Просмотр полной версии : Выбор проактивки
Господа, может кто что сказать насчет выбора программы проактивной защиты?
Какие вообще существуют?
Лично я знаю
1) встроенную в Каспере 6
2) Safe'n'Sec
3) DefenceWall HIPS (узнал на этом сайте ;) )
4) SSM - SystemSafetyMonitor
Насчет первой - по собственному опыту - очень редко активируется. Вот уж не знаю, хорошо это или плохо? Но спокойно дает писать файлы в windows\*
Вторая - просто ЗАДАЛБЫВАЕТ своими вопросами, даже на минимальном уровне. Хотя допускаю мысль, что если потратить пару дней на "приучение", потом все будет ок. Только надо будет еще половину встроенных правил поотрубать, т.к. банально прогу установить невозможно, т.к. многие проги при инсталляции кидают файло в тот же \windows\
Третья - пока не определился - неоднозначные впечатления, еще не выяснил предел ее возможностей.
Четвертая - только только скачал, дома буду юзать.
Может кто из системщиков приглядывался к внутреннему устройству, т.к. снаружи они все хороши, а что внтурях?... :) Т.е. устойчивость к вирусным и руткит- технологиям, корректность, полнота и целесобразность установок тех или иных перехватов и т.д.
Только просьба не говорить фраз типа "а - рулез, б - маздай", а хотя бы приводить какое-то обоснование :)
Спасибо
Cebtrhawk от www.novatix.com.Cyberhawk – программа для защиты от опасных программ, используя анализ поведения без каких либо сигнатурных баз. Программа может использоваться с любым антивирусом или межсетевым экраном, предоставляя дополнительный уровень защиты вашей системы. Программа непрерывно анализирует поведение процессов и программ на вашей системе и немедленно предупреждает если обнаружит подозрительную любую активность – пользователь может выбрать разрешить или запретить эту активность. (securitylab.ru).
От себя добавлю: блокирует работу в памяти EICAR`а и Gator`а (PCstcurity test) с выключенным антивирусом, имеет встроенный root-kit сканер, ,белый и черный список приложений.На инжекционный тест реагирует быстрее ОР. А сам PCsecurity test перехватывает в момент запуска, до антивируса с фаером порой дело еще не доходит, а зловред уже перехвачен.
использую Free SSM на домашней машине. есть всё что мне нужно, проблем пока небыло с ней, правда надо будет тоже немного времени потратить на настроку.. все наглядно обьяснет и говорит что кто делает.. вообщем мне нравиться... про остальные ничего говорить небуду хотя их все пробовал..
на счёт касперского - она там широко настраивается - от тихой до параноидальной, тем более что версии надо постоянно обновлять (на данный момент 6.0.2.614)
ZoneAlarm Pro фаервол +проактивка, причем неплохая, широкий спектр настройки.
Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.
Кстати, может кто знает серьезные статьи почитать на эту тему?
1. kareldjag.over-blog.com
2. security.over-blog.com
3. www.techsupportalert.com
Эх было бы на русском я бы с большим удовольствием прочитал бы..
1. kareldjag.over-blog.com (http://kareldjag.over-blog.com)
2. security.over-blog.com (http://security.over-blog.com)
3. www.techsupportalert.com (http://www.techsupportalert.com)
спасибо :)
Ещё есть RegRun Security Suite http://www.greatis.com/security/download.htm
diamondCS ProcessGuard (http://www.diamondcs.com.au/processguard/)
rav
Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?
Написан бред. Вопрос переформулировать на правильный.
Ещё есть RegRun Security Suite http://www.greatis.com/security/download.htm
ИМХО лажа. сканер реестра в пестрой упаковке.
Написан бред
Вовсе нет. Но раз нужно :) -
Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.
Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.
Базовая классификация неправильная, отсюда и неправильный вопрос. Всего типов HIPS три- classical HIPS, expert HIPS и sandbox HIPS.
Хорошие статьи (rav, могли бы отослать сразу :) )
http://www.anti-malware.ru/phpbb/viewtopic.php?t=2882
http://www.wilderssecurity.com/showthread.php?t=154501
и тесты:
http://www.techsupportalert.com/security_scanners.htm
http://www.techsupportalert.com/security_virtualization.htm
Я пробовал SystemSafetyMonitor и встроенную в KIS. Сам принцип работы у них принципиально отличается. SMM работает с процессами. Определяет для них допустимую активность. По умолчанию все запускаемые процессы (кроме системных) имеют статус "недоверные". Если говорю что-то не так, то поправьте. SSM я пользовался очень мало и возможно до конца не распробовал. У проактвики KIS принцип другой. у неё нет разделение процессов на доверные и недоверные. Для нёе все равны до тех пор, пока не пытаются совершить противоправные действия. Можно создавать очень гибкие правила для мониторинга реестра и других системный файлов вроде HOST. Для себя я выбрал проактивку KIS. Мне не очень хочется следить за каждым процессом определяя, что ему можно и что нельзя. Может с точки зрения безопасности политика SMM лучше, но для меня это не очень удобно. Откуда я могу знать, что нужно разрешить тому или иному процессу, а что запретить? В общем, система создания правил мне в SSM не понравилась. В KIS другое дело. Нет необходимости следить за каждым процессом. Очень гибко можно создавать правила на работу с реестром. По умолчанию даже под записью "пользователь" можно читать практически любую ветку реестра. Pinch собирает много инфы именно через реестр. Вместо того чтобы его ловить во время отправки паролей, не проще ли разрешить чтение веток реестра the bat (как пример) только для the bat, а в остальных случаях запросить действие? Pinch должен пойматься во время сбора паролей. Точно также можно сделать и для QIP, Оперы ну и так далее. Не знаю можно ли такое сделать в SMM...
1. Ни один нормальный пользователь не осилит самостоятельное создание правил.
2. Внедрение в процесс никто не отменял.
3. Да, SSM и KIS разные. SSM- типичный classical HIPS, KIS- expert HIPS.
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot