-
Поведенческие анализаторы
Кто какие посоветует программы - поведенческие анализаторы? Пробовал только 2 - Norton AntiBot и PC Tools ThreatFire (бывший CyberHawk), но так и не довелось удостовериться в их надёжности.
В ThreatFire ещё встроен неотключаемый антивирусный сканер PC Tools с регулярно обновляющимися базами, который мешает понять, что к чему.
Может быть, кто-то тестил их или знает нечто получше?
Последний раз редактировалось Ivaemon; 13.08.2008 в 14:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Ivaemon
Кто какие посоветует программы - поведенческие анализаторы? Пробовал только 2 - Norton AntiBot и PC Tools ThreatFire (бывший CyberHawk), но так и не довелось удостовериться в их надёжности. Может быть, кто-то тестил их или знает нечто получше?
KIS 2009. Он эмулирует запуск программы перед ее реальным запуском, изучает ее поведение и по системе правил оценивает опасность и вредоносность ... так называемый SR - рейтинг. Если рейтинг выше заданного порога, то выдается алерт или программа запускается и HIPS автоматом "подрезает" ее права, считая программу недоверенной. Достоинство такого подхода - поведенческий анализ программы изучается в "виртуальной среде" до ее запуска, а не по факту ее работы...
-
-
Олег, спасибо, но хотелось бы услышать о специализированных утилитах, не входящих в какой-либо комбайн безопасности.
-
Сообщение от
Ivaemon
Олег, спасибо, но хотелось бы услышать о специализированных утилитах, не входящих в какой-либо комбайн безопасности.
Специализированных мало ... так как размышление о защите ПК рано или поздно приводит к комбайну, как на него не смотреть ... (причина проста - продетектив зловредное поведение утилите потребуется лечилка + блокиратор, что-то типа HIPS. Для мониторинга сетевой активности нужен Firewall - так как мало мониторить, нужно еще и блокировать передачу данных со стороны программы, которая подозрительно себя ведет. Плюс потребуется сигнатурная база для опознания известных легитимных приложений - чтобы не фолсить на них. И т.п. ....). А если брать тот-же Norton AntiBot, то по поведению он если узнает одного зловреда из десяти, то и то хорошо - я его тестировал, интересно же, как он работает...
-
-
но если вы все-таки не хотите следовать здравым советам Олега, то почитайте вот эту тему:
http://virusinfo.info/showthread.php?t=24630
тут немного высказались на тему ХИПСов.
можете продолжить ту тему если хотите...
Тут на форуме много хороших людей, которые неравнодушны к теме ПДМ экранов - они помогут.
Хотя комбайн (имхо) лучше
-
Дело в том, что есть у меня комбайн... Собрал его из хорпоших антивируса+фаера с хипсой+антиспая+антиспама. Не хватает поведенческого анализатора.
Венрнее, стоит сейчас ThreatFire, но вижу в основном попытки сигнатурного детекта. Согласитесь, что, имея Авиру Антивир Премиум, как-то не испытываешь потребности в сигнатурном детекте PC Tool.
Значит, Нортон Антибот не особо хорош. Вроде бы он заточен на отлов ботов, что есть хорошо - неохота оказаться в числе невольных участников какой-нибудь DOS-атаки...
А что насчёт Виндоуз Дефендера?
-
-
-
Кстати, вот здесь: http://www.safensoft.ru/security.phtml?c=577 - о тесте, где нортон антибот - лидер проактивной защиты (??).
-
Так что именно нужно, ты уж определись- поведенческий анализатор или поведенческий блокиратор? Один к другому мало какре отношение имеет.
-
-
Сообщение от
Ivaemon
Дело в том, что есть у меня комбайн...Собрал его из хорпоших антивируса+фаера с хипсой+антиспая+антиспама. Не хватает поведенческого анализатора.
Венрнее, стоит сейчас ThreatFire, но вижу в основном попытки сигнатурного детекта. Согласитесь, что, имея Авиру Антивир Премиум, как-то не испытываешь потребности в сигнатурном детекте PC Tool.
Значит, Нортон Антибот не особо хорош. Вроде бы он заточен на отлов ботов, что есть хорошо - неохота оказаться в числе невольных участников какой-нибудь DOS-атаки...
Значит, Нортон Антибот не особо хорош. Вроде бы он заточен на отлов ботов, что есть хорошо - неохота оказаться в числе невольных участников какой-нибудь DOS-атаки...
А что насчёт Виндоуз Дефендера?
Как-то интересно у вас получается. Собрали "комбайн гибридный", по вашим же слова хороший. И что-то ещё хочется
Так обвешайтесь HIPS-ами под завязку. Благо их много. Можете ещё виртуалку поставить. Для почти 100% гарантии и "полного комплекта". Например Returnil Virtual System
-
Как-то интересно у вас получается. Собрали "комбайн гибридный", по вашим же слова хороший. И что-то ещё хочется
Честно говоря, не понял юмора
(Кстати, слова "хороший" я про свой комбайн не говорил)
Сообщение от
rav
Так что именно нужно, ты уж определись- поведенческий анализатор или поведенческий блокиратор? Один к другому мало какре отношение имеет.
А в чём принципиальная разница?
Последний раз редактировалось Ivaemon; 14.08.2008 в 15:50.
-
Поведенческий анализатор и поведенческий блокиратор
Сообщение от
Ivaemon
А в чём принципиальная разница?
http://av-school.ru/wiki/index.php/%...82%D0%BE%D1%80
Поведенческий анализатор сосредоточится не настолько на правила блокировки, а больше на исключения, чтобы дать возможность корректно работать тем программам, которые в процессе выполнения своей задачи возможно не вписываются в очень жёсткие правила.
Недостатком поведенческих блокираторов является ложное срабатывание на действия определённых программ. Кроме того, для принятия окончательного решения о вредоносности приложения требуется вмешательство пользователя, который может не знать на самом деле, что делать.
Paul
Последний раз редактировалось XP user; 14.08.2008 в 16:54.
-
Paul, спасибо! Тогда, конечно, я имею в виду блокиратор.
-
Тогда какого типа блокиратор интересует? На основе поведенческих сигнатур или песочница?
-
-
Сообщение от
rav
Тогда какого типа блокиратор интересует? На основе поведенческих сигнатур или песочница?
rav, первое.
-
Тогда читай здесь wiki.castlecops.com, пункт "Smart expert based Behavior blockering". Там практически все они описаны.
-
-
rav
Offtop А хелп у defensewall все же оставляет желать лучшего...
-
-
Сообщение от
rav
Тогда читай здесь
wiki.castlecops.com, пункт "Smart expert based Behavior blockering". Там практически все они описаны.
rav, не нашёл указанного пункта по адресу. Разве что вот это: http://wiki.castlecops.com/HIPS/IDP_programs/services
(добавил позже) нашел: http://wiki.castlecops.com/Lists_of_...avior_blockers
Интересно, что здесь много прог, которые не являются поведенческими блокираторами. Просто собраны все хипсы, в основном контролирующие процессы на исполнение.
Интересный опыт, судя по всему, PrevX2: весь нашпигован разными эвристиками.))))
Последний раз редактировалось Ivaemon; 15.08.2008 в 23:19.
-
Сообщение от
Ivaemon
Сорри, моя ошибка. Правильный линк вот: http://wiki.castlecops.com/Different...urity_software
Добавлено через 2 минуты
Сообщение от
Geser
rav
Offtop А хелп у defensewall все же оставляет желать лучшего...
Ты какой смотрел, от 2.xx веток или 1.хх? Если 2.хх- буду признателен за конструктивную критику и предложения по улучшению.
Последний раз редактировалось rav; 15.08.2008 в 23:33.
Причина: Добавлено
-
-
Сообщение от
Ivaemon
Честно говоря, не понял юмора
(Кстати, слова "хороший" я про свой комбайн не говорил)
Ошибаетесь, говорили - "из хорпоших антивируса+фаера с хипсой+антиспая+антиспама"
Юмор в том, что у вас уже достаточно ПО для защиты. Например антишпиён не нужен особо, но тут уж дело вкуса и удачного выбора.
Так что вы хотите? Защиты, максимально приближенной к 100%? Так ОС настраивайте - 2/3 защиты примерно приходиться на неё.
Хотите, чтобы HIPS-ов было много? Так поставьте себе SSM и ProSecurity. Рядышком DefenceWall.
И будет вам счастье Если вы именно этого хотели примерно