PDA

Просмотр полной версии : Выбор проактивки



Flooter
07.02.2007, 09:58
Господа, может кто что сказать насчет выбора программы проактивной защиты?
Какие вообще существуют?

Лично я знаю
1) встроенную в Каспере 6
2) Safe'n'Sec
3) DefenceWall HIPS (узнал на этом сайте ;) )
4) SSM - SystemSafetyMonitor

Насчет первой - по собственному опыту - очень редко активируется. Вот уж не знаю, хорошо это или плохо? Но спокойно дает писать файлы в windows\*

Вторая - просто ЗАДАЛБЫВАЕТ своими вопросами, даже на минимальном уровне. Хотя допускаю мысль, что если потратить пару дней на "приучение", потом все будет ок. Только надо будет еще половину встроенных правил поотрубать, т.к. банально прогу установить невозможно, т.к. многие проги при инсталляции кидают файло в тот же \windows\

Третья - пока не определился - неоднозначные впечатления, еще не выяснил предел ее возможностей.

Четвертая - только только скачал, дома буду юзать.


Может кто из системщиков приглядывался к внутреннему устройству, т.к. снаружи они все хороши, а что внтурях?... :) Т.е. устойчивость к вирусным и руткит- технологиям, корректность, полнота и целесобразность установок тех или иных перехватов и т.д.

Только просьба не говорить фраз типа "а - рулез, б - маздай", а хотя бы приводить какое-то обоснование :)

Спасибо

deus_ex
07.02.2007, 12:47
Cebtrhawk от www.novatix.com.Cyberhawk – программа для защиты от опасных программ, используя анализ поведения без каких либо сигнатурных баз. Программа может использоваться с любым антивирусом или межсетевым экраном, предоставляя дополнительный уровень защиты вашей системы. Программа непрерывно анализирует поведение процессов и программ на вашей системе и немедленно предупреждает если обнаружит подозрительную любую активность – пользователь может выбрать разрешить или запретить эту активность. (securitylab.ru).
От себя добавлю: блокирует работу в памяти EICAR`а и Gator`а (PCstcurity test) с выключенным антивирусом, имеет встроенный root-kit сканер, ,белый и черный список приложений.На инжекционный тест реагирует быстрее ОР. А сам PCsecurity test перехватывает в момент запуска, до антивируса с фаером порой дело еще не доходит, а зловред уже перехвачен.

Ego1st
07.02.2007, 13:23
использую Free SSM на домашней машине. есть всё что мне нужно, проблем пока небыло с ней, правда надо будет тоже немного времени потратить на настроку.. все наглядно обьяснет и говорит что кто делает.. вообщем мне нравиться... про остальные ничего говорить небуду хотя их все пробовал..

Surfer
07.02.2007, 17:01
на счёт касперского - она там широко настраивается - от тихой до параноидальной, тем более что версии надо постоянно обновлять (на данный момент 6.0.2.614)

SDA
07.02.2007, 18:28
ZoneAlarm Pro фаервол +проактивка, причем неплохая, широкий спектр настройки.

rav
07.02.2007, 18:42
Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.

Flooter
08.02.2007, 02:02
Кстати, может кто знает серьезные статьи почитать на эту тему?

rav
08.02.2007, 14:46
1. kareldjag.over-blog.com
2. security.over-blog.com
3. www.techsupportalert.com

Ego1st
08.02.2007, 14:52
Эх было бы на русском я бы с большим удовольствием прочитал бы..

Flooter
09.02.2007, 02:55
1. kareldjag.over-blog.com (http://kareldjag.over-blog.com)
2. security.over-blog.com (http://security.over-blog.com)
3. www.techsupportalert.com (http://www.techsupportalert.com)

спасибо :)

taloran
10.02.2007, 21:40
Ещё есть RegRun Security Suite http://www.greatis.com/security/download.htm

Erekle
11.02.2007, 04:17
diamondCS ProcessGuard (http://www.diamondcs.com.au/processguard/)

rav

Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?

rav
11.02.2007, 18:43
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?

Написан бред. Вопрос переформулировать на правильный.

ZSasha
12.02.2007, 02:56
Ещё есть RegRun Security Suite http://www.greatis.com/security/download.htm

ИМХО лажа. сканер реестра в пестрой упаковке.

Erekle
12.02.2007, 05:44
Написан бред
Вовсе нет. Но раз нужно :) -

Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.

rav
12.02.2007, 12:59
Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.

Базовая классификация неправильная, отсюда и неправильный вопрос. Всего типов HIPS три- classical HIPS, expert HIPS и sandbox HIPS.

Erekle
13.02.2007, 02:10
Понятно. Спасибо.

Erekle
16.03.2007, 04:29
Хорошие статьи (rav, могли бы отослать сразу :) )

http://www.anti-malware.ru/phpbb/viewtopic.php?t=2882
http://www.wilderssecurity.com/showthread.php?t=154501

и тесты:
http://www.techsupportalert.com/security_scanners.htm
http://www.techsupportalert.com/security_virtualization.htm

Макcим
16.03.2007, 14:51
Я пробовал SystemSafetyMonitor и встроенную в KIS. Сам принцип работы у них принципиально отличается. SMM работает с процессами. Определяет для них допустимую активность. По умолчанию все запускаемые процессы (кроме системных) имеют статус "недоверные". Если говорю что-то не так, то поправьте. SSM я пользовался очень мало и возможно до конца не распробовал. У проактвики KIS принцип другой. у неё нет разделение процессов на доверные и недоверные. Для нёе все равны до тех пор, пока не пытаются совершить противоправные действия. Можно создавать очень гибкие правила для мониторинга реестра и других системный файлов вроде HOST. Для себя я выбрал проактивку KIS. Мне не очень хочется следить за каждым процессом определяя, что ему можно и что нельзя. Может с точки зрения безопасности политика SMM лучше, но для меня это не очень удобно. Откуда я могу знать, что нужно разрешить тому или иному процессу, а что запретить? В общем, система создания правил мне в SSM не понравилась. В KIS другое дело. Нет необходимости следить за каждым процессом. Очень гибко можно создавать правила на работу с реестром. По умолчанию даже под записью "пользователь" можно читать практически любую ветку реестра. Pinch собирает много инфы именно через реестр. Вместо того чтобы его ловить во время отправки паролей, не проще ли разрешить чтение веток реестра the bat (как пример) только для the bat, а в остальных случаях запросить действие? Pinch должен пойматься во время сбора паролей. Точно также можно сделать и для QIP, Оперы ну и так далее. Не знаю можно ли такое сделать в SMM...

rav
21.03.2007, 15:45
1. Ни один нормальный пользователь не осилит самостоятельное создание правил.

2. Внедрение в процесс никто не отменял.

3. Да, SSM и KIS разные. SSM- типичный classical HIPS, KIS- expert HIPS.