-
Выбор проактивки
Господа, может кто что сказать насчет выбора программы проактивной защиты?
Какие вообще существуют?
Лично я знаю
1) встроенную в Каспере 6
2) Safe'n'Sec
3) DefenceWall HIPS (узнал на этом сайте )
4) SSM - SystemSafetyMonitor
Насчет первой - по собственному опыту - очень редко активируется. Вот уж не знаю, хорошо это или плохо? Но спокойно дает писать файлы в windows\*
Вторая - просто ЗАДАЛБЫВАЕТ своими вопросами, даже на минимальном уровне. Хотя допускаю мысль, что если потратить пару дней на "приучение", потом все будет ок. Только надо будет еще половину встроенных правил поотрубать, т.к. банально прогу установить невозможно, т.к. многие проги при инсталляции кидают файло в тот же \windows\
Третья - пока не определился - неоднозначные впечатления, еще не выяснил предел ее возможностей.
Четвертая - только только скачал, дома буду юзать.
Может кто из системщиков приглядывался к внутреннему устройству, т.к. снаружи они все хороши, а что внтурях?... Т.е. устойчивость к вирусным и руткит- технологиям, корректность, полнота и целесобразность установок тех или иных перехватов и т.д.
Только просьба не говорить фраз типа "а - рулез, б - маздай", а хотя бы приводить какое-то обоснование
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 66
Cebtrhawk от www.novatix.com.Cyberhawk – программа для защиты от опасных программ, используя анализ поведения без каких либо сигнатурных баз. Программа может использоваться с любым антивирусом или межсетевым экраном, предоставляя дополнительный уровень защиты вашей системы. Программа непрерывно анализирует поведение процессов и программ на вашей системе и немедленно предупреждает если обнаружит подозрительную любую активность – пользователь может выбрать разрешить или запретить эту активность. (securitylab.ru).
От себя добавлю: блокирует работу в памяти EICAR`а и Gator`а (PCstcurity test) с выключенным антивирусом, имеет встроенный root-kit сканер, ,белый и черный список приложений.На инжекционный тест реагирует быстрее ОР. А сам PCsecurity test перехватывает в момент запуска, до антивируса с фаером порой дело еще не доходит, а зловред уже перехвачен.
-
использую Free SSM на домашней машине. есть всё что мне нужно, проблем пока небыло с ней, правда надо будет тоже немного времени потратить на настроку.. все наглядно обьяснет и говорит что кто делает.. вообщем мне нравиться... про остальные ничего говорить небуду хотя их все пробовал..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
на счёт касперского - она там широко настраивается - от тихой до параноидальной, тем более что версии надо постоянно обновлять (на данный момент 6.0.2.614)
-
-
ZoneAlarm Pro фаервол +проактивка, причем неплохая, широкий спектр настройки.
-
-
Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.
-
-
Кстати, может кто знает серьезные статьи почитать на эту тему?
-
-
-
Эх было бы на русском я бы с большим удовольствием прочитал бы..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
-
-
diamondCS ProcessGuard
rav
Вообще-то, их _намного_ больше! Всего 3 основных типа, выбор между которыми зависит от твоего уровня компьютерной подготовки.
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?
Последний раз редактировалось Erekle; 11.02.2007 в 04:43.
-
Сообщение от
Erekle
Который Выше всех. Который сканирует память и все обращаемые файлы. А третий?
Написан бред. Вопрос переформулировать на правильный.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
taloran
ИМХО лажа. сканер реестра в пестрой упаковке.
-
Вовсе нет. Но раз нужно -
Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.
-
Сообщение от
Erekle
Один основной тип - который сканирует только память (включая приложения и т. д.), и все обращаемые (изменяемые, создаваемые) файлы.
Второй - к которому нужно обращаться за санкцией на любое действие.
Спрашивал про третьего.
Базовая классификация неправильная, отсюда и неправильный вопрос. Всего типов HIPS три- classical HIPS, expert HIPS и sandbox HIPS.
-
-
-
-
Я пробовал SystemSafetyMonitor и встроенную в KIS. Сам принцип работы у них принципиально отличается. SMM работает с процессами. Определяет для них допустимую активность. По умолчанию все запускаемые процессы (кроме системных) имеют статус "недоверные". Если говорю что-то не так, то поправьте. SSM я пользовался очень мало и возможно до конца не распробовал. У проактвики KIS принцип другой. у неё нет разделение процессов на доверные и недоверные. Для нёе все равны до тех пор, пока не пытаются совершить противоправные действия. Можно создавать очень гибкие правила для мониторинга реестра и других системный файлов вроде HOST. Для себя я выбрал проактивку KIS. Мне не очень хочется следить за каждым процессом определяя, что ему можно и что нельзя. Может с точки зрения безопасности политика SMM лучше, но для меня это не очень удобно. Откуда я могу знать, что нужно разрешить тому или иному процессу, а что запретить? В общем, система создания правил мне в SSM не понравилась. В KIS другое дело. Нет необходимости следить за каждым процессом. Очень гибко можно создавать правила на работу с реестром. По умолчанию даже под записью "пользователь" можно читать практически любую ветку реестра. Pinch собирает много инфы именно через реестр. Вместо того чтобы его ловить во время отправки паролей, не проще ли разрешить чтение веток реестра the bat (как пример) только для the bat, а в остальных случаях запросить действие? Pinch должен пойматься во время сбора паролей. Точно также можно сделать и для QIP, Оперы ну и так далее. Не знаю можно ли такое сделать в SMM...
Последний раз редактировалось Макcим; 16.03.2007 в 14:57.
-
-
1. Ни один нормальный пользователь не осилит самостоятельное создание правил.
2. Внедрение в процесс никто не отменял.
3. Да, SSM и KIS разные. SSM- типичный classical HIPS, KIS- expert HIPS.
-