встроен в многих антивирусах и имеет различные названия (модуль проактивной защиты, поведенческий анализатор, эвристика).
 
3) HIPS    типа    Sandbox («песочница»)
Типичные представители данного типа:
- DefenseWall HIPS  
- Sandboxie  
ориентированные на систему в целом:
- Returnil Virtual System
- Shadow Defender
- ShadowProtect и ShadowServer
- PowerShadow
- Deep Freeze
- BitDisk


Исполнение бывает в 3-х вариантах:
1) хипсы отдельным продуктом.
2) хипсы в файрволах.  
3) хипсы в секьюрити сьютах.


Предлагаем для начала ознакомиться с результатами тестирования различных HIPS:
multimania.fr от 17.07.2007 г.
а так же более свежее (23.05.2010) тестирование проактивной защиты от matousec.com:
 
 
Софт для тестирования HIPS:
На matousec (Подробнее)
На virusinfo
Comodo Buffer Overflow Test x86 x64
Comodo Leak Tests.  
 
 
результаты тестов matousec Proactive Security Challenge 64
 
 
 
Это мой (kosjachok) вариант исполнения шапки, старая шапка здесь #

Всего записей: 1260 | Зарегистр. 03-04-2003 | Отправлено: 13:48 25-08-2007 | Исправлено: DrakonHaSh, 15:49 21-07-2015
VitRom

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поучаствую-ка тоже
 
К "экспертным" ("поведенческим"?) ХИПСам в шапку нужно добавить GeSWall -- ИМХО по идее он оптимален, этакая "песочница наоборот" (или Российские законы ) -- любой программе разрешено всё. Совершенно любой. Совсем всё. Пока она не попытается залезть в контролируемую зону (скажем, в папку документов), после чего тут же начинает обрабатываться как недоверенная.
 
Плюс два "недоХИПСа" -- Smart UAC и SuRun:
копипаста части моего поста из другой ветки

Всего записей: 2971 | Зарегистр. 18-06-2006 | Отправлено: 09:11 25-01-2011 | Исправлено: VitRom, 09:20 25-01-2011
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rav1 о песочницах.
Комментарии тоже весьма познавательны.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 16:32 05-02-2011 | Исправлено: Erekle, 16:35 05-02-2011
sanni00015



Дышу Фотовоздухом
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В win 7 есть встроенная системма, отслеживающая изменения в файлах.
Мне нужно установить нечто подобное, простое и незаметное, на ПК с XP.

Всего записей: 943 | Зарегистр. 19-06-2009 | Отправлено: 21:23 19-02-2011
240865

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот еще кое-что из похожего ПО:
 
Wondershare Time Freeze
http://www.wondershare.com/blog/wondershare-time-freeze-free-system-protection-tool/
 
Runpad Pro
http://www.runpad-shell.com/show.php3?page=features
 
BufferZone PRO (мне не понравился - намного тяжелее, чем Sandboxie+мало возможностей)
http://www.trustware.com  
 
Clean Slate 6.5
http://www.fortresgrand.com/products/cls/cls.htm
 
HDGUARD  
http://www.hdguard.com/en/hdguard/description/28-hdguard-beschreibung.html
 
Добавлено:

Цитата:
В win 7 есть встроенная системма, отслеживающая изменения в файлах.  
Мне нужно установить нечто подобное, простое и незаметное, на ПК с XP.

 
Посмотрите вот это:
RestoreIT  
http://www.farstone.com/
 
Или приведенная выше ссылка на HDGUARD.
 
 
 

Всего записей: 33 | Зарегистр. 04-03-2010 | Отправлено: 19:51 09-03-2011
VitRom

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
RestoreIT... HDGUARD...
Если выкинуть весь маркетинговый трёп, описания 1) очень похожи и 2) подозрительно напоминают другие продукты, а именно вот эти

Всего записей: 2971 | Зарегистр. 18-06-2006 | Отправлено: 14:29 10-03-2011
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос.
Насколько реально использовать System Safety Monitor, установленный на выделенной тестирующей машине, в качестве полноценной песочницы?

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 16:31 18-03-2011
DrakonHaSh



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
System Safety Monitor мертв давно, да и когда жив был вроде как не особо блистал.
в шапке кандидатов под вашу задачу хватает получше, чем System Safety Monitor

Всего записей: 2053 | Зарегистр. 08-01-2008 | Отправлено: 17:51 18-03-2011
Stendvik



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто-нибудь проверял на прочность "Безопасный запуск программ" от KIS 2011? Особенно интересует "Безопасный просмотр веб-сайтов"....

Всего записей: 118 | Зарегистр. 26-11-2006 | Отправлено: 02:39 31-05-2011
faridmif



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Defense Wall HIPS 3.15 (July 20, 2011)

Цитата:
1. Internal lists caching implemented.
2. Anti-TOCTTOU protection hardened.
3. New protection methods implemented.
4. Few issues are solved.

http://www.softsphere.com/files/DefenseWall_HIPS_v3_15.exe

Всего записей: 2615 | Зарегистр. 18-01-2007 | Отправлено: 17:26 20-07-2011
K_Ok_O_S



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я хочу это сделать с Firefox и Thunderbird из соображений безопастности, чтобы зловред "случайно" не прочитал мою почту и пароли. Есть ли какой бесплатный инструмент, чтобы:
 
1)Запретить весь доступ (и чтение и запись) к заданной папке и заданной ветке реестра всем ПРОЦЕССАМ кроме указанных в правиле.
или
2)Запретить изменения ACL для заданной папки и заданной ветке реестра. (В таком случае я создаю отдельного пользователя, выставляю ему исключительное разрешение в ACL и EXE-шники запускаю от его имени, напр. с помощью SuRun)
 
Папки:

Код:
%PROGRAMFILES%\Mozilla Thunderbird\
%USERPROFILE%\Application Data\Thunderbird\
%USERPROFILE%\Local Settings\Application Data\Thunderbird\

Раздел реестра:

Код:
HKLM\SOFTWARE\Mozilla\Mozilla Thunderbird*

EXE-шники, которым разрешён доступ в эти папки:

Код:
%PROGRAMFILES%\Mozilla Thunderbird\thunderbird.exe
%PROGRAMFILES%\Mozilla Thunderbird\uninstall\helper.exe
%USERPROFILE%\Local Settings\Application Data\Thunderbird\Mozilla Thunderbird\updates\0\updater.exe
 

 
P.S. Тут вот народ такую фичу для Comodo запрашивает:
http://forums.comodo.com/wishlist-cis/limit-read-access-to-particular-files-in-d-to-specific-programs-t59327.0.html

Всего записей: 416 | Зарегистр. 13-07-2007 | Отправлено: 13:53 30-07-2011
xChe



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
K_Ok_O_S
Malware Defender такое может.

Всего записей: 3633 | Зарегистр. 07-05-2006 | Отправлено: 14:16 30-07-2011
Mercedes_Benz

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
K_Ok_O_S
Если зловред загрузит свою DLL в нужный процесс - прочитает всё в обход правил.
Кстати сейчас очень много пишется таких DLL, и антивири против них бессильны, антивири только экзешники нормально могут анализировать, антивирусные лаборатории нервно курят в сторонке вместо того чтобы нанимать специалистов для борьбы с DLL-ками.

Всего записей: 860 | Зарегистр. 12-01-2011 | Отправлено: 14:42 30-07-2011
K_Ok_O_S



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mercedes_Benz
А Comodo разве не борется нормально с инъекциями DLL ?

Всего записей: 416 | Зарегистр. 13-07-2007 | Отправлено: 15:40 30-07-2011
Mercedes_Benz

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
K_Ok_O_S
Цитата:
Mercedes_Benz
А Comodo разве не борется нормально с инъекциями DLL ?

Мне кажется на должном уровне никто не борется.
Либо недооценивают опасность и масштабы проблемы, либо нет специалистов в этой области.
 
Кстати сам Майкрософт этому способствует - не подписывает DLL цифровыми подписями. Чужие DLL-ки выглядели бы белыми воронами в системных папках.

Всего записей: 860 | Зарегистр. 12-01-2011 | Отправлено: 21:43 30-07-2011
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чужие DLL-ки выглядели бы белыми воронами в системных папках

Сейчас из 2250 длл-ок не подписаны в общей сложности 322. Много... Большинство конечно от МС.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 02:31 31-07-2011
Celsus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем! Кто-нибудь знает, как более-менее правильно настроить песочницу на основе запуска программы от имени учетной записи с ограниченным правом доступа. И есть ли в этом смысл. Нашел в Интернете способ запуска: C:\Windows\System32\runas.exe /profile /user:ПРОФИЛЬ Opera.exe, затем ввод парол (без пароля не работает). Для ограниченного ПРОФИЛЯ решил запретить доступ ко всем папкам, кроме его Рабочего стола и папки Документы + папки программы Opera (чтение и выполнение, а для подпапки, в которой постоянно меняются файлы, на чтение, выполнение и запись). Но столкнулся с проблемой - как прикрутить запись прав для ПРОФИЛЯ для всех дисков и папок, не изменяя уже имеющихся записей? Это особенно критично для системного диска. Интересует, как это можно сделать с помощью xcacls (или subinacl или icacls). И что делать с реестром?  
 
Есть ли смысл пытаться это сделать? Или проще добавить в песочницу Comodo или Sandboxie? Но в Comodo при запуски Opera Unoficial вылазят ошибки кажется насчет MultiAC (хотя его тоже добавлял в песочницу). Добавлял файлы opera и MultiAC в доверенные (в проактивной защите) все равно при запуске программы какая-то ошибка, и приходится два раза жать ОК, потом вроде работает. Пробовал отключать виртуализацию и ставить самый низкий уровень защиты песочницы, не помогло (

Всего записей: 142 | Зарегистр. 02-04-2011 | Отправлено: 03:56 21-09-2011 | Исправлено: Celsus, 04:01 21-09-2011
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Celsus
Sandboxie - безопасность без заморочек

Всего записей: 5423 | Зарегистр. 31-08-2008 | Отправлено: 08:37 21-09-2011
usr721

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Существует ли софт для Win 7 x64 ограничивающий по процессам доступ к определенным ресурсам в файловой системе?

Всего записей: 721 | Зарегистр. 10-07-2006 | Отправлено: 19:27 03-12-2011
chq



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну например в Nod 32 5 версии имеется система hips. Если правильно настроить, то в интерактивном режиме оно спрашивает при каком то действии пользователя. Там можно запоминать для программы действие (запретить или разрешить).

Всего записей: 535 | Зарегистр. 03-08-2011 | Отправлено: 01:06 04-12-2011
surfer10

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пожалуйста, как называется программа, позволяющая хранить изменения в файловой системе на скрытом разделе и восстанавливающая все при перезагрузке.  
 
Что-то типа Shadow Defender или Returnil но при этом хранящая данные об изменениях на скрытой партиции.

Всего записей: 56 | Зарегистр. 29-01-2004 | Отправлено: 12:24 16-12-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Компьютерный форум Ru.Board » Компьютеры » Программы » HIPS - Host-based Intrusion Prevention System


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru