Jump to content

Recommended Posts

3 часа назад, Maratka сказал:

HIPS, Anti-SPAM (в части базы Байеса и списков фраз, т.е моих персонифицированных настроек на именно тот поток СПАМа, который идет именно на мою почту).
Частично - песочница (ее жалко меньше всего, но все же пользовался).

В общем и целом, вне зависимости от компонента - отчеты.

HIPS - а разве Мониторинг активности это не тоже самое?

Anti-SPAM - даже страшно представить ваш объем писем, моей почте на Яндексе чуть меньше 20 лет , максимум проскакивает 2-3 письма

Песочница же работает просто ее раздели на безопасные платежи и режим безопасных программ

Share this post


Link to post
1 час назад, serruf сказал:

HIPS - а разве Мониторинг активности это не тоже самое?

Нет, не одно и то же.

1 час назад, serruf сказал:

Anti-SPAM - даже страшно представить ваш объем писем, моей почте на Яндексе чуть меньше 20 лет , максимум проскакивает 2-3 письма

У всех разная почта, не находите?
 

1 час назад, serruf сказал:

Песочница же работает просто ее раздели на безопасные платежи и режим безопасных программ

Безопасные программы насколько я в курсе всего лишь один из режимов работы HIPS (некий параноидальный режим, блокирующий все, не являющееся доверенным). Естественно, что пользоваться этим режимом в условиях, когда приложения скачут по группам, и доверенное перестает быть таковым, а а не доверенное - становится доверенным - это как минимум свои нервы не уважать.

Ну а безопасные платежи - это старая песочница наизнанку. В том виде, как песочница была задумана, она работала для предотвращения заражения системы из браузера, скачавшего/запустившего нечто нехорошее. А сейчас она работает для предотвращения заражения процесса браузера зараженной системой. Т.е. это как бы не совсем то,  что обычно требуется от песочницы в антивирусах.  ;)

Share this post


Link to post
В 29.12.2018 в 03:31, Maratka сказал:

Нет, не одно и то же.

Строго говоря, одно и тоже, это экспертный HIPS. Контроль программ - HIPS не экспертный, а на правилах. Если я правильно помню, тогда ещё был старый недоHIPS из ранних поколений - PDM, его имели в виду? В KIS 2011 был SW, PDM и КП, вроде убрали как раз PDM, хотя забавно то, что вердикты в касперском до сих пор пишут PDM:... Так вот функционал PDM перебрался в Контроль программ и SW, в первый отошло то, что снижало поверхность атаки, во второе то, что реально обнаруживало что-то. 

В 29.12.2018 в 03:31, Maratka сказал:

Безопасные программы насколько я в курсе всего лишь один из режимов работы HIPS (некий параноидальный режим, блокирующий все, не являющееся доверенным). Естественно, что пользоваться этим режимом в условиях, когда приложения скачут по группам, и доверенное перестает быть таковым, а а не доверенное - становится доверенным - это как минимум свои нервы не уважать.

Всё сложнее и интереснее - этому режиму парой плевать на группу в Контроле программ, он угадывает где нужно блочить по облаку, а где игнорить его незнание просто новой версии надёжной проги, которая уже установлена. Работать комфортно обычному юзеру, респект разрабам. Похожее видел только у Symantec - у них есть контроль загрузок, агрессивность которого настраивается - тоже позволяет запереть систему надёжно от 0day и при этом в системе хоть исходники запускай - всё без проблем работает, хоть и неизвестное. 

В 29.12.2018 в 03:31, Maratka сказал:

Т.е. это как бы не совсем то,  что обычно требуется от песочницы в антивирусах. 

Никакого толку от песка нет в любом случае, потому что этот метод не даёт ничего понять. Если бы песок рисовал вам дерево действий проги - ок, но так ли это надо сегодня, когда даже аваст с майкрософтном набирают предТОПовые результаты в тестах, ибо реально индустрия повзрослела. Не за горами времена, когда вообще не будет смысла всё это покупать и устанавливать и актуально это будет только для корпоративных юзеров. 

 

В 29.12.2018 в 03:31, Maratka сказал:

У всех разная почта, не находите?

И неужели в сервисах почты сегодня нет этого? 

Edited by Threat#47

Share this post


Link to post
3 часа назад, Threat#47 сказал:

Строго говоря, одно и тоже, это экспертный HIPS. Контроль программ - HIPS не экспертный, а на правилах. Если я правильно помню, тогда ещё был старый недоHIPS из ранних поколений - PDM, его имели в виду? В KIS 2011 был SW, PDM и КП, вроде убрали как раз PDM, хотя забавно то, что вердикты в касперском до сих пор пишут PDM:... Так вот функционал PDM перебрался в Контроль программ и SW, в первый отошло то, что снижало поверхность атаки, во второе то, что реально обнаруживало что-то. 

PDM - это SW с хардкорными эвристиками (в отличии от полноценного SW, где эвристики опасного поведения приходят с базами). Т.е. по сути своей PDM - это первая, упрощенная реализация SW.
HIPS - совершенно из другой оперы, это набор точечных перехватов  API- вызовов вида "можно/нельзя".

 

3 часа назад, Threat#47 сказал:

Всё сложнее и интереснее - этому режиму парой плевать на группу в Контроле программ, он угадывает где нужно блочить по облаку, а где игнорить его незнание просто новой версии надёжной проги, которая уже установлена.

Очень сильно сомневаюсь в этом.

 

3 часа назад, Threat#47 сказал:

Никакого толку от песка нет в любом случае, потому что этот метод не даёт ничего понять.

А и не нужно понимать. В песочнице можно разрешить практически любую активность, за некоторыми исключениями, и не особо беспокоиться о возможности заражения системы.
 

3 часа назад, Threat#47 сказал:

И неужели в сервисах почты сегодня нет этого? 

Разумеется нет. То, что на сервере установлен антиспам, и то, что он блокирует СПАМ никак не связано, т.к. много зависит от настроек.

Share this post


Link to post
19 часов назад, Maratka сказал:

HIPS - совершенно из другой оперы, это набор точечных перехватов  API- вызовов вида "можно/нельзя".

Поведение рисуется по API: создано то, вызвано это. Разве нет? Если это не "экспертный HIPS" (это термин, а не придумка, вы говорите о "классических HIPS"), то что тогда? Динамич. эвристика - это другое, это pre-execution.

В одной из статей это прямо подтверждено(сходство повед. блокеров и эксп. HIPSов, просто народ не путают и говорят о поведенч. блокировке) :

"В данной статье были рассмотрены как HIPS-системы, демонстрирующие перспективные подходы к защите компьютера, так и автономные продукты, которые могут применяться совместно с имеющимися антивирусами и Firewall. Следует отметить, что разработчики антивирусных продуктов понимают преимущества HIPS, и в составе многих антивирусов уже появились достаточно мощные поведенческие блокираторы. Достоинства интеграции антивируса и IPS-системы очевидны: сигнатурный анализатор упрощает принятие решения, а анализ поведения приложений позволяет строить сложные и эффективные эвристические алгоритмы. В качестве примеров можно привести разработанную специалистами «Лаборатории Касперского» технологию Proactive Defense Module, технологию Panda TruPrevent (применяется в линейке антивирусных продуктов Panda Antivirus) и аналогичные решения, используемые в других антивирусах."

19 часов назад, Maratka сказал:

Очень сильно сомневаюсь в этом

Матчасть в помощь. Неужели вы реально думаете, что для банальщины сделали целое название и кнопку включения, если итак всё можно было включить и ходить недалеко. Я больше скажу - эта штука якоби ориентируется на шаблоны поведения аномалия/не аномалия, так что если браузер разрешённый начнёт бурагозить, режим его закроет, ибо тот был проэксплуатирован, не слабо? Так пишет сама ЛК. 

19 часов назад, Maratka сказал:

А и не нужно понимать. В песочнице можно разрешить практически любую активность, за некоторыми исключениями, и не особо беспокоиться о возможности заражения системы.

И зачем это, интересно, если можно и без этого выяснить экспертными методами что, да как? Хоть VT, хоть репутация, хоть в вирлаб на крайняк отправьте, через сутки ответ придёт. Ну поставьте виртуалку и пробуйте - и полноценно, и не заражая основную. Да и в целом гранату взрывать в шкафе не опасно, пусть и не гранату, а по вашему мнению всего лишь петарду? Петарда гранатой может оказаться - выйдет за пределы песочницы, такое случается. В конечном итоге антивирус - эксперт, он должен отвечать на вопросы, поэтому и убирают со временем весь этот допотопный хлам. А в корпоративе песочницы стали анализаторами, дающие ценные данные о поведении, либо для изоляции странного ПО на время, либо для изоляции от эксплойтов. 

Edited by Threat#47

Share this post


Link to post
1 час назад, Threat#47 сказал:

Поведение рисуется по API: создано то, вызвано это. Разве нет?

Нет. HIPS в исполнении ЛК заточен на детект вида "открытие процесса на запись" или скажем "создание .exe-файла в системных каталогах.
SW же специализируется на комплексном поведении, вида "если процессом, запущенным браузером с сайта из серой зоны создается файл в %TEMP% и запускается, при этом запущенный файл пытается перезаписать MBR, то это WinLocker"

Для того чтобы рулить первым компонентом, нужно иметь вполне определенные знания о устройстве системы, тогда как второй - обычный монитор, ничем не отличающийся с точки зрения пользователя от файлового.

 

1 час назад, Threat#47 сказал:

Неужели вы реально думаете, что для банальщины сделали целое название и кнопку включения, если итак всё можно было включить и ходить недалеко.

Зачем думать? Я это просто знаю. Много чего можно просто так включить. Тот же Родительский контроль построен по сути на Анти-Банере и Веб-Антивирусе. Но все же управлять данной функцией лучше из Родительского контроля, ибо скажем планировщик времени нахождения в онлайн в Веб-Антивирусе был бы несколько чужеродным.

Так и HIPS - его в тех или иных пределах тоже можно "понастроить", дабы использовать только разрешенное ПО, но нажать одну кнопку таки удобнее. Да и вернее, т.к. эта кнопка отвечает не только за запускаемые модули ПО, но также проверяет и используемые ими библиотеки и драйвера.

 

1 час назад, Threat#47 сказал:

И зачем это, интересно, если можно и без этого выяснить экспертными методами что, да как?

А зачем это выяснять, если можно просто работать за ПК, не особо переживая насчет заражения? Или Вы предлагаете моему отцу в его 74 установить вируталку, и проверять на ней поведение файлов?
Да, песочницей пользоваться - нужно чуток попривыкнуть, но это куда как проще сделать, чем изучить по сути устройство ОС, несколько сервизов проверки репутации, и виртуальные машины.

Edited by Maratka

Share this post


Link to post
32 минуты назад, Maratka сказал:

А зачем это выяснять, если можно просто работать за ПК, не особо переживая насчет заражения? Или Вы предлагаете моему отцу в его 74 установить вируталку, и проверять на ней поведение файлов?
Да, песочницей пользоваться - нужно чуток попривыкнуть, но это куда как проще сделать, чем изучить по сути устройство ОС, несколько сервизов проверки репутации, и виртуальные машины.

Ну если отец так любит юзать всё подряд и терпеть не может запреты режима безопасного ПО или UAC-а Windows, то да, ничего другого и не выдумать для него. 

 

36 минут назад, Maratka сказал:

Так и HIPS - его в тех или иных пределах тоже можно "понастроить", дабы использовать только разрешенное ПО, но нажать одну кнопку таки удобнее. Да и вернее, т.к. эта кнопка отвечает не только за запускаемые модули ПО, но также проверяет и используемые ими библиотеки и драйвера.

По режиму вот здесь всё расписано подробно: https://eugene.kaspersky.ru/2013/09/09/kaspersky-internet-security-2014-trusted-applications-control-mode-default-deny-feature/ 

Share this post


Link to post
57 минут назад, Threat#47 сказал:

По режиму вот здесь всё расписано подробно: https://eugene.kaspersky.ru/2013/09/09/kaspersky-internet-security-2014-trusted-applications-control-mode-default-deny-feature/ 

Именно это я и имел в виду выше, когда написал, что это всего лишь один из режимов работы HIPS.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.