Показано с 1 по 15 из 15.

Тестирование HIPS-ов

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70

    Тестирование HIPS-ов

    Ув. форумчане.
    Что-то увлекла меня в последнее время тема проактивной защиты.
    Посему захотелось мне провести некоторое сравнительное тестирование нескольких программных продуктов разных фирм.
    Сейчас стоит вопрос в определении критериев "хорошести".

    Дело в том, что сами ХИПСы делятся на несколько классов - в частности (из тех, что я уже посмотрел) одни изолируют веб-браузеры, почтовые программы, Р2Р - т.е. некоторые, заранее определенные программы и/или классы программ.
    С одной стороны это хорошо - 90% опасности грозит из инета - это и злобные веб-сервера, и затрояненые кейгены, и вирусняк/троянцы, присылаемые по почте или скачиваемые через файловообменные сети.

    Но, с другой стороны, остается еще какой-то далеко не нулевой процент тех файлов, которые можно купить на болванке на развале, или друг Вася принесет с криками - смотри какая порнуха/игра/итд.

    Понятно дело, что практически никто не использует веб-браузер (который помечен в ряде ХИПСов как НЕдоверенный) для запуска "локальных" ресурсов. И получается, что это есть дыра в таких хипсах.

    Так вопрос 1 - стоит пробовать запускать зловредов через веб браузер или считать это минусом проактивки?

    Вопрос 2 - нужны ли вообще кому-то ХИПСы, ограничивающие все и всем подряд? Например SSM - лично для меня есть гиммор каждый раз настраивать кучу правил при запуске новой программы. Или тот же Сафе-н-Сек - там вроде как даже при запуске калькулятора с пяток алертов вылазит (утрирую конечно но не сильно )
    ИМХО хипса должна мониторить только критические события - типа установка кейлоггера, инжект длл, запуск сервиса само собой. Или я не прав??

    3 - как оценивать поведенческие анализаторы?

    Планируемый инструментарий для тестирования:
    Быть может стоит расширить арсенал тестовых инструметов?

    Да, и еще, ЧТО собственно планирую протестить:
    • CyberHawk
    • DefenceWallHIPS
    • GesWall
    • GreenBorder
    • PR SafeConnect
    • SystemSafetyMonitor (не уверен)
    • Safe'n'Sec (не уверен)
    • ну и конечно же KAV 6
    В общем - жду комментариев, предложений, пожеланий.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    жду комментариев, предложений, пожеланий
    Кажется, это я жду с нетерпением результатов.
    Самое главное: наиболее интересно сравнение DW с - именно - SSM.
    Немного не понял рассуждение насчёт
    Понятно дело, что практически никто не использует веб-браузер (который помечен в ряде ХИПСов как НЕдоверенный) для запуска "локальных" ресурсов. И получается, что это есть дыра в таких хипсах.
    ...вопрос 1 - стоит пробовать запускать зловредов через веб браузер или считать это минусом проактивки?
    - если локальный ресурс по умолчанию надо открыть браузером, то им и открываю. И почему это - дыра? Разве правила меняются?
    Запускать через веб-браузер - в смысле, те же локальные "ресурсы"? Тогда надо иметь, скажем, сохраненную копию страницы с вредным кодом... В условиях, приближенных к боевым. А ещё лучше - дать адрес для открытия страницы "в живую" с таким кодом, или на прямую закачку какого-либо деструктивного трояна. Но вам вашу систему не жалко?

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от Erekle Посмотреть сообщение
    Кажется, это я жду с нетерпением результатов
    Ну хоть кому-то интересно... честно говоря ожидал большего энтузиазма :?

    Цитата Сообщение от Erekle Посмотреть сообщение
    Самое главное: наиболее интересно сравнение DW с - именно - SSM.
    Ок, пусть будет и SSM. Но там прааавил настраивать имхо гимморно слегонца...

    Цитата Сообщение от Erekle Посмотреть сообщение
    Немного не понял рассуждение насчёт

    - если локальный ресурс по умолчанию надо открыть браузером, то им и открываю. И почему это - дыра? Разве правила меняются?
    Запускать через веб-браузер - в смысле, те же локальные "ресурсы"? Тогда надо иметь, скажем, сохраненную копию страницы с вредным кодом... В условиях, приближенных к боевым. А ещё лучше - дать адрес для открытия страницы "в живую" с таким кодом, или на прямую закачку какого-либо деструктивного трояна. :) Но вам вашу систему не жалко?
    Под "локальным" ресурсом я подразумеваю то, что уже есть на диске. И особенно в виде исполнимых файлом. Допустим, принесенный другом Васей на флехе super-mega-porno.exe ты же не будешь открывать IEшкой, верно? А, как я уже сказал, некоторые ХИПСы ориентированны в первую очередь на изоляцию браузеров. А зловред может и експлорером быть запущен, и ФАРом, и ВинРАРом, да мало ли чем...

    А машину - не жалко :) Я себе недавно FirstDefence-ISR поставил - пара кликов и система как новая :)

    Кстати да, все тесты будут проводиться на реальной, НЕ виртуальной машине.

    Только до сих пор не определил для себя, так сказать, методику тестирования.
    Простейший пример - хипса ДефенсеВалл. Она может запускать процессы как недоверенные, а так же любой процесс потомок недоверенного процесса так же является недоверенным (ув rav - если не прав - поправьте), НО по умолчанию все процессы запускаются в обычном режиме. Т.е. при тестировании надо будет правым кликом выбирать в контекстном меню проводника "запустить как НЕдоверенное". Но многие например пользуются ФАРом, ТоталКоммандером или даже вообще альтернативным шеллом и т.д. - соответственно там такого пункта не будет. Как считать? Засчитать как минус? В конце концов система позиционируется как "для домохозяек" ;), которые и слова то такого - "правый клик" не знают. Но, с другой стороны, если пусть и при запуске через ПК она 100% отработает - значит, хорошая прога! Вот и думаю... и жду советов... :?

    ============================================

    Кстати если у кого-то есть линки на зловредные сайты или какие-нибудь троянцы в коллекции - милости прошу поделиться.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Последние гостили отсюда (злобные: перемещают антивирус и файерволл куда-нибудь (в папку Backup, я сначала даже умилился ), прописывают себя в уйме мест, и не только в автозагрузку, включают разные службы, скрыты для вида и не только):
    все: http://

    xmobile.org.ua/ru/index/php >>> xmobile.org.ua//ru/get.php?file=exe
    216.95.196.22/counter.php?id=477 >>> 216.95.196.22/tool/package.exe?affid=477

    counter-pr.info
    antiddos.us
    ip-145-234.rbnnetwork.com
    a4-design.ru

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    по первой ссылке - пинч? И что - неужто его размер 32768? Или это наш корпоративный фаер его кильнуть успел?

    Если возможно, пришли мылом с паролем, скажем 123.
    Парольные архивы чекеры не проверяют

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    Понятно дело, что практически никто не использует веб-браузер (который помечен в ряде ХИПСов как НЕдоверенный) для запуска "локальных" ресурсов. И получается, что это есть дыра в таких хипсах.
    В DefenseWall можно поставить локальные диски как недоверенные либо запускать как недоверенные руками. В DW v2.0 можно поставить переключатель "Запускать с извлекаемых источников как недоверенные" и тогда не нужнот ничего никуда руками добавлять- с флоппиков, CD/DVD и flash-дисков всё будет запускаться как недоверенное.
    http://www.softsphere.com - DefenseWall, DefencePlus

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Flooter
    по первой ссылке - пинч? И что - неужто его размер 32768? Или это наш корпоративный фаер его кильнуть успел?
    В результатах Тотала для него - http://virusinfo.info/showpost.php?p=98602&postcount=90 - нет Пинча, включая Ewido. Но его модификация AVG Anyi-Spyware, которым сейчас перепроверил, говорит:
    \123\pervaya ssylka\update.exe -> Trojan.LdPinch.bkg
    (к теме конечно не относится, но html-родителя этого Апдейта на Тотале опознал один только УНА. Так вот, AVG Anti-Spyware тоже видит его)
    Последний раз редактировалось Erekle; 22.03.2007 в 09:27.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Итак, кратенький отчет – скорее даже не отчет, а размышления и озвучивание собственных наблюдений. Т.к. только один человек, как оказалось, был заинтересован в данном мероприятии – соответственно получилось то, что получилось.

    1) GesWall – программа, предназначенная в основном для изоляции потенциально-опасных приложений от системы. Частично применяется механизм песочницы, частично не понял что . Так например при попытке опасной программы писать в критические ключи реестра ей подсовывается псевдо-копия оного, которая уничтожается при завершении опасного процесса. Содержит встроенный набор правил, определяющих, какие программы следует считать «опасными» и как их ограничивать. Можно редактировать самому как набор программ, так и описывающих их правил. В предустановленный «комплект» входят наиболее широко распространенные браузеры, почтовые клиенты, программы Р2Р. Существует две версии – Pro и Free. Free ограничена по возможностям, так например она в упор не детектит кейлоггеры. При попытке же установить про версию получил облом – программа сказала что срок действия демо-лицензии истек и отказалась ставиться. Возможно это произошло потому, что раньше я уже игрался с ней, но снес и решил попробовать новую фрии-версию.
    Общие впечатления неоднозначные – во-первых хочется отметить некоторую сложность в самостоятельной разработке правил, которую осилит далеко не каждый. Во-вторых, некоторые вопросы вызывает обеспечиваемая ею защита. Т.к. вопрос с кейлоггерами остался открытым, я, возможно, вернусь к этой программе позже.

    2) GreenBox – одна из немногих программ, полностью прошедшая тестирование на упоминаемом уже здесь сайте. В общем и целом да – защита сделана весьма и весьма. Демо-зловреду не удалось даже установиться. Кейлоггеры обломились. Так же как и первая программа, тоже ориентирована в основном на изоляцию веб-браузеров. Но так же имеет функцию изоляции любой указанной сторонней программы. Для этого достаточно сделать ПК на иконке файла и выбрать Protect GreenBox (или что то в этом роде). Но мне это не слишком понравилось – во-первых это надо проделывать с каждым «подозрительным» файлом, во-вторых иконка ФАРа, лежащая на десктопе, после подобной манипуляции потерялась, т.е стала как неопознанная (хотя сам фар запускался без проблем). И в-третьих – непонятно что программа делает, какие правила срабатывают, что происходит вообще. Пытался нарыть лог – но что-то не слишком успешно. Лично я не люблю программы, которые делают что-то, но что именно и как – непонятно.

    3) DefenceWallHIPS – дас из гуд! Отличная защита, запускал и демо-троян, и живой тройчик (не слишком опасный, но тем не менее достаточно противный и вредный) – защита отработала на ура. Зловреды, пытавшиеся установить в систему свои драйвера были посланы далеко и надолго, при нажатии большой красной кнопки вся левая гадость, работающая в памяти была дружно грохнута, изменения возвращены назад. Отлично!
    НО: что НЕпонравилось: программа все же, хоть и рассчитана на неподготовленного пользователя, предъявляет определенные требования, скорее к аккуратности пользователя. Поясню на примере: программа изолирует не каждый процесс (это разумеется логично, иначе работать было бы невозможно), а только указанные – это либо внесенные в список недоверенных, либо запущенные из определенного места на диске, либо запущенные вообще с любого сменного диска (при указании такой опции в меню). Но лично у меня нередко бывает ситуации, когда бродя в инете и натыкаясь на какой-то файл, я хочу его скачать. В 90% это дело поручается установленной качалке, которая автоматически подхватывает закачку и сохраняет ее в определенный каталог на диске (по категориям, дате или расширению). Если пометить этот каталог как «недоверенный» то любая скачанная программа, запущенная оттуда, будет считаться недоверенной. Но иногда моя штатная качалка криво обрабатывает закачку и мне приходится отключать ее и сохранять файл эксплорером. А я, чего уж греха таить, отличаюсь некоторой безалаберностью, т.е. могу сохранить файл в первое попавшееся место. Соответственно программа, сохраненная и запущенная в последствии из этого местоположения уже не получит статус «недоверенной». Т.е. резюмируя, можно сказать что пользователь должен постоянно уделять внимание, помнить об установленной программе и не забывать в некотором роде «подчиняться» ее требованиям. Хотя - выполняя это он получит действительно отличную защиту.

    4) CyberHawk – судя по описаниям это поведенческий анализатор. Со всеми его плюсами и минусами. В части минусов – не словил двух кейлоггеров из 4х. Хотя… быть может и специально (про специально см ниже). Чисто субъективно – на 4 из 5. Но зато постоянно мониторит всю систему, в независимости от того, что и откуда запущено. При алертах выдает окошки с кратким описанием ситуации и выбором – позволить или прибить.

    5) PR SafeConnect – так же поведенческий анализатор. На мой взгляд весьма и весьма достойная и интересная прога. Обладает, можно даже сказать, некторыми зачатками «интеллекта» - так например я всех троянов/зловредов запускал из под ФАРа. Запускал, запускал – и дозапускался. ФАР был признан крайне подозрительной программой, в результате чего был грохнут! Точнее – помещен в карантин. Причина (которая кстати хорошо обосновывается в логах и всплывающих окнах) – данный процесс запускал слишком много зловредов! В принципе – логично. Любой подозрительный процесс помещается в карантин, откуда его можно либо вернуть и «восстановить в правах», либо грохнуть. Каждому запущенному процессу присваиваются определенные «баллы», которые могут быть как «+» так и «-». Например я запустил демо-кейлоггер, который показывал на десктопе маленькое окошко с вводимыми в других окнах буквами. Так вот – любопытно, что данному процессу было позволено работать, т.к он имел видимое окно. В списке процессов напротив него стояли 5 красных маркеров – «клавиатурный перехватчик», но вместе с тем один зеленый – «видимое окно». Интегральная оценка – pass.
    Возвращаясь к CyberHawk-у – быть может тем двум кейлоггерам было позволено работать по сходной причине.
    Но, теоретически, такая защита, основанная на поведенческом анализе, более «пробиваема» чем та же песочница DefenceWall-а. Но - и более удобая.

    Общее впечатление – крайне любопытная и интересная программа!


    Заключение: так как моя идея не создала никакого резонанса, я ограничился достаточно поверхностным тестированием, заключавшемся в инсталляции программы, запуска нескольких зловредов и рассмотрения результатов – что получилось. Наверняка при несколько более длительном тестировании вскрылось бы большее количество различных нюансов. Но, откровенно говоря, большого желания у меня в том не было. Уж что есть, извините.

    ЗЫ: Кстати, что бы зловреды не выгружали антивири/фаеры из памяти (путем эмуляции мыши и нажатий на клавиши) достаточно установить пароль. Конечно там, где он есть (например Каспер, Аутпост, ДефенсеВаллХипс)

    Erekle, друг, извини, но SSM я не нестировал – вплотную пообщался с ним на работе. Впечатления – слишком гимморно (по крайней мере для меня) настраивать кучу правил на каждый процесс на каждый его чих. Да к тому же – как я могу знать, что надо каждому конкретному процессу для его работы.
    Та же песня и с Safe’n’Sec.

    Ну вот собюственно и все. Если возникли какие-то вопросы – спрашивайте. Еще раз замечу, что это тестирование далеко от полного и подробного анализа всех возможностей программ. Все здесь вышеизложенное есть мое ИМХО!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    389
    GesWall freeware поставил я сейчас для проверки так сказать, на компе он больше 10 минут не выдержал и был удалён.. все что не запускалось им как недовереное, глючило ужастно, начинаю от ие и заканчивая аутглюками..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    А что насчёт GreenBorder ?

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    DefenseWall контролирует в силу возможности перемещение недоверенных файлов. Все программы (а также архивы, скрипты и файлы Microsoft Office), созданные недоверенными, также будут помечены как недоверенные.
    http://www.softsphere.com - DefenseWall, DefencePlus

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от rav Посмотреть сообщение
    DefenseWall контролирует в силу возможности перемещение недоверенных файлов. Все программы (а также архивы, скрипты и файлы Microsoft Office), созданные недоверенными, также будут помечены как недоверенные.
    хм.. у меня почему-то не сработало.
    Посмотрел вот тут - http://virusinfo.info/showpost.php?p=96759&postcount=3 - быть может потому, что я все делаю ФАРом (и перемещения файлов в т.ч.)?

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Да, FAR Commander и прочие файловые менеджеры не контролируются. Причина банальна- это невозможно сделать стандартными средствами из ring0, а внедрять в каждый процесс свою dll- шибко накладно будет. Хотя, может, я и найду неуниверсальный, но рабочий способ контроля файловых менеджеров.
    http://www.softsphere.com - DefenseWall, DefencePlus

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от rav Посмотреть сообщение
    Да, FAR Commander и прочие файловые менеджеры не контролируются. Причина банальна- это невозможно сделать стандартными средствами из ring0, а внедрять в каждый процесс свою dll- шибко накладно будет. Хотя, может, я и найду неуниверсальный, но рабочий способ контроля файловых менеджеров.
    Я конечно у "нулевом" программировании полный "нуль" , но так, интереса ради, нельзя разве например перехватывать ф-ции чтения/записи с диска и определять, откуда и куда собирается писать приложение? Или такие "мелочи" как пути и имена файлов в нулевое кольцо не передаются? А если при каждой операции чтения/записи динамически грузить дллку в адресное пространство вызвавшего эту ф-цию процесса, а потом выгружать? Или это и есть шибко накладно будет?

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Всё наоборот- в нулевое кольцо не передаётся информация об операции.
    http://www.softsphere.com - DefenseWall, DefencePlus

Похожие темы

  1. DefenseWall HIPS 2
    От Geser в разделе Антивирусы
    Ответов: 166
    Последнее сообщение: 01.05.2012, 22:14
  2. DefenseWall HIPS
    От andrey ivanovich в разделе Антивирусы
    Ответов: 54
    Последнее сообщение: 13.04.2010, 12:00
  3. HIPS
    От defrob в разделе Антивирусы
    Ответов: 9
    Последнее сообщение: 21.05.2008, 15:56
  4. Открытое тестирование DefenseWall HIPS v2.0
    От rav в разделе Антивирусы
    Ответов: 18
    Последнее сообщение: 02.12.2007, 15:51
  5. HIPS
    От Sjoeii в разделе Other security software
    Ответов: 4
    Последнее сообщение: 30.11.2007, 20:34

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01494 seconds with 19 queries