PDA

Просмотр полной версии : Контроль приложений в KIS 8.0 (2009), или Что такое HIPS и как с ней работать



NickGolovko
29.08.2008, 14:51
Уважаемые пользователи!

Вашему вниманию предлагается статья, содержащая необходимую информацию по работе с новым модулем Kaspersky Internet Security – «Контроль приложений». Смею надеяться, что она поможет вам лучше понять этот модуль и снять большинство вопросов, возникающих при знакомстве с ним.

Контроль приложений KIS 2009 – это классическая локальная система предотвращения вторжений (Host Intrusion Prevention System, HIPS), объединяющая в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов, что, в свою очередь, помогает существенно снизить количество обращений к пользователю за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. HIPS в KIS 2009 относится преимущественно к третьему типу, и большинство ее правил сгруппировано по приложениям.

http://images.kaspersky.com/ru/support_new/groupships_9(ru).gif

Суть HIPS проста, но эффективна. Эти охранные системы контролируют определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Сообразно действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Из описанной выше сущности HIPS непосредственно вытекает первое правило, которое следует помнить при работе с такими системами: не следует ожидать от HIPS того, чего вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее правилах, и, если вы, положим, захотите защитить от изменений корень системного диска, то, естественно, HIPS не догадается этого сделать только потому, что вы этого захотели. Для этого потребуется создание соответствующего правила.

Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в KIS 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. Это Доверенные, Слабо ограниченные, Сильно ограниченные и Недоверенные. Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.

Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице четыре колонки – Операционная система, Конфиденциальные данные, Права и Сети. Сделаем очередной экскурс в идеологию HIPS, а затем вернемся к этим колонкам и работе с таблицами.

Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в KIS 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:

- Файлы и системный реестр
- Системные права
- Сети

У первой и третьей группы объектом являются файлы, ключи реестра, а также сетевые объекты (IP-адреса и их группы, порты и направления).
У второй группы объект – это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов).

Объекты для правил первого и третьего типа вы можете создавать и редактировать на вкладке Ресурсы. Там они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система – это файлы и ключи реестра, обеспечивающие нормальную работу Windows, а ее подгруппа Параметры автозапуска – это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.

http://images.kaspersky.com/ru/support_new/sources_hips9(ru).gif

Очевидно, что основные группы ресурсов, а также системные права и представлены в колонках основной таблицы Контроля приложений. Вы можете быстро задавать доступ к ним для групп и отдельных приложений.

Следует, однако, помнить, что некоторые правила неоднородны: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно – это делается с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает упомянутый расширенный редактор. Здесь вы можете определить разрешения отдельно для каждого возможного объекта – скажем, в разделе Права перечислены все виды системных прав, которые контролирует KIS 2009.

Имейте в виду, что, если вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Вместе с тем вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.

Наследование прав

В KIS 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, творить что угодно. Теперь же, даже если доверенное будет запущено недоверенным, ему будут переданы настройки для недоверенных приложений, и система не будет повреждена.

Вместе с тем этот механизм имеет свои недостатки. В реальной работе довольно часто получается, что приложение обрабатывается не по своим правилам, а по правилам запустившего его процесса. Соответственно могут возникать ситуации, когда вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае вы можете либо дать соответствующее разрешение родительскому процессу, либо в самом низу окна расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.

http://images.kaspersky.com/ru/support_new/parentalrule_hips9(ru).gif

Сетевой экран

Правила, определяющие сетевую активность приложений, то есть правила Сетевого экрана, являются теперь частью таблицы HIPS. Работайте с ними, как со всеми прочими правилами HIPS, поскольку они устроены точно так же: субъект – действие – объект.

Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном прежнему «Разрешать все». Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.

Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить все доверенным и блокировать все для недоверенных.

http://images.kaspersky.com/ru/support_new/rules_hips9(ru).gif

Детальная настройка правил доступна вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены так называемые пакетные правила, определяющие доступ приложений к сетевым ресурсам. В самом верху списка, под заголовком "Пакетные правила", собраны правила без приложения, т.е. без субъекта; они применяются ко всем приложениям на компьютере. Ниже, сгруппированные по субъекту, размещаются правила для конкретных приложений.

В списке пакетных правил для каждого приложения вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют только роль индикаторов.

http://images.kaspersky.com/ru/support_new/3rules_hips9(ru).gif

Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил. Давайте остановимся на этом более подробно.

Наиболее глобальный объект – это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения KIS 2009 спросит вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе – для локальных, третье – для публичных.

Если вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу «Публичные сети» и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.

Итак, допустим, вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения – что делать с этой попыткой соединения?

С помощью мастера создания детального правила вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.

Здесь вы встречаетесь со следующим типом объекта для правила Сетевого экрана – сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности – например, DNS-запрос. Сетевой сервис «Исходящая DNS-активность» будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает вам подходящие сетевые сервисы из своей базы; вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).

Теперь заготовка правила почти готова: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис «Исходящая DNS-активность»). Остался последний компонент сетевого правила – можно назвать его вторичным объектом. Это IP-адрес.

IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.

В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту «Исходящая DNS-активность» со вторичным объектом «IP-адрес 123.456.789.0». Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.

Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.

Например, вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; на вкладке Сетевые пакеты создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.

Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает – действие будет запрещено. Не подпадает – продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.

Копия данной статьи размещается также в Базе знаний Лаборатории Касперского по адресу http://support.kaspersky.ru/faq/?qid=208636059

***

Приложение. Перевод англоязычных названий сетевых ресурсов

DNS over TCP / UDP - запрос к серверу доменных имен DNS по протоколу TCP или UDP
Sending / Receiving E-mails - отправка / прием электронной почты
Web-Browsing - просмотр страниц Интернета с помощью обозревателя
IRC-Activity (out) - исходящая активность интернет-чатов IRC
DHCP Address Assignment (UDP) - обращение к сервису присвоения IP-адресов DHCP по протоколу UDP
Any outgoing TCP / UDP stream - любая исходящая активность по протоколу TCP или UDP
Any incoming TCP / UDP stream - любая входящая активность по протоколу TCP или UDP
Any incoming ICMP - любая входящая активность по протоколу ICMP
Local Services (TCP / UDP) - входящие соединения по протоколу TCP или UDP с локальными портами, которые открывают службы операционной системы
ICMP Echo Request (in / out) - исходящие или входящие эхо-запросы по протоколу ICMP
ICMP Echo Reply (in) - входящий эхо-ответ по протоколу ICMP
ICMP Destination Unreachable (in) - входящий ответ "компьютер назначения недоступен" по протоколу ICMP
ICMP Time Exceeded (in) - входящий ответ "время ожидания истекло" по протоколу ICMP
Any network activity - любая сетевая активность
ActiveSync - сетевая активность, необходимая для работы технологии ActiveSync
Remote Desktop - сетевая активность, необходимая для работы технологии удаленного рабочего стола

Geser
29.08.2008, 18:41
Отличная статья. Как раз пытался разобраться что к чему.
Есть несколько вещей которых очень не хватает в КИС
1. В меню правого клика исполняемых файлов проводника нужны пункты добавления в различные группы.
2. НУжна опция "Запустить приложение как доверенное". При этом приложению разрешается делать всё что нужно, но никаких новых правил не создаётся. Это очень удобно для запуска инсталляторов. Сейчас мне приходится просто выключать КИС для нормальной инсталляции.
3. Должна быть опция заносить в группы не только аппликации, но и директории. НАпример очень удобно кеш браузера занести в группу недоверенных.

Добавлено через 11 минут

Кстати, по поводу наследования прав есть вопрос. Например ИЕ в группе доверенных. Срабатывает експлоит и ИЕ скачивает и запускает троян. Получается что троян будет выполнен с правами доверенного приложения?

DVi
29.08.2008, 19:02
Получается что троян будет выполнен с правами доверенного приложения?
Нет

Geser
29.08.2008, 19:12
Нет

Тогда не понятно как работает наследование прав.

NickGolovko
29.08.2008, 19:43
1. Сам я выступаю за выдачу alerta при попытке запуска приложения, чтобы еще до запуска его можно было внести вручную в ту или иную группу, но такой вариант тоже может быть интересен :)
2. Это можно сделать уже сейчас - выделите группу Доверенные, нажмите Добавить и внесите установщик в группу. Потом его можно будет вручную удалить из нее.
3. Это хорошая мысль :) я тоже думал о подобном.
4. Посмотрите для наглядности на главную таблицу. Перед вами четыре группы сверху вниз в порядке убывания прав. Так вот, механизм следующий:
- сверху вниз права не наследуются,
- в пределах группы права наследуются (одна из недоработок, с которыми я борюсь),
- снизу вверх права наследуются.

Geser
29.08.2008, 21:01
2. Возможно, но, к примеру. Я бы предпочел занести ИЕ в группу недоверенных, от греха подальше. Но иногда нужно запустить его как доверенный. НАпример для установки обновлений.
4. Всеравно я не понял. Когда аппликация в группе доверенных запускает другую аппликацию, с какими правами она будет запучена?

Добавлено через 37 минут

Всёравно совершенно не понятно как это работает. Взял я ИЕ и занес его в группу "Сильные ограничения". Во первых с его правилами ничего не произошло. Так и осталось на всё разрешить. Разве не логично было бы что бы при переносе в другую группу правила автоматом ставились по правам группы? Ну да ладно.
Я выставил везде правила руками на "Запрос действия". После этого доступ к интернету исчез. А где запрос???
Потом я зашел в настройки и поставил на все действия создания/изменения опцию писать лог. ПОсле чего я добавил сайт в список доверенных, вроде это защищается в ресурсах, и не получил ни запроса ни записи в логе. Вопрос что я делаю не так?

Добавлено через 10 минут

А, я понял нужно было отключить автопринятир решений

Добавлено через 11 минут

Вот забавное сообщение
http://img366.imageshack.us/img366/6046/ie1qz8.th.png (http://img366.imageshack.us/my.php?image=ie1qz8.png)

priv8v
29.08.2008, 21:02
очень. я каждое Ваше добавление с интересом читаю :)

Geser
29.08.2008, 21:13
очень. я каждое Ваше добавление с интересом читаю :)

А. поставил ИЕ8 и небольшие глюки. Аттачи не цеплаются :( Добавил картинку

Добавлено через 6 минут

Обнаружил интересную особенность. ИЕ в группе "Сильные ограничения". ЕСли нет галки принимать решения автоматически, то есть запрос на добавление сайтов в список доверенных. Однако если стоит галка принимать решение автоматически, то без всяких вопросов разрешается добавление сайта в список доверенных, т.е. изменение защищенного ресурса. Разве не логичнее было это блокировать?

ananas
29.08.2008, 23:42
вам лучше понять этот модульА домохозяйкам-то как теперь быть?.. Я теперь вообще не понимаю, кто кого должен понять - эксклюзивная хипс свою хозяйку, или хозяйка свою защитницу?.. Я понимаю, что она не понимает, что я понимаю, что она не понимает... Я не понимаю, что она понимает, что я не понимаю, что она понимает... Видать, в товарищах согласья нет... Или пусть девочки друг дружку игнорят, а там будь что будет... Революшн... о_О

NickGolovko
30.08.2008, 06:36
4. Всеравно я не понял. Когда аппликация в группе доверенных запускает другую аппликацию, с какими правами она будет запучена?

C правами непосредственного родителя. То есть, чтобы вас не спрашивали, разрешать ли Outlook доступ к паролям, разрешить это действие нужно не только самому Outlook, но и Проводнику, который его запустил. Потому я и говорю, что это недоработка, и в дальнейшем намерен лечь костьми во имя ее исправления. :) В пределах группы наследование совершенно бессмысленно и только мешает.


Обнаружил интересную особенность. ИЕ в группе "Сильные ограничения". ЕСли нет галки принимать решения автоматически, то есть запрос на добавление сайтов в список доверенных. Однако если стоит галка принимать решение автоматически, то без всяких вопросов разрешается добавление сайта в список доверенных, т.е. изменение защищенного ресурса. Разве не логичнее было это блокировать?

В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне :)


А домохозяйкам-то как теперь быть?.. Я теперь вообще не понимаю, кто кого должен понять - эксклюзивная хипс свою хозяйку, или хозяйка свою защитницу?.. Я понимаю, что она не понимает, что я понимаю, что она не понимает... Я не понимаю, что она понимает, что я не понимаю, что она понимает... Видать, в товарищах согласья нет... Или пусть девочки друг дружку игнорят, а там будь что будет... Революшн... о_О

Любимая многими спорящими пресловутая "домохозяйка" может отныне забыть вообще о существовании антивируса. :)


Товарищи, а вот вы уже РЕАЛЬНО работали с продуктом? Давайте я расскажу чуть-чуть.
1. На ПК тестя установил Продукт в режиме быстрой инсталляции. Вопросов не было.
2. Все программы работают замечательно.
3. Балуны о добавлении программ в зоны появляются сначала часто, а через несколько часов уже - редко. И все реже и реже
4. Программы ставятся легко. И руками ничего никуда не переносится - "нюхач" справляется.
5. Тесть, который вообще никак не связан с IT, работает с ПК без проблем.
6. Одна-единственная программа, которая попала в немилость, была Кол Оф Дюти - его любимая игра. Мне нужно было 1(!) раз показать, что делать, если прога не запускается и все. Более того, ему эти знания более еще ни разу не понадобились.

Ну намотайте на ус - домохозяйки (с домохозяинами) будут пользоваться режимом новичка, а не экспертным.

http://forum.kaspersky.com/index.php?showtopic=64200&st=40&p=590417&#entry590417

zerocorporated
30.08.2008, 06:58
Посмотрите фото.

А теперь вопрос: Как я могу сюда файлы в список добавить? только ключи реестра можно...

Geser
30.08.2008, 09:52
Возможно режим автоматического принятия решений достаточно удобен для домохозяек. Насколько он эффективен для предотвращения заражения и кражи паролей покажет время. Однако для человека который пытается настроить ХИПС вручную, система сложная, не понятная, не достаточно гибкая и не даёт чувства защищенности. Объяснения в хелпе не достаточно подробные что бы действительно понять что нужно делать и что произойдет в случае заражения.
Например известно что эксплуатация уязвимостей ИЕ является сегодня одним из основных источников заражения. Каким образом ХИПС защищает от этого, если ИЕ в списке доверенных?
1. В какую группу попадёт троян скачанный и запущенный через ИЕ при помощи експлоита?
2. Унаследует ли этот троян право доступа к хранилищу паролей ИЕ?

Далее у меня концептуальный вопрос. КИС хорошо известный распространенный антивирус. Известно что серьёзные троянописатели проверяют свои трояны на то что они не детектируются распространенными антивирусами перед их выпуском в свет. Следовательно они будут проверяться и на рейтинг который они получат от песочницы КИС, и основываясь на котором программы разделяются на группы. Автоматически напрашивается вывод, что через пару месяцев почти все новые трояны будут попадать в группу "Слабые ограничения".
Вопрос, зачем нужны группы "сильные ограничения" и "недоверенные", если туда будут попадать практически только легитимные программы?

NickGolovko
30.08.2008, 10:37
Посмотрите фото.

А теперь вопрос: Как я могу сюда файлы в список добавить? только ключи реестра можно...

Увы, это ресурс с "зашитыми" параметрами, который, вероятно, не предназначен для изменения. Лучше всего будет сделать так:

- выделите щелчком группу "Системы обмена сообщениями"
- нажмите "Добавить"
- назовите новую группу, например, Skype Custom Files
- вносите в нее что хотите :)

Громоздко, но пока другого пути нет.

Добавлено через 38 минут


Возможно режим автоматического принятия решений достаточно удобен для домохозяек. Насколько он эффективен для предотвращения заражения и кражи паролей покажет время.

К сожалению, в том, что касается эффективности автоматического режима, существует целый ряд вопросов к разработчикам. Конечно, с учетом того, что KIS позиционируется как многослойная система защиты, риски несколько ниже, но не элиминируются полностью. В частности, у нас бывали рапорты об инцидентах попадания пинча в группу слабо доверенных.


Однако для человека который пытается настроить ХИПС вручную, система сложная, не понятная, не достаточно гибкая и не даёт чувства защищенности. Объяснения в хелпе не достаточно подробные что бы действительно понять что нужно делать и что произойдет в случае заражения.

Да, это так. Особенно в плане гибкости. Почти сразу после технического релиза я вывесил на форуме бета-тестирования изрядную простыню под названием "Реформирование HIPS", в которой изложил основные недочеты существующей идеологии и архитектуры. Образно говоря, сейчас HIPS максимум гнется на 90 градусов, в то время как я привык, чтобы ее можно было завязать узлом. Но я думаю, что все еще впереди, в конце концов, это лишь первая попытка, проба пера. HIPS будет обеспечивать развитие продукта еще в течение двух или трех версий как минимум - столько всего просится к исправлению, добавлению или модификации. Cо справкой тоже беда - она далеко не всегда достаточно информативна, и подчас складывается ощущение, что ее авторы не пробовали сами делать то, о чем они пишут. Не хватает понимания процесса.


Например известно что эксплуатация уязвимостей ИЕ является сегодня одним из основных источников заражения. Каким образом ХИПС защищает от этого, если ИЕ в списке доверенных?
1. В какую группу попадёт троян скачанный и запущенный через ИЕ при помощи експлоита?
2. Унаследует ли этот троян право доступа к хранилищу паролей ИЕ?

Давайте попробуем разобрать.

1. В группу доверенных троян уже не попадает, если только у него нет цифровой подписи или его не одобрили в самой компании занимающиеся этим аналитики. Если он детектирован сигнатурно, то он без разговоров полетит в группу недоверенных и останется отдыхать там, пока не будет удален. Если нет, то в зависимости от того, какой рейтинг присвоит ему эвристический анализатор, он окажется либо в слабых, либо в сильных ограничениях.

2. Как я озвучил выше, права не наследуются сверху вниз. То есть более широкие права не передаются на более узкие. Права Доверенных могут наследовать только Доверенные (и то это скорее недочет, чем фича). Убедитесь сами: занесите AVZ в слабо или сильно ограниченные, запустите ее доверенным Проводником и попробуйте сделать что-нибудь, что разрешено доверенным приложениям, но запрещено ограниченным. Вас будет ждать фиаско :)


Далее у меня концептуальный вопрос. КИС хорошо известный распространенный антивирус. Известно что серьёзные троянописатели проверяют свои трояны на то что они не детектируются распространенными антивирусами перед их выпуском в свет. Следовательно они будут проверяться и на рейтинг который они получат от песочницы КИС, и основываясь на котором программы разделяются на группы. Автоматически напрашивается вывод, что через пару месяцев почти все новые трояны будут попадать в группу "Слабые ограничения".
Вопрос, зачем нужны группы "сильные ограничения" и "недоверенные", если туда будут попадать практически только легитимные программы?

Смотрите сами: вы назвали причину (будут проверять на рейтинг) и следствие (новые трояны будут попадать в Слабые ограничения), но никак не обозначили связь (то есть за счет чего будет достигнуто данное следствие). Соответственно мне будет сложно ответить конкретно, т.е. исходя из того, как вы представляете себе этот процесс. Если вы имеете в виду, что это будет делаться за счет соответствующего модифицирования ПО, то давайте попробуем представить, можно ли это вообще сделать.

Для попадания в сильно ограниченные приложение должно иметь опасный функционал и признаки (нет цифровой подписи, нет в базе безопасных, имеются очень подозрительные функции, такие, как, например, серверная активность, напоминающая бэкдор, виртуализация, нападение на программы защиты и тому подобное). Позвольте, но как убрать эти функции и признаки? Подписать троян цифровой подписью невозможно по определению. Внести его в базу безопасных бесперспективно. Убрать бэкдорный функционал и прочее - лишить данный образец его основного предназначения. Тогда что делать? Единственный вариант - противодействовать анализатору файлов, который рассчитывает индекс опасности. Это действительно может быть вектором для атаки, но мне думается, что ЛК будет принимать соответствующие меры.

Менее значительные вирусы, скорее всего, и так будут попадать в Слабые ограничения, я писал об этом выше. Это тоже вектор для атаки, здесь, к сожалению, приходится надеяться на дальнейшую корректировку идеологии, распределительного механизма и умолчательных правил.

Что касается группы недоверенных, то в нее автоматически заносятся сигнатурно детектированные образцы.

Geser
30.08.2008, 10:58
Ок, я понял по поводу наследования и занесения в группы. В общем выглядит относительно терпимо.


Для попадания в сильно ограниченные приложение должно иметь опасный функционал и признаки (нет цифровой подписи, нет в базе безопасных, имеются очень подозрительные функции, такие, как, например, серверная активность, напоминающая бэкдор, виртуализация, нападение на программы защиты и тому подобное). Позвольте, но как убрать эти функции и признаки?
...
Единственный вариант - противодействовать анализатору файлов, который рассчитывает индекс опасности. Это действительно может быть вектором для атаки, но мне думается, что ЛК будет принимать соответствующие меры.

Совершенно верно. И методы противодействия известны и используются. Протекторы и трюки позволяющие обнаружить эмуляцию и подсунуть эмулятору совсем не тот код, который будет выполняться на реальной системе. Может еще что-то о чем я не знаю. ЛК, конечно, будут принимать меры, но вирусописатели всегда будут на шаг впереди. Потому нет никакого сомнения что все качественные трояны и новые версии Пинча будут попадать в "Слабые ограничения". Потому я не вижу смысла делать 4 групы. Групп должно быть 2. Доверенные и не доверенные. И ко всем кто в недоверенных должно быть отношение как к трояну. Т.е. запрещено всё что не разрешено. Всё остальное выглядит красиво и солидно для обывателя, но реальная ценность в плане защиты, IMHO, равна нулю.

Добавлено через 4 минуты

Далее, вопрос как защищаются доверенные процессы от процессов из группы "Слабые ограничения". Есть ли защита от dll injection, записи в адресное пространство доверенного процесса и т.п. трюков используемых троянописателями?

rav
30.08.2008, 14:25
Подписать троян цифровой подписью невозможно по определению.
Чушь.

zerocorporated
30.08.2008, 14:44
Чушь.

Как бы не встряли из за такой чуши...

P.S: Работа KIS 2009 в автоматическом режиме меня поразила вообще - стоит там запрос на модификацию файлов с расширением exe, sys, dll, а на деле слабо ограниченные что хотят мутят... :?

NickGolovko
30.08.2008, 15:32
Потому я не вижу смысла делать 4 групы. Групп должно быть 2. Доверенные и не доверенные. И ко всем кто в недоверенных должно быть отношение как к трояну. Т.е. запрещено всё что не разрешено. Всё остальное выглядит красиво и солидно для обывателя, но реальная ценность в плане защиты, IMHO, равна нулю.

Это некоторое преувеличение. Помимо безусловно недоверенных и безусловно доверенных есть промежуточный вариант - приложения, которые вроде бы легитимные, но в то же время не вполне доверенные - такие, как, скажем, Internet Explorer. Поэтому список групп можно было бы сократить до трех элементов - Доверенные, Ограниченные, Недоверенные.


Далее, вопрос как защищаются доверенные процессы от процессов из группы "Слабые ограничения". Есть ли защита от dll injection, записи в адресное пространство доверенного процесса и т.п. трюков используемых троянописателями?

Непосредственного воспроизведения прежнего Контроля целостности в продукте нет. Есть защита от управления процессами, установки библиотек-перехватчиков, внедрения кода - см. таблицу "Права".


Чушь.

Простите, а вы много видели вредоносного программного обеспечения с ЭЦП Microsoft?


P.S: Работа KIS 2009 в автоматическом режиме меня поразила вообще - стоит там запрос на модификацию файлов с расширением exe, sys, dll, а на деле слабо ограниченные что хотят мутят...

См. выше:


В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне :)

хотя вроде бы должно выполняться рекомендуемое действие, а оно в вашем случае - Запретить.

rav
30.08.2008, 15:58
Простите, а вы много видели вредоносного программного обеспечения с ЭЦП Microsoft?
Про ЭЦП именно от MS ничего не говорилось (см. топики выше). Говорилось именно про ЭЦП вообще. Зловредописателю получить такую для себя в том же Thawte или RSA- проще пареной репы.

NickGolovko
30.08.2008, 16:40
Поясню: имел в виду именно ЭЦП Microsoft, поскольку не осведомлен о принципах обработки KIS 2009 других подписей.

Geser
30.08.2008, 16:41
В таблице права есть "Доступ к другим просессам" и "Модификация системы" или я смотрю не в той таблице?
Так что какая конкретно защита процессов осуществляется совершенно не понятно.

NickGolovko
30.08.2008, 16:55
В таблице права есть "Доступ к другим просессам" и "Модификация системы" или я смотрю не в той таблице?
Так что какая конкретно защита процессов осуществляется совершенно не понятно.

Имелась в виду эта таблица:

DVi
30.08.2008, 19:03
Говорилось именно про ЭЦП вообще. Зловредописателю получить такую для себя в том же Thawte или RSA- проще пареной репы.
Неоднократно скомпрометированные поставщики сертификатов исключаются из белого списка КАВ2009.

ananas
31.08.2008, 13:35
NickGolovko, тонкости тонкой настройки нужны, что бы сделать крепкую защиту еще крепче. И тут же Вы рассказываете про уязвимости и противоречия, в борьбе с которыми Вы даже готовы ложиться костьми. А восторги умников из Вашей цитаты вообще не имеют ничего общего с антивирусной защитой, ни все вместе, ни по отдельности. Вот и получается: у домохозяйки уязвимостей выше крыши, а в тонкой настройке черт ногу сломит - революшн...

Geser
31.08.2008, 13:42
NickGolovko, тонкости тонкой настройки нужны, что бы сделать крепкую защиту еще крепче. И тут же Вы рассказываете про уязвимости и противоречия, в борьбе с которыми Вы даже готовы ложиться костьми. А восторги умников из Вашей цитаты вообще не имеют ничего общего с антивирусной защитой, ни все вместе, ни по отдельности. Вот и получается: у домохозяйки уязвимостей выше крыши, а в тонкой настройке черт ногу сломит - революшн...

И для домохозяйки нынешняя ХИПС лучше чем ничего.

ananas
31.08.2008, 14:02
И для домохозяйки нынешняя ХИПС лучше чем ничего.Т.е. до нынешней ХИПС было "ничего". Или - ни чего не было. Что-то слишком крутовато выходит(?). Ну да ладно.

Geser
31.08.2008, 14:10
Т.е. до нынешней ХИПС было "ничего". Или - ни чего не было. Что-то слишком крутовато выходит(?). Ну да ладно.

На сегодня сигнатурный анализ это почти "ничего", не важно для какого антивируса, что хорошо видно из темы "тестирование антивирусов"

ananas
31.08.2008, 14:43
А при чем тут другие? У них революций не отмечено, так лишь, ярко-красочные, но нереволюционные эпитеты.

Geser
31.08.2008, 14:45
А при чем тут другие? У них революций не отмечено, так лишь, ярко-красочные, но нереволюционные эпитеты.

Это спор ради спора? Я что-то не вижу/понимаю аргументов и фактов :)
Наличие в КИС ХИПС это явное улучшение защиты, даже учитывая его нынешние недостатки. Это всё что я хотел сказать.

ananas
31.08.2008, 15:06
Geser, это вообще у меня с Вами не спор. А если и спор, то опять же, не с Вами. Я жду топикстартера. Пожалуйста, если угодно, можете продолжать обучение тонкостям.

NickGolovko
31.08.2008, 15:22
NickGolovko, тонкости тонкой настройки нужны, что бы сделать крепкую защиту еще крепче. И тут же Вы рассказываете про уязвимости и противоречия, в борьбе с которыми Вы даже готовы ложиться костьми. А восторги умников из Вашей цитаты вообще не имеют ничего общего с антивирусной защитой, ни все вместе, ни по отдельности. Вот и получается: у домохозяйки уязвимостей выше крыши, а в тонкой настройке черт ногу сломит - революшн...

Ну что ж, давайте разберем на компоненты то, что вы сказали.

>>> тонкости тонкой настройки нужны, что бы сделать крепкую защиту еще крепче. И тут же Вы рассказываете про уязвимости и противоречия, в борьбе с которыми Вы даже готовы ложиться костьми. <<<

Соединяя два предложения через "и тут же", вы намекаете на существование противоречия между ними. Я, в свою очередь, не вижу в них оппозиции. Если бы я готовил рекламную статью, или если бы я сам писал этот компонент, а потом боролся бы с собственным творением, то, действительно, я противоречил бы сам себе. Однако в заголовке темы не пресс-релиз и не промо-текст, а разъяснение идеологии нового компонента и принципов его настройки. Нет ничего удивительного в том, что в комментариях я касаюсь и существующих недоработок - это совершенно нормальное явление для автора, смотрящего на продукт со стороны. Обратите, кстати, внимание, что оба термина - "уязвимость" и "противоречие" - озвучили вы сами.

>>> А восторги умников из Вашей цитаты вообще не имеют ничего общего с антивирусной защитой, ни все вместе, ни по отдельности. <<<

В цитате нет восторгов, в ней есть изложение хода событий после установки продукта в автоматическом режиме. Цитата приведена в ответ на ваше сообщение о непонимании между пользователем и продуктом, которое, в свою очередь, также не имеет ничего общего с антивирусной защитой. Поэтому и цитата никоим образом не обязана иметь что-то общее с ней.

>>> Вот и получается: у домохозяйки уязвимостей выше крыши, а в тонкой настройке черт ногу сломит - революшн... <<<

Уточните, пожалуйста, значение выражения "выше крыши". Насколько я вижу, в вашем понимании "выше крыши" означает "две", поскольку из моих сообщений можно извлечь две недоработки, которые с натяжкой можно определить как уязвимости - спорадические попадания вредоносного программного обеспечения в группу слабо ограниченных и равенство вердиктов "Разрешить" и "Запрос действия".

Кроме того, в дискуссии выше не звучало оснований для утверждения, что новый модуль является сверхсложным в тонкой настройке - напротив, в процессе разработки предпринимались усилия, чтобы упростить работу с ним. Есть мелкие недочеты, такие, как вопрос zerocorporated выше о добавлении элементов в ресурс Skype, однако это основания не для того, чтобы определять модуль как архипроблемный - это основания для участия в бета-тестировании будущих версий. Если что-либо в продукте не устраивает - приходите в раздел бета-тестинга на форуме ЛК, помогите разработчикам и золотым бета-тестерам сделать его лучше. Продукт-то делается для вас, и у вас есть возможность донести свое мнение до непосредственных его авторов, а не до таких же пользователей, как и вы сами.

ananas
31.08.2008, 16:09
NicGolovko, благодарю Вас за ответ. Я с Вами не согласен. Продукт делается вами для вас, и только потом - для нас. Товарищ А. более честен, когда высказывается в смысле - заплати бабки, получи защиту. Кто готов вам всем помогать - это его дело.

Я покупаю готовое. Или юзаю бесплатное. Перед первым и вторым - выбираю. Мой вывод однозначен: я не стану пользоваться продуктом, мнение о котором даже внутри породившей его конторы неоднозначное - от революционного до лягу костьми, что бы исправить.
Спасибо.

Geser
31.08.2008, 16:34
NicGolovko, благодарю Вас за ответ. Я с Вами не согласен. Продукт делается вами для вас, и только потом - для нас. Товарищ А. более честен, когда высказывается в смысле - заплати бабки, получи защиту. Кто готов вам всем помогать - это его дело.

Я покупаю готовое. Или юзаю бесплатное. Перед первым и вторым - выбираю. Мой вывод однозначен: я не стану пользоваться продуктом, мнение о котором даже внутри породившей его конторы неоднозначное - от революционного до лягу костьми, что бы исправить.
Спасибо.

1. NickGolovko не является работником ЛК.
2. Ваше мнение, мягко говоря, не логичное :)

Umnik
31.08.2008, 16:47
Дополню про ЭЦП. Зайдите в IE и найдите "Доверенные центры сертификации". Если приложение подписано одним из этих центров, оно будет доверенным. Т.к. KIS берет данные именно оттуда.

ananas
31.08.2008, 16:58
Geser, и Вам спасибо. Буквально воспринятое мягкое мнение не стало мягче. Посмотрите на список спасиб в начале топика. Присоединяюсь.

NickGolovko
31.08.2008, 17:35
Мой вывод однозначен: я не стану пользоваться продуктом, мнение о котором даже внутри породившей его конторы неоднозначное - от революционного до лягу костьми, что бы исправить.
Спасибо.

Я не внутри конторы. :) Я золотой бета-тестер, но не устроился работать в компанию по примеру некоторых моих коллег (хотя, безусловно, понимаю, что доказать это мне нечем :) ). Ваше право верить или не верить мне. Но мой статус Gold Beta Tester на форуме ЛК позволяет мне в некоторой степени влиять на развитие HIPS - поэтому я и пишу, что буду прилагать все доступные мне усилия к совершенствованию продукта и исправлению его недостатков; ведь я вижу, что модуль получился у разработчиков не идеальным, не таким, как я хотел бы его видеть (а опыт у меня есть: я с 2006 года работаю с профессиональной классической HIPS, которая вышла в релиз еще в 2005 году; в версии 2009 KIS впервые приблизилась к ней по функционалу, но по-прежнему проигрывает ей в гибкости, удобстве и эффективности).

DVi
01.09.2008, 10:59
Наличие в КИС ХИПС это явное улучшение защиты, даже учитывая его нынешние недостатки.
Именно так.
HIPS - это новый уровень защиты, не отменяющий остальные уровни (сигнатурный детект, эвристический), которыми оснащены предыдущие версии КИС. Поэтому, ananas, если Вы видите какую-то ошибку в ХИПСе, не стоит ее воспринимать как "дыр выше крыши" - ведь это не единственный уровень защиты.

ananas
02.09.2008, 17:58
Я не внутри конторы. Я золотой бета-тестер ... я с 2006 года работаю с профессиональной классической HIPS, которая вышла в релиз еще в 2005 году; в версии 2009 KIS впервые приблизилась к ней по функционалу, но по-прежнему проигрывает ей в гибкости, удобстве и эффективностиИзвините пожалуйста, NickGolovko, меня за мою неосведомленность. Но как это меняет сути вопроса, я не вижу.
если Вы видите какую-то ошибку в ХИПСе, не стоит ее воспринимать как "дыр выше крыши"Я вообще не говорил про ошибки в ХИПС. Какой бы она не была, рулят заданные в ней правила. Я говорю: настроенные авторские правила для домохозяйки домохозяйку не защищают, а настройка правил для эксперта запутана и сложна - из одной крайности в другую. Не удобно ни первое, ни второе, имхо. И даже эта статья не отвечает на все вопросы, а все равно требует дальнейших пояснений. Может быть кому-то интересно разбираться и вникать во все тонкости, как, например, тестерам, а мне - нет. Легче сразу выбрать чего-то иное, заведомо попроще (и не факт, что хуже).

Geser
02.09.2008, 19:11
Легче сразу выбрать чего-то иное, заведомо попроще (и не факт, что хуже).

Например?

ananas
02.09.2008, 20:02
Пара месяцев на Comodo + NOD и еще пара на нем же + Avira у меня нареканий не вызывали. Пока так и оставил. Может, домохозяйкам это и не подойдет. Но у экспертов особых проблем с настройками быть не должно, имхо (хотя я и не эксперт, а так - слегка интересующийся).

Кроме того, я не сомневаюсь, что будь у меня КИС 2009, проблем тоже бы не было, даже не смотря на то, что еще никто не лег костьми буквально при устранении проблем. Но для чего тогда искать в нем неочевидные (?) противоречия, если не для устранения гипотетических угроз, имхо же. Может быть критика авторов принесет плоды быстрее, и поможет тестерам не ложиться костьми. Например, 2ip тест из списка доверенных убрали или это ерунда для мировой революции?

Geser
02.09.2008, 21:24
Пара месяцев на Comodo + NOD и еще пара на нем же + Avira у меня нареканий не вызывали. Пока так и оставил. Может, домохозяйкам это и не подойдет. Но у экспертов особых проблем с настройками быть не должно, имхо (хотя я и не эксперт, а так - слегка интересующийся).

Кроме того, я не сомневаюсь, что будь у меня КИС 2009, проблем тоже бы не было, даже не смотря на то, что еще никто не лег костьми буквально при устранении проблем. Но для чего тогда искать в нем неочевидные (?) противоречия, если не для устранения гипотетических угроз, имхо же. Может быть критика авторов принесет плоды быстрее, и поможет тестерам не ложиться костьми. Например, 2ip тест из списка доверенных убрали или это ерунда для мировой революции?

НОД это, мягко говоря, отстой :)
Авира, вроде, не плохой антивирус, но приемуществ над КАВ я не нашел.
А что хорошего есть в Комодо?

ananas
02.09.2008, 22:16
НОД это, мягко говоря, отстой
Авира, вроде, не плохой антивирус, но приемуществ над КАВ я не нашел.
А что хорошего есть в Комодо?1. О некоторых революционных прослойках можно сказать то же самое и не мягко - зачем же тогда ложиться костьми ради их исправления.
2. Отсутствие преимуществ - это не подтверждение присутствия недостатков.
3. 10+ лучше, чем хорошо.
Geser, я не буду более обсуждать здесь другие продукты.

Вопрос не про технологии, а про идеологию в подходах авторов КИС, пытающихся объять все и сразу. Кто не согласен или согласен - ваше право на мое имхо. Я мнения не поменяю, и вам меня не переубедить. Кто хочет - переубеждайте ЛК, только стоит ли ложиться костьми, когда вас игнорируют?..
Желаю антивирусных успехов.

NickGolovko
03.09.2008, 06:35
Но как это меняет сути вопроса, я не вижу.

В своем предыдущем сообщении вы обозначили как суть вопроса тот факт, что существует коренное различие мнений о продукте внутри компании-производителя. Я предложил вам комментарий, который поясняет, что упомянутого различия не существует, поскольку выразитель второго мнения из двух сравниваемых вами не является сотрудником компании. Вы отвечаете, что это не меняет сути вопроса. Следовательно, под сутью вопроса вы уже понимаете нечто иное, нежели в момент написания исходного сообщения.


Я вообще не говорил про ошибки в ХИПС. Какой бы она не была, рулят заданные в ней правила. Я говорю: настроенные авторские правила для домохозяйки домохозяйку не защищают, а настройка правил для эксперта запутана и сложна - из одной крайности в другую.

Обратите внимание, что именно вам принадлежит первое использование термина "уязвимость" в этой дискуссии. Понятие "уязвимость" используется для обозначения потенциально эксплуатируемых ошибок программного кода. Таким образом, утверждая в первом сообщении, что HIPS содержит уязвимости, а во втором - что вы не говорили об ошибках HIPS, вы устанавливаете эквиваленцию A = -A, которая не является истинной.

В том, что касается правил: вы сказали о существовании двух крайностей, но привели неравновесные понятия - "не защищают" и "запутана и сложна". Антонимичными были бы "защищают - не защищают" и "проста - сложна".
1) В том, что касается уровня защищенности: для неопытного пользователя он не понизился, usability же возросла. Причин для ужаса нет.
2) В том, что касается уровня сложности: дело скорее не в запутанности, а в недостатке гибкости. Это преодолимый недостаток, и люди, реально заинтересованные в улучшении продукта, будут работать над его исправлением.
2а) Вы косвенно обозначили, что эксперт не сможет разобраться в работе модуля даже с помощью инструкции. Сможет, если он эксперт. Статья, в свою очередь, предназначена для пользователя со средним уровнем подготовки и имеет своей целью разъяснить идеологию нового компонента, который практически не встречался ранее ни в каких антивирусных решениях, и, следовательно, рядовой пользователь не имеет опыта работы с подобными системами.


, и поможет тестерам не ложиться костьми.

зачем же тогда ложиться костьми ради их исправления.
только стоит ли ложиться костьми, когда вас игнорируют?..

Я впечатлен тем, в какой степени вам понравилось это выражение.

ananas
03.09.2008, 16:36
Ладно, NickGolovko. Согласен, Вы с другими голдбета и компания - не одна контора. Ну и что? Если я во всем не прав, и все хорошо, а недостатки только мелкие, ради чего Вам костьми-то ложиться? Да, именно это выражение меня действительно впечатлило в контексте. Причем, почему-то постоянно на языке вертится выражение "жертва революции". Желаю всем обойтись без жертв и разрушений. :))

NickGolovko
03.09.2008, 17:36
Если вернуться к исходному высказыванию, в котором употреблено это выражение, то я лично собираюсь таким вот самоотверженным и суровым способом :) бороться с явлением, которое не является ни уязвимостью (так как не несет ровно никакой угрозы безопасности), ни ошибкой правил (так как нигде не настраивается в таблице), ни недочетом идеологии (так как сама идея наследования прав совершенно верна). Говоря короче, это просто лишний функционал :) , который не несет ни вреда, ни пользы, а просто мешает. Если бы наследование прав тоже определялось правилами, как в моей HIPS, не было бы никаких проблем с этим; таким образом это явление подпадает под понятие "не хватает гибкости", которое я озвучивал выше.

ananas
03.09.2008, 18:02
Ок. Вы не "жертва революции", а "бессмысленная жертва". А как быть реальным жертвам из числа домохозяек, пусть даже гипотетическим, все равно не понятно. Все. Оставляю за Вами последнее слово.

spitamen
19.11.2008, 10:36
У меня такой вопрос к автору этой статейки и всем кто может ответить (буду благодарен тем кто откликнит):
1. Как этключить этот HIPS или по конкретнее сказать Фильтрация активности где проверяется каждая запущенное приложение ?? Если честно торможение компа хоть там 2 Гб оперативной памяти и 2,6 Core 2 Duo ужасное!!! И надоедает постоянный типа умный анализ всех приложение которые запускаются.. Запустил один раз почти под 2 ГБ самораспакуеший архив и пока эт КИС2009 с этим Хипсом разобрался анализом этого файла прошло точно 15 мин :)))

Umnik
19.11.2008, 10:44
Целиком и полностью на данном этапе - никак. ХИПС - это не отдельный компонент Продукта. Это его неотъемлемая часть.

Зайцев Олег
19.11.2008, 11:03
У меня такой вопрос к автору этой статейки и всем кто может ответить (буду благодарен тем кто откликнит):
1. Как этключить этот HIPS или по конкретнее сказать Фильтрация активности где проверяется каждая запущенное приложение ?? Если честно торможение компа хоть там 2 Гб оперативной памяти и 2,6 Core 2 Duo ужасное!!! И надоедает постоянный типа умный анализ всех приложение которые запускаются.. Запустил один раз почти под 2 ГБ самораспакуеший архив и пока эт КИС2009 с этим Хипсом разобрался анализом этого файла прошло точно 15 мин :)))
HIPS не тормозит работу компьютера, его вмешательство почти неощутимо (кроме времени, затрачиваемого на анализ вновь запускаемого приложения поведенческим анализатором - но оно лимитировано, и не может превышать 30 секунд и проводится один раз для каждого приложения. Через несколько дней работы KIS проанализирует все используемые приложения и распишет их по категориям, в случае надобности это можно сделать за него - добавить нужные программы в нужные классы вручную. Поэтому откуда там берется "типа умный анализ всех приложение" - для меня загадка :) - это же однократная операция, приложений на ПК немного). Тормозить распаковку архива может файловый монитор - он естественно при извлечении файлов будет проверять их по мере сохранения на диске ...

spitamen
20.11.2008, 11:20
HIPS не тормозит работу компьютера, его вмешательство почти неощутимо (кроме времени, затрачиваемого на анализ вновь запускаемого приложения поведенческим анализатором - но оно лимитировано, и не может превышать 30 секунд и проводится один раз для каждого приложения. Через несколько дней работы KIS проанализирует все используемые приложения и распишет их по категориям, в случае надобности это можно сделать за него - добавить нужные программы в нужные классы вручную. Поэтому откуда там берется "типа умный анализ всех приложение" - для меня загадка :) - это же однократная операция, приложений на ПК немного). Тормозить распаковку архива может файловый монитор - он естественно при извлечении файлов будет проверять их по мере сохранения на диске ...

Спасибо за подробный ответ, но на более слабых компах когда я ставил 2009 ый просто задыхается комп, и если честно например многие запускающие проги я уверен что там нет вирусов и не хочу чтоб эт хипс вмешивался и проверял его... Но тут думаю было бы здравомысленным подходом дать право пользователям, если там было где можно было отключить именно эту функцию.. Порой достает просто напросто.. Не..., главное не понимает по человечески я ему говорю алё не гавкать и не проверять а он всеравно берет да анализирует хоть я прописал что типа такие приложение включить в доверенную зону... Система ХИПС само собой очень эффективный инструмент но порой полностью автоматизизированный агрегат дает сбой :)

Зайцев Олег
20.11.2008, 11:27
Спасибо за подробный ответ, но на более слабых компах когда я ставил 2009 ый просто задыхается комп, и если честно например многие запускающие проги я уверен что там нет вирусов и не хочу чтоб эт хипс вмешивался и проверял его... Но тут думаю было бы здравомысленным подходом дать право пользователям, если там было где можно было отключить именно эту функцию.. Порой достает просто напросто.. Не..., главное не понимает по человечески я ему говорю алё не гавкать и не проверять а он всеравно берет да анализирует хоть я прописал что типа такие приложение включить в доверенную зону... Система ХИПС само собой очень эффективный инструмент но порой полностью автоматизизированный агрегат дает сбой :)
Надо попробовать обновления поставить последние - недавно вышел фикс для KIS, там были оптимизации в плане быстродействия при изучении в ходе первого запуска. А чтобы HIPS не проверял процесс, нужно сделать простую штуку (я такое делаю например, чтобы он не раздражал) - добавить те программы, которые я считаю довереными в список "Доверенные приложения" ... доверенным можно все, поэтому лишние алерты и блокировки исключаются

DVi
20.11.2008, 12:31
spitamen, соберите информацию о системе на том слабом компе, на котором быстродействие КИС 2009 вызывало у Вас чувство глубокого недоразумения, используя этот сайт: http://gsi.kaspersky.fr
Вполне вероятно, что на этом компьютере присутствовали потенциально несовместимые приложения.

spitamen
21.11.2008, 18:05
Надо попробовать обновления поставить последние - недавно вышел фикс для KIS, там были оптимизации в плане быстродействия при изучении в ходе первого запуска. А чтобы HIPS не проверял процесс, нужно сделать простую штуку (я такое делаю например, чтобы он не раздражал) - добавить те программы, которые я считаю довереными в список "Доверенные приложения" ... доверенным можно все, поэтому лишние алерты и блокировки исключаются

Ок, спасибо за совет, скорее я так и сделаю :), а обновление у меня всегда последние ..

Добавлено через 2 минуты


spitamen, соберите информацию о системе на том слабом компе, на котором быстродействие КИС 2009 вызывало у Вас чувство глубокого недоразумения, используя этот сайт: http://gsi.kaspersky.fr
Вполне вероятно, что на этом компьютере присутствовали потенциально несовместимые приложения.

Уважаемый DVi, Вы что бот? Одно и тоже пишете мне уже 2ой раз, нужно будет соберем инфо, будто Вас сам Евгений Касперский попросил поправить мои чувство глубокого недоразумения :))))

P.S> Ничего личнего ;)

DVi
21.11.2008, 19:26
Уважаемый spitamen, Вы в двух темах написали о своих претензиях к KIS2009. Если Вы хотите решить свою проблему, то не стройте необоснованных предположений о моей личности, а просто воспользуйтесь моим советом.

ananas
24.11.2008, 15:47
spitamen, соберите информацию о системе на том слабом компе, на котором быстродействие КИС 2009 вызывало у Вас чувство глубокого недоразумения, используя этот сайт: http://gsi.kaspersky.fr
Вполне вероятно, что на этом компьютере присутствовали потенциально несовместимые приложения.DVi, так винда и каспер уже несовместимы. Зачем еще какой-то анализ? Или это несовместимость ради повышения безопасности?

NickGolovko, спасибо, что ответили http://virusinfo.info/showthread.php?p=313676#post313676 Я ничего не имел ввиду, я спросил. Это Вы, а не я, собирались костьми ложиться. Я до сих пор под впечатлением. Сборки меняются, а основное всё еще в начале пути. :)
Как раз версия 2009 c 2009 года может быть и станет "релизом". А пока к испытаниям на бета-тестерах подключили еще и испытания на юзерах. Ну прям, как Есет со своей тройкой (или микрософт с вистой?).
А кто тут любит повторять, что нечего ставить то, к чему СП2 не вышел? :D
Народная мудрость: поспешишь - людей насмешишь. Её маркетологам, очевидно, не преподают. :D

Гриша
24.11.2008, 15:57
Так винда и каспер уже несовместимы.

Странно, у меня стоит начиная с 6 версии и все нормально или руки у меня кривые?

ananas
24.11.2008, 16:21
Гриша, Вам просто пока везет на 89% http://www.matousec.com/projects/firewall-challenge/level.php?num=9

Alex_Goodwin
24.11.2008, 16:39
Гриша, Вам просто пока везет на 89% http://www.matousec.com/projects/firewall-challenge/level.php?num=9

Вы передергиваете.

SDA
24.11.2008, 16:48
У меня стоит начиная с 5 версии. ananas, делаю еще одно китайское предупреждение. У Вас уже длинный список. Завуалированные выпады, что Касперский г......, относится не только к Касперскому но и другим продуктам. Чтобы было понятнее, такие же безосновательные "наезды" (несовместимость), будут пресекаться не только в отношении Касперского, но в данной теме речь о Касперском. В последний раз ошибся с баном, было выписано нарушение. В следующий раз не ошибусь.

ananas
24.11.2008, 16:51
Alex_Goodwin, почему я? Это микрософт и матусики. А наверное, это у них руки кривые, а я - доверчивый ламер, который читает и не понимает написанного. Так объясните Вы, раз DVi пока не ответил.

DVi
24.11.2008, 17:07
DVi, так винда и каспер уже несовместимы.
Не надо размещать заведомо ложную ... информацию.

ananas
24.11.2008, 17:15
DVi, я неправильно понял результаты на сайте матусиков? Извините, объясните. Я тогда матусиков буду доставать, а произведения Kaspersky - нет. А с микрософтом мне прийдется просто смириться.

ALEX(XX)
24.11.2008, 17:29
DVi, я неправильно понял результаты на сайте матусиков?
Слово PASSED Вам ни о чём не говорит?

AndreyKa
24.11.2008, 17:32
...

DVi, похоже, у человека проблемы с логикой. Он сам не понимает что пишет. Будьте снисходительны.

Павлик
17.07.2009, 16:41
Здравствуйте Николай. Подскажите пожалуйста, как с помощью КИС2009 можно выполнить Ваши рекомендации из книжки-

1.В таблице правил вашего брандмауэра необходимо безусловно запретить входящие соединения по протоколам TCP и UDP ]для всех
программ, после чего при желании создать исключения для тех сетевых
продуктов, функциональность которых это нарушает

2.запретить исходящие соединения всем приложениям, для которых в таблице правил не указано обратное.

Если можно поподробней, а то Я не силён в терминологии.