Firewall + HIPS

[tanganika]

Възможно е да е така, както е възможно да не е. Има доста други HIPS програми, които се зареждат доста рано. А и е напълно възможно някой рууткит да се зарежда още по-рано. Просто ме съмнява AntiHook да е програмата, която се зарежда най-рано и то да няма нито един рууткит, който да се зареди преди нея.

 

LoadOrder е добра програма на SysInternals за извеждане на информация кой драйвер кога се зарежда.

 

Да има и такива рууткити,но създаването им било трудно колкото операционна система.Възможно е да има и други програми които се зареждат по-рано от AntiHook,търся истината.

 

Pesho благодаря за полезната информация и изчерпателния отговор.Ясно се вижда че SSМ контролира доста повече компоненти,AntiHook само 32 броя.Все още не съм ползвал SSM,но при такъв отговор с тази информация няма какво друго да кажа освен че си прав.

http://www.plaatjesupload.nl/bekijk/2009/04/26/1240775578-870.jpg

http://www.plaatjesupload.nl/bekijk/2009/04/26/1240775619-710.jpg

Има и такива компании които преувеличават/лъжат за възможностите на продукта им но за кратко.

 

tnn нямам избор така ще бъде до следващия преинстал на ОС,но нито един скенер за рууткити не открива нищо подозрително в ОС.

Наприме от касперски ще бъдат много доволни и техния продукт да се справя на такова ниво като малката помощна програмка AntiHook.

Там накъдето сега тръгват от Kaspersky Lab , InfoProcess заедно с другите малки подобни програми вече се връщат.

[The Graverobber]

от известно време насам ползвам нод32 версия 4. поразрових се и намерих включен хипс механизъм в чейнджлога

http://www.eset.eu/support/changelog-eset-nod32-antivirus-4

аз незнам защо но изобщо не го намирам нито къде се активира ако изобщо има такъв, нито пък ако го има ме е питал за каквото и да било ако някой го е пробвал моля нека сподели

[Night_Raven]

Явно са внедрени behaviour blocker механизми, които да допълват останалите методи на засичане на зловреден код.

[tanganika]

Тази HIPS програмка Samurai с размер 1.59 МВ (безплатна) не е била за подценяване малко по-надолу се вижда с какви заплахи е в състояние да се справя.

http://kareldjag.over-blog.com/article-1232530.html

[Night_Raven]

Не искам да омаловажавам Samurai, но ми изглежда нещо като mini-HIPS. Т.е. със сигурност има полза от нея, но не може да изненада с нещо по-пълните HIPS програми.

[tanganika]

Не искам да омаловажавам Samurai, но ми изглежда нещо като mini-HIPS. Т.е. със сигурност има полза от нея, но не може да изненада с нещо по-пълните HIPS програми.

За 1,59 МВ и без пари толкова,но предлага запушване на дупките в уиндоус и няма нужда да се притесняваме дали ни е ъпдейтната ОС. А платените Касперски и ESET пищят на умряло за ъпдейтите на уиндоус,защото сами не могат да се справят.Този Samurai след рестарта беше блокирал сървисите на OO Defrag.

 

никсси,сложиха му презерватив на касперски сега остава и един Samurai да му добавят да не хленчи :'( за уиндоуски ъпдейти и нещата си идват на мястото :haha:

 

tnn,гледам резултатите на PC Tools Firewall Plus от тестовете на „matousec” и стигам до извода че например AntiHook или ProcessGuard ще компенсират недостатъците на PC Tools Firewall и превземането на ОС става мнооого трудно.

[Night_Raven]

За 1,59 МВ и без пари толкова,но предлага запушване на дупките в уиндоус и няма нужда да се притесняваме дали ни е ъпдейтната ОС.

Затварянето на някои пролуки чрез спиране на някои услуги и т.н. наистина елиминира нуждата от инсталирането на някои обновления, но е по-скоро заобикаляне на проблема. А и освен има още доста обновления, които трябва да се инсталират, които не могат да бъдат елиминирани ей така.

Така че обновяването на операционната система си остава на дневен ред, независимо колко пролуки се запушват.

[tanganika]

Затварянето на някои пролуки чрез спиране на някои услуги и т.н. наистина елиминира нуждата от инсталирането на някои обновления, но е по-скоро заобикаляне на проблема. А и освен има още доста обновления, които трябва да се инсталират, които не могат да бъдат елиминирани ей така.

Така че обновяването на операционната система си остава на дневен ред, независимо колко пролуки се запушват.

Касперски искаше да обновя Microsoft Office,Winamp 535,BitComet 6 и т.н. откривал слабости в тези приложения.Може би тези обновления имат смисъл ако не се ползва HIPS.Нали обновленията са с цел зловредния код по-трудно да се възползва от тях,защото антивирусните нямат функцията да следят кои файлове се опитват да правят промени,да инжектират код,да се възползват от други програми за да се скрият от защитните програми.Ако обаче ползваме HIPS него не го бърка дали охранява стари или нови версии на програмите или ОС той пак ще вижда опитите за възползване от тях.

Бъркам ли ?

[mihnev_sz]

Касперски искаше да обновя Microsoft Office,Winamp 535,BitComet 6 и т.н. откривал слабости в тези приложения.Може би тези обновления имат смисъл ако не се ползва HIPS.Нали обновленията са с цел зловредния код по-трудно да се възползва от тях,защото антивирусните нямат функцията да следят кои файлове се опитват да правят промени,да инжектират код,да се възползват от други програми за да се скрият от защитните програми.Ако обаче ползваме HIPS него не го бърка дали охранява стари или нови версии на програмите или ОС той пак ще вижда опитите за възползване от тях.

Бъркам ли ?

По-принцип не точно това целта на Kaspersky и не само.

Целта е да да се подобри като цяло работата на програмите и тяхната съвместимост по м/у си,което в случая се постига единствено чрез поправки/обновяване/ъпдейт.Това естествено директно се отразява в положителна насока като цяло на самата операционна система и нейната работа.

[Night_Raven]

Препоръките на Kaspersky са продиктувани явно от гледна точка на сигурността. По принцип ползването на последни версии на програми, които имат достъп до интернет, е важно най-вече от гледна точка на сигурността. Ако се ползва HIPS програма, рисковете в сигурността от ползване на по-стари приложения определено намаляват. И все пак не означава, че са елиминирани. Т.е. независимо от всичко е препоръчително да се ползват последните версии на подобни програми.

Съмнява ме Kaspersky да го е грижа за съвместимостта. Т.е. той се грижи за сигурността и препоръчва нови версии съобразно това. Не е в юрисдикцията му да му пука за съвместимост на да речем BitComet със StrongDC++ (например).

От друга страна не винаги новите версии са най-съвместими. Лично аз ползвам Secunia PSI, за да знам кога е важно да обновявам дадена програма.

[The Graverobber]

по подобен начин във версия 4 на нод32 при първото стартиране на програмата системата се анализира и се посочват евентуално липсващи ъпдейти свързани със сигурността на ОС. по този начин ти се посочва кои ъпдейти си пропуснал и са от особено значение.

[mihnev_sz]

Препоръките на Kaspersky са продиктувани явно от гледна точка на сигурността. По принцип ползването на последни версии на програми, които имат достъп до интернет, е важно най-вече от гледна точка на сигурността. Ако се ползва HIPS програма, рисковете в сигурността от ползване на по-стари приложения определено намаляват. И все пак не означава, че са елиминирани. Т.е. независимо от всичко е препоръчително да се ползват последните версии на подобни програми.

Съмнява ме Kaspersky да го е грижа за съвместимостта. Т.е. той се грижи за сигурността и препоръчва нови версии съобразно това. Не е в юрисдикцията му да му пука за съвместимост на да речем BitComet със StrongDC++ (например).

От друга страна не винаги новите версии са най-съвместими. Лично аз ползвам Secunia PSI, за да знам кога е важно да обновявам дадена програма.

На една система,ако в случая всички нейни компоненти и процеси са в синхрон,възможността за зарази от пропуски от страна на защитната програма,значително ще се намали,било то и само HIPS. Понеже в този случай тя ще си изпълнява задълженията и ще сканира/анализира системата/файловете/процесите/промените, по-бързо и качествено. Всяко едно забиване,некоректна работа или конфликт м/у приложения, води до риск.Това има отражение в/у пълноценното сканиране и функции на инсталираните програми за защита на системата.

[Night_Raven]

Не съм съгласен. Не виждам какво общо има съвместимостта между да речем някой торент клиент и да речем дефрагментатор (произволен пример) със сигурността. Ако дадена система е натоварена и някои програми забавят системата по някакъв начин, това наистина може да се отрази на скоростта на сканиране и работа. Тази скорост обаче не трябва да влияе на качеството на работа по никакъв начин. По тази логика дори може да се каже, че по-старите компютри са по-зле защитени, защото при тях тежките програми не рабоят толкова бързо и пъргаво.

Наистина е важно програмите за сигурност да не си пречат една на друга. Т.е. инсталираните стена, антивирус и т.н. да се припокриват някъде и да се получават конфликти при опит за реакция от тяхна страна. Т.е. важно е да съжителстват както трябва заедно. Останалите приложения обаче не виждам как биха влияли на сигурността.

[Гост tnn]

"""tnn,гледам резултатите на PC Tools Firewall Plus от тестовете на „matousec” и стигам до извода че например AntiHook или ProcessGuard ще компенсират недостатъците на PC Tools Firewall и превземането на ОС става мнооого трудно. """ PC Tools Firewall Plus още при инсталиране пита да инсталира ли и ThreatFire - потвърдих и са заедно. Многомодулният Rising 21 Free Edition уникално се сработва с тях. При Rising при всеки рестарт или старт на компютъра е налице предстартова проверка не само на паметта - въоръжен е за борба не само с непознати руткити... Отчетено е възможното предварително зареждане от някои от тях. Налучках невероятна комплексна безплатна защита и не се интересувам сега от малки програми обещаващи повече от реално подсигуряваното. Нищо, че общата маса на трите програми е над 220 мB. Питам се - може ли да се сглоби безплатен интегриран пакет с още по-добро справяне ? Comodo IS Free не е чак толкова добър - досажда с много и всякакви въпроси! При тази алтернатива е пълна автоматизираност почти без въпроси. Поздрави

[Night_Raven]

Много HIPS ориентирани модули стават. PC Tools Firewall Plus съдържа HIPS, макар и в доста базов вид. Rising съдържа доста по-сериозни HIPS механизми. Дори тези двете леко се припокриват. Освен това като цяло правят наличието на behaviour blocker в лицето на ThreatFire леко излишно. Като цяло правилото е или класически HIPS, или behaviour blocker. Разбира се не е задължително и фатално да има и от двата вида, но като цяло няма особен смисък.