Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

HIPS'овые "мировые тенденции"

  1. #1
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0

    HIPS'овые "мировые тенденции"

    Имеющиеся в Vista встроенные средства защиты (DEP, UAC, Defender, брандмауэр свой или сторонний, ...) и рекомендация использовать антивирусную программу от стороннего производителя делают ли лишним дополнительное использование HIPS, встроенного в какой либо комплексный пакет безопасности или установленного отдельно?

    Мне кажется, что - да. Сидя под юзером с антивирусом и файерволлом при отключенном защитнике винды, я вообще не пользуюсь стронними хипсами/ипсами и антиспайверами и не испытываю неудобств. Насколько велика при этом моя уязвимость?

    Какова вообще польза от программного HIPS? Почему они в настоящее время так плодятся? Типичный рыночный подход некоторых производителей - это более простое решение при недоступности развития традиционных "старых" эвристических технологий?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от ananas Посмотреть сообщение
    Мне кажется, что - да. Сидя под юзером с антивирусом и файерволлом при отключенном защитнике винды, я вообще не пользуюсь стронними хипсами/ипсами и антиспайверами и не испытываю неудобств. Насколько велика при этом моя уязвимость?
    Рассуждать о величине опасности сложно. Рассмотрим пару сценариев:
    1. через уязвимость в браузере в систему заползает и запускается Pinch (детали в данном случае неважны, важно то, что прав юзера на это хватит). Далее пинч собирает пароли - на это у юзер есть права, так как тут в основном ключ HKCU и доступ только на чтение. Далее он отправляет собранные пароли "кому следует" - это тоже пройдет без проблем. А вот дальше можно рассуждать - опасно это или не опасно ...
    2. На компьютер попадает зловред с иконкой и именем, неотличимой на глаз от иконки папки или картинки (путей куча - почта, разные средства типа Инет-пейджеров, флешки). Некий "абстрактный пользователь" с высокой степенью "откроет" ее, а там - злобный вирус, который посканирует профиль, найдет все фото/видео/картинки/документы и испоганит их - прав ему хватит без проблем ... вспомним пристнопамятную "диструктивную рекламу" - пострадавших было много
    3. Варианты 1 или 2, но путь проникновения - Инет, а зловред склеен с чем-то полезным джоинером. Я такое видел много раз, и на фоне 10-100 мб дистрибутива заметить небольшой "довесок" посчти нереально, и сигнатурный поиск его может пропустить
    Вот поэтому современные антивирусы строятся по принципу многоуровневой обороны - на случай, если уровень N прошляпит заразу, остаются другие уровни ... т.е. получаем сигнатурный сканер, разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.

  4. #3
    Junior Member Репутация
    Регистрация
    01.11.2007
    Сообщений
    5
    Вес репутации
    37
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ... разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.
    Олег. А можно спросить Ваше мнение как профессионала - на каком уровне эвристика у KIS (по сравнению с другими конкурентами)?

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    современные антивирусы строятся по принципу многоуровневой обороны - на случай, если уровень N прошляпит заразу, остаются другие уровни ... т.е. получаем сигнатурный сканер, разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.
    Ок. Но если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс и файерволл, тогда получается наоборот: антивирус лишний в этом случае? Убираем его и ставим хипс. Ну или может ограничиваемся в антивирусе файловым сканером по-требованию.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от ananas Посмотреть сообщение
    Ок. Но если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс и файерволл, тогда получается наоборот: антивирус лишний в этом случае? Убираем его и ставим хипс. Ну или может ограничиваемся в антивирусе файловым сканером по-требованию.
    Не совсем так - приведу другой пример: зловред с кодом, обходящим HIPS каким-то хитрым образом, таких сколько угодно. Есть хороший шанс, что его поймает сигнатурный сканер или его эвристические компоненты.
    PS: Не бывает идеальных HIPS или антивирусов. Если бы они были - вирусов бы не было Если технологии работают совместно, обеспечивая "многоконтурную" защиту, то надежность возрастает.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Olegka-2007, какой именно из эвристических механизмов Вы хотите сравнить у КИС и конкурентов:
    - эмулятор?
    - поведенческий блокиратор?
    - ХИПС?
    - обнаружение уязвимостей?
    И главное - по какой методике Вы хотите это сравнивать?

    Добавлено через 3 минуты

    Цитата Сообщение от ananas Посмотреть сообщение
    если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс
    Хипс - это тоже "эвристик". Ибо это один из механизмов обеспечения защиты от неизвестного науке вируса.
    Последний раз редактировалось DVi; 04.08.2008 в 16:38. Причина: Добавлено

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Путаница в понятиях - привилегия представителей АВ вендоров?
    Цитата Сообщение от DVi Посмотреть сообщение
    - эмулятор?
    - поведенческий блокиратор?
    - ХИПС?
    - обнаружение уязвимостей?
    При наличии первых двух, зачем нужен третий? Как консоль или пульт управления?
    Добавил.
    DVi, Вы к двум первым проактивным механизмам добавили еще два реактивных. Зачем?
    Последний раз редактировалось ananas; 04.08.2008 в 17:13.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    На самом деле, всё очень просто. Поведенческий блокиратор по версии ЛК- это тот же самый blacklisting HIPS. А то, что они называют HIPS- это зачатки sandbox HIPS. Стоит почитать wiki.castlecops.com и всё сразу станет понятнее.

    Насчёт оригинального вопроса- поведенческие защиты есть насущная необходимость. Все остальные техники просто не справляются с зловредами. Ограниченная учётная запись (LUA), равно как и ограничение прав основного пользователя (UAC) не спасёт, оба предоставляют достаточно прав для внедрения в систему.
    Последний раз редактировалось rav; 04.08.2008 в 18:08.
    http://www.softsphere.com - DefenseWall, DefencePlus

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от ananas Посмотреть сообщение
    Путаница в понятиях - привилегия представителей АВ вендоров?
    http://biology.krc.karelia.ru/misc/s.../gloss_ae.html
    эвристики - это общие рекомендации или советы, основанные на статистической очевидности ... или теоретических рассуждениях
    Таким образом под понятие "антивирусная эвристика" попадают все перечисленные мной механизмы.

    Цитата Сообщение от ananas Посмотреть сообщение
    При наличии первых двух, зачем нужен третий?
    Я привел четыре пункта, а не три.

    Цитата Сообщение от ananas Посмотреть сообщение
    DVi, Вы к двум первым проактивным механизмам добавили еще два реактивных. Зачем?
    - Sandbox HIPS реактивен? Впервые слышу такую интерпретацию.
    - Поиск уязвимостей в системе по базе Секунии не является защитой от вирусов в прямом смысле. Однако это неплохой метод защиты от любых вирусов (в том числе - неизвестных науке), желающих проникнуть в Ваш компьютер через эти уязвимости.

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    В том то и дело, что черт ногу сломит во всех ваших интерпретациях понятий. Не понятно, как вы сами между собой общаетесь, а уж стороннему человеку вообще разобраться мудрено. Даже в HIPS "S" у кого - System, у кого - Solution.

    Если у Вас, DVi, эвристических механизмов
    = 4, то

    (http://www.anti-malware.ru/forum/ind...showtopic=4720)
    @Олег Гудилин 01.06.2008
    Результат таков:
    - по эвристику это уже не 21% детекта как у семерки, а 42%.
    - модуль контроля приложений автоматически заблокировал 68% зловредов из тестового набора, присвоив им рейтинг опасности 100.
    - модуль Проактивная защита (PDM), который есть не только в восьмерке, но и в версиях 6/7, к сожалению отдельно не тестировался.
    = 3

    (http://www.anti-malware.ru/node/91)
    @Алиса Шевченко 29.11.2007
    Обобщая, можно выделить следующие способы сбора данных для выявления вредоносных программ:
    1. Работа с файлом как с массивом байтов.
    2. Эмуляция кода программы.
    3. Запуск программы в «песочнице» (sandbox) (а также использование близких по смыслу технологий виртуализации).
    4. Мониторинг системных событий.
    5. Поиск системных аномалий.
    Способы перечислены в соответствии с повышением уровня абстракции при работе с кодом. Под уровнем абстракции в данном случае подразумевается то, под каким углом зрения рассматривается исполняемая программа: как первичный цифровой объект (набор байт), как поведение (более абстрактное следствие из набора байт) или как совокупность эффектов в операционной системе (более абстрактное следствие из поведения).
    = 5 - 1 (первый) = 4

    В той же последовательности авторов:
    1. эмулятор = эвристик = эмуляция кода
    2. поведенческий блокиратор = модуль проактивная защита = мониторинг системных событий
    3. хипс? = модуль контроля приложений = песочница-виртуализация
    4. обнаружение уязвимостей = ??? = поиск системных аномалий
    Так?

    А если отдельные модули - "старый" эвристик и "новая" проактивка способны сами принимать решения, зачем передача прав третьей стороне - хипсу? Только лишь потому, что в нем реализованы дополнительные черно-белые механизмы для удобства пользователей? Так?

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Не нужно меня спрашивать уточнения про то, что сказал Олег Гудилин и Алиса Шевченко - зарегестрировавшись на anti-malware, у Вас появится уникальная возможность спросить об этом их самих.

    Алиса описала пункт (1) "Работа с файлом как с массивом байтов" - если не ошибаюсь, это о чисто сигнатурном определении известных вирусов. Хотя когда одной сигнатурой удается заблокировать достаточно много интерпретаций одного вируса - такой механизм тоже можно назвать эвристическим.

    В остальном Вы почти все правильно поняли:

    1. Эмулятор = эмуляция кода (но не надо называть "эмулятор" "эвристиком", т.к. понятие "эвристик" гораздо шире)

    2. Поведенческий блокиратор = модуль "проактивная защита" (эти два названия идентичны - в терминах разработчиков этот модуль называется "поведенческий блокиратор", а маркетологи дали ему название "проактивная защита"). Этот модуль занимается мониторингом системных событий и на основе заложенных в нем алгоритмов выносит вердикт о зловредности процесса.

    3. ХИПС = модуль контроля приложений = песочница-виртуализация

    4. Обнаружение уязвимостей = поиск уязвимостей и системных аномалий. Это задача on-demand, выполнена в виде т.н. "мастеров": "Восстановление после заражения", "Анализ безопасности", "Настройка браузера", "Устранение следов активности", "Отчет о состоянии системы (для техподдержки)".

    Хипс нужен для того, чтобы не пришлось откатывать систему после исполнения зловредного кода - он заранее ограничивает подозрительное приложение в правах и не дает ему совершать подозрительные действия.
    Кроме того, Хипс подстраховывает эмулятор, если эмулятор не смог достаточно точно проэмулировать код исполняемого файла и дать достаточно точный вердикт для детектирования зловреда.

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    rav, почитал.
    Чуть поправил Вашу ссылку http://wiki.castlecops.com/HIPS_FAQ

    Действительно, стало понятнее. Получается, по вики, поведенческий блокиратор - это часть HIPS, как и песочница-виртуализация. А обнаружение уязвимостей специфично для продукта ЛК.

    DVi, итого в общем имеется 2-х слойная эвристически-проактивная защита из эмулятора и HIPS (в последнем несколько модулей-механизмов).

    И сейчас у меня в резерве защитник винды и возможность вступить в SpyNet. Буду иметь ввиду.
    Спасибо всем.

    зы
    Цитата Сообщение от DVi Посмотреть сообщение
    Не нужно меня спрашивать уточнения про то, что сказал Олег Гудилин и Алиса Шевченко - зарегестрировавшись на anti-malware, у Вас появится уникальная возможность спросить об этом их самих.
    Я не спрашивал Вас, читал просто все подряд по этому поводу.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Рад, что помог Вам разобраться.
    Цитата Сообщение от ananas Посмотреть сообщение
    DVi, итого в общем имеется 2-х слойная эвристически-проактивная защита из эмулятора и HIPS (в последнем несколько модулей-механизмов).
    Чтобы окончательно Вас запутать: в КИС2009 эмулятор используется и в ХИПСе тоже

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Да, я уже понял, что четких границ нет. Все взаимосвязано. Что-то разделили, что-то срастили. На то у Вас и новый комплексный пакет, об уникальности которого сказано много и во многих местах. Но главное - результаты, ведь уникальность - не самоцель. Мне не хотелось бы переходить от общих принципов на обсуждение конкретного продукта.
    Желаю антивирусных успехов.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    ananas, на anti-malware сейчас идёт тестирование средств защиты на отражение проникновения зловредов на компьютеры фактически в условиях, максимально приближенным к реальным. Так что скоро можно будет узнать и результаты...
    http://www.softsphere.com - DefenseWall, DefencePlus

  17. #16
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Да, rav, спс. Читал, с чтением проблем нет. Вот только с начала теста некоторые антивирусы свои сборки обновили и не один раз. Интересно, каков будет итог.

  18. #17
    Junior Member Репутация
    Регистрация
    07.02.2007
    Сообщений
    68
    Вес репутации
    40

    Whitelisting

    Прочитал в какой-то статье на английском языке о тенденциях в антивирусах. Так там говорят о whitelisting как о самом перспективном виде защиты компьютера. Смысл, как я понял в том, что будет разрешаться работа только тех приложений (и файлов), которые есть в белом списке. Что думают специалисты?

    Нашел эту статью. Кто знает английский - прошу!

    http://resources.zdnet.co.uk/article...9451075,00.htm

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Специалисты приветствуют. В той или иной мере whitelistening используют:
    1. Windows Vista - не позволяет устанавливать неподписанные драйвера.
    2. AVZ - файлы, находящиеся в "белом списке", исключаются из исследования системы.
    3. Norton Internet Security 2009 - не проверяет подписанные файлы.
    4. Kaspersky Internet Security 2009 - назначает разрешающие правила HIPS для файлов, находящихся в "белом списке"

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от Sibir Посмотреть сообщение
    Прочитал в какой-то статье на английском языке о тенденциях в антивирусах. Так там говорят о whitelisting как о самом перспективном виде защиты компьютера. Смысл, как я понял в том, что будет разрешаться работа только тех приложений (и файлов), которые есть в белом списке. Что думают специалисты?
    Использование в чистом виде как средства безопасности бесперспективно. Whitelisting хорошо работает лишь как поддержка иных методов обеспечения безопасности.
    http://www.softsphere.com - DefenseWall, DefencePlus

  21. #20
    Junior Member Репутация
    Регистрация
    15.02.2008
    Адрес
    Харьков(Украина)
    Сообщений
    106
    Вес репутации
    36
    Озадачил себя поиском HIPS.Вот что нашел интересное:Антивирус защищает вас лишь от уже известных ему вирусов (он очень зависим от сигнатур). Поэтому если вы запустите вирус с варезного сайта, который не знаком вашему антивирусу - ваша система будет заражена.Что касается HIPS'ов, то программы этого класса защищают от любых видов вредоносных программ (и не важно: известен вирус кому-нибудь или нет), потому что контролируют потенциально-опасные и/или опасные действия в системе.Скачав и запустив зараженный крак с варезного сайта, вы получите не одно предупреждение, на каждом из этапов (попыток) внедрения вируса в систему: создание исполняемых (возможно, скрытых) файлов где-либо на диске (в случае, если крак будет "дропать" вирус и потом его запускать - так делают обычно), запуск этого приложения. Далее, скорее всего, он полезет в какую-либо из автозагрузок (не обязательно в простой ключ "Run" в реестре), потом он может пытаться установить перехваты в системе (много способов и все они должны контролироваться) - функциями системы, открытием других процессов и их модификацией, подгрузкой своих модулей во все или некоторые процессы, создание потоков в других процессах и т.д. При попытке установить и запустить драйвер - так же запрос. При попытке скрыть себя в списке процессов или драйверов - его автоматическое нахождение. При попытке скрыть себя в реестре или на диске - нахождение там (при соответствующем запуске сканирования; пассивный анализ). При попытке заражать (менять, дописывать) другие исполняемые объекты в системе (на диске) - так же запрос.В общем, у вас будет не меньше 3-15 шансов остановить вирус практически на каждом этапе его вредоносной деятельности в системе. Более того. Если даже вы умудрились все эти действия разрешить, у вас так же остается возможность в дальнейшем нейтрализовать этот вирус, запретив ранее разрешенные действия. И в каждом из запросов - удалить файл, объект в памяти и т.д.И антивируса в такой системе нет.В такие системы могут включать антивирусы лишь для того, чтобы не мучать пользователя вопросами, ответы на которые могут быть известны уже заранее. Если, например, четко известно, что это вирус - об этом можно сразу же сообщить пользователю, не предлагая ему возможности что-либо запускать и анализировать. Для упрощения процесса.http://www.softboard.ru/index.php?showtopic=43912&st=80. Получается-без HIPS нам не жить?

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Ответов: 0
    Последнее сообщение: 01.11.2009, 13:19
  3. Ответов: 3
    Последнее сообщение: 22.02.2009, 09:42
  4. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:39
  5. Ответов: 1
    Последнее сообщение: 28.11.2008, 17:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01147 seconds with 16 queries