Най-добрият експерт HIPS (проактивна защита). Как работи системата за предотвратяване на проникване (HIPS)?

В това сравнително тестване анализирахме популярни персонални антивируси и защитни стени, които включват компоненти HIPS (системи за предотвратяване на проникване в хост) за способността да предотвратяват проникването на зловреден софтуер в нивото на ядрото (наричано по-нататък пръстен 0) на операционната система. системи на Microsoft Windows. Ако зловреден софтуер успее да проникне в нивото на ядрото, той получава пълен контрол над компютъра на жертвата.

Резюме:

Въведение

Технологиите за анализ на поведението и системите за предотвратяване на проникване в хостове (HIPS) набират популярност сред производителите на антивируси, защитни стени и други средства за защита срещу зловреден код. Основната им цел е да идентифицират и блокират злонамерени дейности в системата и да я предотвратят от заразяване.

Най-трудната задача за защита в този случай се свежда до предотвратяване на проникването на злонамерени програминиво на ядрото на операционната система (Kernel Level), работещо в „нулевия пръстен на процесора“ (Ring 0). Това ниво има максимални привилегии при изпълнение на команди и достъп до изчислителните ресурси на системата като цяло.

Ако злонамерена програма успее да проникне в нивото на ядрото, това ще й позволи да получи пълен и по същество неограничен контрол над компютъра на жертвата, включително способността да деактивира защитата и да скрие присъствието си в системата. Злонамерена програма може да прихваща информация, въведена от потребителя, да изпраща нежелана поща, да извършва DDoS атаки, да заменя съдържанието на заявките за търсене и да прави каквото и да е друго, въпреки официално работещата антивирусна защита. Следователно става особено важно за съвременните мерки за сигурност да се предотврати проникването на зловреден софтуер в Ring 0.

В това тестване сравнихме популярни антивируси и защитни стени, които включват HIPS компоненти, за да определим способността да се предотврати проникването на зловреден софтуер в нивото на ядрото (наричано по-нататък пръстен 0) на операционната система Microsoft Windows XP SP3.

Избор на зловреден софтуер за тестване

Решихме да не симулираме проникване в Ring 0 с каквито и да е изкуствени средства, а да проведем тест върху реален зловреден софтуер. Освен това, последните са избрани по такъв начин, че да покрият всички използвани методи за запис в Ring 0, които всъщност се използват в „дивото“ (In The Wild):

1. StartServiceA- злонамерен драйвер се изтегля чрез замяна на файла на системния драйвер в директорията %SystemRoot%\System32\Drivers и след това изтеглянето му. Позволява ви да заредите драйвера, без да променяте системния регистър.
   Поява на ITW: високо
2. SCM- използване за регистриране и зареждане на драйвера за управление на услугата. Този метод се използва както от законни приложения, така и от зловреден софтуер.
   Поява на ITW: високо
3. Известни Dlls- модификация на секцията \KnownDlls и копие на една от системните библиотеки с цел зареждане на зловреден код от системния процес.
   Поява на ITW: средно
4. RPC- създаване и зареждане на драйвер чрез RPC. Пример за употреба: товарач на известния Rustock.C
   Поява на ITW: рядко
5. ZwLoadDriver- подмяна на системния драйвер със злонамерен, като го преместите и след това го изтеглите директно.
   Поява на ITW: високо
6. ZwSystemDebugControl- премахване на прихващания, инсталирани от HIPS за наблюдение на системни събития в SDT, използвайки привилегии за отстраняване на грешки.
   Поява на ITW: високо
7. \ устройство\ Физическа памет- премахване на прихващания, инсталирани от HIPS за наблюдение на системни събития в SDT, като се използва запис в секцията с физическа памет.
   Поява на ITW: средно
8. ZwSetSystemInformation- зареждане на драйвера без създаване на ключове в системния регистър чрез извикване на ZwSetSystemInformation с параметъра SystemLoadAndCallImage.
   Поява на ITW: средно
9. CreateFileA\\.\PhysicalDriveX- четене/запис на диск сектор по сектор (модифициране на файлове или главен зареждащ запис на диска).
   Поява на ITW: средно

По този начин бяха избрани девет различни злонамерени програми, които използваха горните методи за проникване в Ring 0, които след това бяха използвани при тестване.

Методология за сравнителен анализ

Тестването беше проведено под VMware Workstation 6.0. За теста бяха избрани следните персонални инструменти за антивирусна защита и защитни стени:

1. PC Tools Firewall Plus 5.0.0.38
2. Jetico Personal Firewall 2.0.2.8.2327
3. Онлайн Armor Personal Firewall Premium 3.0.0.190
4. Kaspersky Internet Security 8.0.0.506
5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
6. Comodo Internet Security 3.8.65951.477

За съжаление по технически причини антивирусите F-Secure и Norton бяха изключени от теста. Вграденият в тях HIPS не работи отделно от активирания антивирусен монитор. И тъй като избраните образци на злонамерен софтуер могат да бъдат открити чрез сигнатура, те не могат да бъдат използвани. Не беше подходящо да се използват тези антивируси със стари антивирусни бази данни (за да се избегне откриване на сигнатури), т.к Процесът на актуализиране в тези продукти може да засегне не само антивирусните бази данни, но и изпълними модули (компоненти за защита).

Защо тествахме други популярни антивирусни продукти и защитни стени, от които има много? Да, защото нямат HIPS модул. Без това те обективно нямат шанс да предотвратят проникването в ядрото на ОС.

Всички продукти бяха инсталирани с максимални настройки, ако можеха да бъдат зададени без фини ръчни промени в настройките на HIPS. Ако по време на инсталацията режимът на автоматично обучение е бил предложен за използване, той е бил използван до стартирането на зловреден софтуер.

Преди тестването беше стартирана легитимната помощна програма cpu-z (малка програма, която отчита информация за процесора, инсталиран в компютъра) и беше създадено правило, което предлага тествания продукт (неговия HIPS компонент). След създаването на правило за тази помощна програма режимът на автоматично обучение беше изключен и беше създадена моментна снимка на състоянието на системата.

След това злонамерен софтуер, специално избран за теста, беше стартиран един по един, реакцията на HIPS към събития, свързани директно с инсталирането, регистрацията, зареждането на драйвери и други опити за запис в Ring 0, беше записана, както и в други тестове, преди проверка на следващия зловреден софтуер , системата беше върната към запазената в началото на снимката.

В антивирусите, участващи в теста, файловият монитор беше деактивиран, а в Kaspersky Internet Security 2009 злонамереното приложение беше ръчно поставено в слаби ограничения от ненадеждната зона.

Стъпки на тестване:

1. Създайте моментна снимка на чиста виртуална машина (основна).
2. Инсталиране на тествания продукт с максимални настройки.
3. Работа в системата (инсталиране и стартиране на приложения на Microsoft Office, Adobe Reader, Internet Explorer), активиране на режим на обучение (ако има такъв).
4. Маркиране на броя съобщения от тествания продукт, стартиране на легитимната помощна програма cpu-z и създаване на правила за нея.
5. Деактивирайте режима на автоматично обучение (ако е наличен).
6. Прехвърляне на тествания продукт в интерактивен режим и създаване на друга моментна снимка на виртуалната машина с инсталирания продукт (спомагателен).
7. Създайте моментни снимки за всички тествани продукти, като се върнете към основната снимка и повторете стъпки 2-4.
8. Избиране на моментна снимка с тествания продукт, зареждане на операционната система и стартиране на злонамерени програми една по една всеки път с връщане към първоначалното им състояние, наблюдение на реакцията на HIPS.

Резултати от бенчмарк

плюсв таблицата означава, че е имало HIPS реакция на определено събитие от страна на злонамерената програма да проникне в Ring 0 и е имало възможност да спре това действие.

Минус- ако злонамереният код е успял да влезе в Ring 0 или е успял да отвори диска за четене и запис сектор по сектор.

Таблица 1: Резултати от сравнителни тестове на HIPS компоненти

Метод за проникване в пръстен 0	PC инструменти	Джетико	Онлайн броня	Kaspersky	Агнитум	Комодо
StartServiceA	-	+	+	+	-	+
SCM	-	+	+	+	-	+
Известни Dlls	-	+	+	-	+	+
RPC	-	+	+	+	-	+
ZwLoadDriver	+	-	+	+	-	+
ZwSystemDebugControl	-	+	+	+	+	+
\Устройство\Физическа памет	+	+	+	+	+	+
ZwSetSystemInformation	-	+	+	+	+	+
CreateFileA\\.\PhysicalDriveX	-	-	+	+	+	+
Общо спряно:	2	7	9	8	5	9
Брой сигнали и заявки за действие от страна на потребителя	Малцина	Толкова много	Много	Малцина	Средно аритметично	Много

Струва си да се отбележи, че ако режимът на обучение е напълно деактивиран, някои от тестваните продукти (например Agnitum Outpost Security Suite 6.5) може да покажат по-добри резултати, но в този случай потребителят гарантира, че ще срещне голям брой различни предупреждения и реални затруднения при работа в системата, което се отрази при подготовката на методиката за този тест.

Както показват резултатите, най-добрите продукти за предотвратяване на проникването на зловреден софтуер на ниво ядро ​​на ОС са Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Трябва да се отбележи, че Online Armor Personal Firewall Premium е усъвършенствана защитна стена и не съдържа класически антивирусни компоненти, докато другите два победителя са цялостни решения от клас Internet Security.

Недостатъкът и отрицателната страна на работата на всички HIPS компоненти е броят на различни съобщения, които показват и искания за действия от страна на потребителя. Дори и най-търпеливият от тях ще откаже надежден HIPS, ако го притеснява твърде често със съобщения за откриване на подозрителна дейност и искания за незабавна реакция.

Минималният брой заявки за действие от страна на потребителя беше наблюдаван в Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Останалите продукти често бяха досадни с предупреждения.

„Поведенческият анализ е по-ефективен начин за предотвратяване на инфекция от неизвестен зловреден софтуер, отколкото евристични методи, базирани на анализ на кода на изпълними файлове. Но от своя страна те изискват определени познания от страна на потребителя и неговата реакция на определени събития в системата (създаване на файл в системната директория, създаване на ключ за стартиране от неизвестно приложение, модифициране на паметта на системен процес и др. .),” коментари Василий Бердников, експерт по сайта.

„В това сравнение бяха избрани най-известните продукти с HIPS на борда. Както можете да видите, само три продукта успяха да предотвратят адекватно проникването в нулевия пръстен. Друг много важен параметър е броят на съобщенията (сигнали), които се появяват по време на ежедневна работа на компютър и изискват решение на потребителя. Тук се определя и технологичното предимство на продуктите – да контролират максимално системата и в същото време да използват всички видове технологии, за да намалят броя на въпросите, задавани от HIPS при стартиране и инсталиране на програми“, отбелязва експертът .

Всеки ден се появяват нови вируси, шпионски софтуер и модули, които показват реклами. Работата без антивирус е подобна на самоубийство: ако по-рано въпросът звучеше като „Ще се заразите ли или не?“, сега звучи като „Колко бързо ще се заразите?“ Колкото по-активно потребителят прекарва време в интернет, изтегляйки файлове, посещавайки съмнителни сайтове, толкова по-голяма е вероятността от заразяване на компютъра. Файловете, получени от мрежи за обмен, са особено опасни. Именно тези мрежи, заедно със спама, се използват за разпространение на нови вируси. И в този случай антивирусите се отказват: все още няма подписи в техните бази данни, те предават изтеглените файлове като „чисти“. Само след като стартира такъв файл, потребителят може, въз основа на косвени признаци (внезапно появяващ се голям изходящ трафик, странни съобщения на екрана, намалена производителност на компютъра, работеща програма, която не изпълнява функциите, за които се предполага, че е създадена и т.н.), предполагам, че компютърът е заразен. Повечето потребители няма да забележат нищо и стартирането на антивирусен мониторинг ще създаде фалшиво чувство за сигурност. Само няколко часа, а понякога и дни, след като описанието на новия вирус бъде добавено към антивирусните бази данни, след като антивирусът изтегли и инсталира актуализации, новият вирус може да бъде открит. И едва след това ще започне компютърното лечение. И през тези дни или часове компютърът разпространяваше нов вирус със скоростта на интернет връзка, изпращаше спам, използваше се за извършване на атаки срещу сървъри, с други думи, имаше зомби, което се присъедини към армията от същите зомбита , внасяйки още една капка хаос в мрежата.

На този етап от развитието на компютърните технологии ние се доближаваме до разбирането, че настоящите технологии за откриване на вируси, използването на антивирусни бази данни със сигнатури, не са ефективни. При сегашната скорост на разпространение на файлове в интернет (мрежи за обмен, спам), антивирусите винаги ще бъдат в ролята на догонващи.

Съвсем наскоро авторът на тази статия ръчно почисти компютъра от нов вирус, който не беше открит от антивирусната програма, инсталирана на компютъра на потребителя. По очевидни причини няма да назова производителя на антивирусна програма, много известна и успешна компания в целия свят. След като вирусната библиотека беше открита, тя беше сканирана от всички налични антивируси с най-новите бази данни с описание. Никой, с изключение на Dr.Web, не намери нищо опасно в библиотеката. Вирусът обаче успешно събра информация за адресите на сайтовете, посетени от потребителя, неговите потребителски имена и пароли, въведени на тези сайтове, и след това изпрати събраната информация на автора на вируса. Съдейки по механизма на заразяване, компютърът е бил заразен при посещение на сайт и много вероятно източникът на вируса е банер, показан на една от страниците (проучване на хронологията на сърфиране в браузъра не разкри престъпление в списък).

Още по-депресиращо е заразяването на компютър с вирус, който изпраща нежелана поща на имейл адресите на домейна Microsoft.com, отваря слушащ порт и съобщава на своя автор IP адреса и порта на готов за използване прокси сървър. Преди да отвори порта, вирусът буквално разруши защитната стена, вградена в Windows XP SP2, изтривайки цялата информация за услугата в системния регистър. След като вирусната библиотека беше открита, тя беше сканирана от няколко от най-популярните антивируси. Само Dr.Web и Kaspersky Anti-Virus го идентифицираха като вирус. Две известни и популярни западни антивируси все още не откриват този файл, въпреки факта, че, съдейки по информация от търсачките, първите съобщения за този вирус се появиха в интернет преди 4 месеца.

Има огромен брой такива примери. Днес има разбиране, че антивирусите в сегашния си вид нямат бъдеще. Това е задънена улица. Разликата във времето между появата на нови вируси и добавянето на техните сигнатури към антивирусните бази данни само ще се увеличи, което неизбежно ще доведе до нови вълни от вирусни епидемии. Небрежното отношение на западните антивирусни компании към търсенето на нови вируси и добавянето на техните описания към базите данни води до фалшиво чувство за сигурност у потребителя. В резултат на това може да бъде вредата от такова „отпускане“ на потребителя Опо-голямо от работата без антивирусна програма изобщо, когато потребителят ще се замисли сто пъти дали да работи под акаунт с администраторски права и дали да отваря прикачени файлове от писмо от неизвестен подател, предлагащо да стартира прикачен файл.

В допълнение към самите вируси активно се разпространяват няколко други вида злонамерен софтуер: шпионски софтуер - който събира и изпраща информация за потребителя, рекламен софтуер - който самостоятелно отваря прозорци на браузъра с реклами и т.н. Този софтуер не се класифицира като вирус, защото не уврежда директно вашия компютър или данни. Въпреки това, когато се зарази, потребителят изпитва дискомфорт и е принуден да инсталира освен антивирусната програма и друг вид софтуер за борба с шпионския и рекламния софтуер. Този тип софтуер, подобно на антивирусната програма, има собствена база данни с описания на злонамерени обекти, които търси и унищожава в системата.

Абсолютно същата ситуация се наблюдава и при борбата със спама. Ако по-рано всъщност единственото средство за борба бяха „черните списъци“ на сървъри или дори цели подмрежи, от които се изпраща спам, днес все повече администратори са убедени, че технологията на „черните списъци“ става остаряла. Той е твърде бавен, не е гъвкав и изисква много усилия от администратора на списъка, за да поддържа уместност. Много често поради двама или трима спамери, които са закупили комутируем достъп за поща, цели подмрежи на доставчици попадат в черен списък, след което пощата от потребители от тези подмрежи започва да се маркира като спам и да се филтрира от получателите. В резултат на това сме свидетели на нарастващо разпространение на интелигентни системи за оценка на съдържанието на имейлите. Системи, които могат да „четат“ писмо, включително заглавки на услуги, извършват серия от проверки и правят заключение: това е спам или не. Безопасно е да се каже, че след няколко години тази анти-спам технология напълно ще замени използването на черни списъци.

Ние тихомълком губим войната: появяват се нови и нови заплахи и вместо да се подобряват и създават нови технологии за борба с тях, методът за описване и разпространение на бази данни с описания се изкоренява.

За щастие, първите стъпки за коригиране на ситуацията се правят и се появява нов клас програми за цялостна защита на компютъра както от вируси, така и от различни видове рекламен шпионски софтуер, който не използва бази данни с описания. Подобно на антиспама, това е вид интелигентен алгоритъм, който следи действията на стартираните приложения. Ако някои действия изглеждат опасни за алгоритъма, той ги блокира. Човек може да спори дълго време за твърде голямата независимост на такива програми, но няма алтернатива. Нека е по-добре да имате няколко фалшиви положителни резултати, отколкото десетки мегабайта трафик за актуализиране на антивирусни бази данни и 2-3 приложения, които са постоянно в паметта, намаляват производителността на файловите операции и изискват значителни системни ресурси.

В този преглед ще се запознаем с един от представителите на нов клас програми за проактивна компютърна защита: Defense Wall HIPS. Нестандартен подход към борбата със зловреден софтуер, лекота на настройка и незабележима работа отличават този продукт от масата на другите. Не изтегля никакви бази данни с описания. Вместо това потребителят самостоятелно определя приложенията, чрез които заразен файл може да бъде получен на компютъра. По подразбиране ненадеждните приложения включват популярни имейл клиенти, браузъри и някои системни помощни програми (ftp.exe). Така се създава списък с всички „врати“, през които може да проникне заразен файл.

Всеки файл, получен от мрежата чрез ненадеждно приложение, ще бъде маркиран като ненадежден от Defense Wall HIPS. След стартиране на такъв файл, всички действия, които изпълняваното приложение предприема в системата, ще бъдат регистрирани, т.е. потребителят винаги ще има възможност да види, например, списък с ключове в регистъра, създадени от работещото приложение и да изтрие ги с натискането на един бутон.

Уебсайт на програмата
Размерът на разпространението е 1,2 мегабайта.
Цена Defense Wall HIPS 500 рубли Монтаж

Монтажът на Defence Wall HIPS се извършва от майстор. По време на нейната работа трябва да се съгласите с условията на лицензионното споразумение, да изберете папката за инсталиране на програмата и да изберете режим на работа между експертен и нормален. Компютърът трябва да се рестартира, за да завърши инсталацията.

Разликите между експертния режим на работа и нормалния режим на работа са значителни: в нормалния режим на работа всички файлове, които са създадени от ненадеждно приложение, автоматично се добавят към списъка с ненадеждни. В експертен режим никакви файлове не се добавят автоматично към списъка с ненадеждни файлове - това трябва да се направи ръчно от потребителя. Препоръчително е да работите в нормален режим.

След рестартирането ще се покаже прозорецът за регистрация на продукта.

Ако програмата е закупена, за да я регистрирате, можете да въведете ключа, получен от разработчика. В демо режим програмата ще работи 30 дни без ограничаване на функционалността

Програмата добавя икона в трея, с която можете да промените режимите на работа и да отворите главния прозорец.

Център за почистване

Центърът за почистване предоставя бърз достъп до преглед на следи от ненадеждни приложения.

С помощта на бутона Следи на диска и в системния регистърМожете да видите списък с всички промени, направени от ненадеждни приложения.

Тази екранна снимка изброява ключовете в системния регистър, създадени от FAR, и файла text.txt, който е създаден от командния ред. Вдясно от списъка има бутони, с които можете да управлявате промените. За съжаление от имената изобщо не става ясно какво действие ще извърши програмата след натискане на бутона. Целта на бутоните става повече или по-малко ясна, след като прочетете подсказките, които се появяват над бутоните, ако задържите показалеца на мишката върху тях. Невъзможно е да се извика системата за помощ за елементите на този прозорец: няма нито бутон Помощ във формуляра, нито бутон в заглавието на прозореца.

Първият бутон е Приберете- премахва ред от списъка. Промените, направени от процеса (ключове в регистъра, файлове), не се изтриват.

Бутон Изтрийви позволява да отмените извършена промяна: изтрийте ключ в системния регистър, папка или файл, създадени от приложението.

Бутон Връщане назадви позволява да отмените няколко извършени промени наведнъж. За да направите това, трябва да изберете запис и да натиснете бутона. Всички промени, от първите до избраните, ще бъдат отменени (ключовете в регистъра, файловете и папките ще бъдат изтрити).

Премахнете всичкови позволява да изчистите списъка.

Когато извършвате връщане назад, Defense Wall HIPS ви моли да потвърдите извършеното действие.

В тази заявка няма бутони Изтрийте всичкоИ Отмяна на връщане назад. Ако е направен опит за връщане назад на 50, например промени, тогава на такава заявка ще трябва да се отговори 50 пъти.

Записите в списъка нямат контекстно меню с десен бутон. Вместо да щракнете двукратно, за да отворите редактора на системния регистър и да видите създадения ключ или да стартирате Explorer, трябва да ги стартирате ръчно и да потърсите файла или ключа.

Регистърът на промените не се актуализира автоматично. Ако ненадеждно приложение създаде ключ в системния регистър, докато списъкът е отворен, тогава новият запис в списъка ще бъде показан само след затваряне и отваряне на списъка.

За да изтриете обекти, създадени от ненадеждно приложение, трябва да затворите всички ненадеждни приложения. Например, ако браузърът, мрежовият клиент за обмен и FAR са отворени (и всички те са включени в списъка с ненадеждни приложения), тогава, за да изтриете ключа на регистъра, създаден от FAR, ще трябва да затворите и двете клиента и браузъра.

Вторият бутон в раздела Център за почистване ви позволява да видите списъци с надеждни и ненадеждни процеси, изпълнявани в системата.

В този прозорец няма опция за преместване на процес от списъка с надеждни в списък с ненадеждни. Освен това можете да прекратите всеки процес, изпълняван в системата.

Малко вероятно е необучен потребител да бъде доволен от такъв екран. Да не говорим за факта, че в момента, в който winlogon.exe приключи, потребителят може да има отворени файлове, върху които е работил дълго време, но не е имал време да запази промените.

Трети бутон в Центъра за почистване голям размер и червен цвят. Резултатът от натискането му съответства на оцветяването - независимо колко и какви ненадеждни процеси (браузър, имейл клиент) са стартирани - всички те ще бъдат завършени без никакви предупреждения и без запис на данни.

Добавяне или премахване на ненадеждни

Този списък съдържа всички ненадеждни приложения, открити на компютъра по време на инсталирането на Defense Wall HIPS. Списъкът с приложения, които по подразбиране се считат за ненадеждни от програмата, е доста широк: включва най-популярните браузъри, имейл клиенти, клиенти за незабавни съобщения и т.н. Към списъка могат да се добавят всякакви процеси, папки или приложения, с изключение на системните. Например explorer.exe не може да се добави.

При натискане на бутона ПриберетеОтваря се меню, чрез чиито елементи приложението може да бъде премахнато от списъка или можете временно да го изключите, като го направите надеждно. Бутон Колко надежден.ви позволява да стартирате екземпляр на приложение от списъка като доверен. С помощта на бутона Пързалям се на гореЗаписите в списъка могат да се местят. Не беше възможно да се разбере защо трябва да се направи това и защо няма бутон Преместване надолу (няма подсказки или споменавания в помощта).

Събитията, причинени от ненадеждни процеси, се записват в дневника. В този раздел можете да ги видите и, ако е необходимо, с помощта на филтър, да оставите в списъка събития, причинени от работата на определен процес. Както в предишния случай, събитията, които се случват, докато списъкът е отворен, не се включват в него. За да ги видите, трябва да затворите и отворите прозореца.

Затворени файлове

Всяко ненадеждно приложение няма да има достъп до всички файлове и папки, изброени в този списък. Интеграция

Defense Wall HIPS създава група преки пътища в контекстното меню на Explorer. Като щракнете с десния бутон върху който и да е файл или папка, можете бързо да извършите основни действия върху тях.

Когато се стартират ненадеждни приложения, към заглавието им се добавя статус.

Тестване

Първата стъпка беше опит да се заобиколи забраната за добавяне на системни процеси към списъка с ненадеждни приложения. След добавяне към Ненадеждни приложения Windows папки, всички стандартни приложения започнаха да се стартират като ненадеждни.

Клондайк - ненадеждно приложение

Както може да очаквате, Explorer, който не може да бъде добавен към списъка с ненадеждни чрез елемент от менюто Добавете приложение към ненадеждно, загуби доверие в Defence Wall HIPS. В менюто "Старт" елементите Run, Search, Help и Support спряха да работят. Notepad започна да създава ненадеждни файлове и след връщане назад на промените и съгласие с изискването първо да затвори всички ненадеждни приложения, обвивката се рестартира.

След като обвивката се рестартира, Windows поиска да постави компактдиск, за да възстанови файловете. За да не се влоши ситуацията, беше решено да се откаже възстановяването на файлове. Списъкът с ненадеждни процеси след рестартиране на Explorer е показан на фигурата по-долу.

Естествено, натискайки големия червен бутон Прекратете всички ненадеждни процесидоведе до BSOD, тъй като winlogon.exe беше включен в ненадеждния списък. По време на рестартиране Windows съобщи, че:

След щракване Добре Windows премина в циклично рестартиране със същото съобщение на всеки ход. За да възстановя, трябваше да стартирам в безопасен режим, да намеря настройките на Defense Wall HIPS в системния регистър (самата програма не работи в този режим, защото услугата й не се зарежда) и да изтрия папката на Windows от списъка с ненадеждни. След това операционната система стартира нормално в нормален режим.

Беше решено да проверим какво ще се случи, ако добавим папката, в която е инсталиран Defense Wall HIPS, към списъка с ненадеждни.

Рецептата за лечение е същата: премахване на папката Defense Wall HIPS от списъка с ненадеждни папки чрез редактиране на системния регистър.

По същество това са малки забележки по интерфейса на програмата, които могат да бъдат премахнати от автора без проблеми. На следващия етап беше тествана основната функция на програмата: наблюдение на активността на процесите и маркиране на създаваните от тях файлове като ненадеждни.

Беше написан vbs скрипт за извършване на теста. Той имитира поведението на вируса и извършва следните действия:

• Изтрих секцията в регистъра, където се съхраняват настройките на защитната стена, списъкът с ненадеждни приложения и дневникът на техните действия.
• Изтеглих малък изпълним файл dwkill.exe от сайта.
• Процесът беше прекратен от defendwall.exe (конзола за управление).
• Създадена задача на Windows Scheduler, която стартира помощната програма dwkill.exe под акаунта SYSTEM, след като потребителят влезе.

Тази последователност от действия е определена след дълго и задълбочено проучване на механизмите на работа на защитната стена. Ясно е, че този скрипт е фокусиран върху работата с Defense Wall и едва ли ще се използва от вируси до масовото разпространение на продукта на пазара. Този скрипт обаче разкри няколко съществени недостатъка в работата на Defense Wall:

• Списъкът с ненадеждни приложения може лесно да бъде изчистен. След първото рестартиране всички предварително изтеглени и изпратени по имейл файлове ще започнат да се изпълняват като надеждни файлове.
• Списъкът с действия на ненадеждни приложения също може да бъде изтрит, което прави невъзможно връщането назад на промените.
• След стартиране на скрипта и първото рестартиране е възможно да стартирате всяко приложение като надеждно.

Освен това беше открит много неприятен проблем: при преместване на ненадежден файл от една папка в друга, той се премахваше от списъка с ненадеждни файлове и съответно се стартираше от новата папка като надежден.

Помощният файл на Defense Wall съдържа много правописни и грешки.

Въпреки всички сериозни недостатъци, програмата заслужава внимание. Бих искал да вярвам, че авторът ще коригира грешките и ще разшири функционалността. В идеалния случай виждаме създаването на модул, който ще прихване целия мрежов трафик, ще определи приложението, което го създава, и ако е ново, след заявка към потребителя, ще го добави към списъка с надеждни или ненадеждни. Въз основа на резултатите от тестването е очевидно, че всички настройки на програмата трябва да се съхраняват не в системния регистър, а в собствената база данни на Defense Wall. Услугата трябва да защити своето зареждане чрез проверка за подходящи ключове в системния регистър, когато е спряна.

Въпреки това Defense Wall HIPS изпълнява основните си функции: ненадеждно приложение не може да създава или променя ключове в системния регистър и не може да изтрива или презаписва файлове. Както показа тестването, тази защита във версия 1.71 на програмата е доста проста.

Продължавайки нашата дискусия за 3D печат на пластмаси, нека насочим вниманието си към HIPS. Какви са неговите характеристики? За какво е най-добро? Познаването на отговорите на тези въпроси, както и на някои от нюансите, обсъдени по-долу, може да добави към вашия арсенал от знания за 3D принтирането, което в крайна сметка ще ви помогне да постигнете оптимални резултати. И така, какво е HIPS?

Състав на HIPS влакна

Удароустойчивият полистирен (HIPS) е термопластичен полимер. Получава се чрез добавяне на полибутадиен към полистирол по време на полимеризация. В резултат на образуването на химически връзки полистиролът придобива еластичността на бутадиеновия каучук и се получава висококачествена, издръжлива и еластична нишка.

Предимства на HIPS като материал за печат

Много от характеристиките на HIPS са подобни на тези на ABS, PLA или SBS, но се различават към по-добро:

• Материалът не абсорбира влага, понася по-добре условията на околната среда и не се разлага. Съхранява се по-дълго при отваряне без опаковка.
• Мека, по-добре податлива на механична последваща обработка.
• Лекотата и ниската водопоглъщаемост позволяват при определени условия да се създаде обект, който не потъва във вода.
• Небоядисаният HIPS има ярко бял цвят, което му придава естетически предимства. Матовата текстура визуално изглажда наслояванията и грапавините на щампата.
• От него се правят пластмасови прибори. Още по-важен е фактът, че е безвреден за хората и животните и не е канцерогенен.

Приложение на HIPS като основен печатен материал

След като обектът HIPS бъде отпечатан, той може да бъде шлайфан, грундиран и боядисан, за да му се придаде желания вид. Ако сравним характеристиките на HIPS на този последен етап, трябва да се отбележи, че всички процедури, свързани с последващата обработка - довършителни работи, шлайфане, полиране и т.н. - се извършват изключително лесно върху този материал. Получените части и предмети, които са създадени само с помощта на тази нишка, са здрави и умерено пластични и преди всичко доста леки. HIPS е по-мек и гладък материал, по-лесен за обработка механично, за разлика от PLA или ABS. Когато използвате HIPS пластмаса, препоръчваме да включите издухването на дюзата (охлаждане), това ще позволи на слоевете да се втвърдят равномерно и отпечатаната повърхност ще бъде по-гладка.

Моделите са с щампа HIPS пластмаса

HIPS като поддържащ материал, разтворимост на HIPS

HIPS е разтворим в лимонен, безцветен течен въглеводород със силна цитрусова миризма. Тъй като те (HIPS и лимонен) не взаимодействат по никакъв начин с ABS, HIPS е отличен за изработване на опори и е много по-евтин от PVA.

Използване на HIPS за създаване на сложни форми.

Ако принтерът има два екструдера, просто добавете ABS макара и HIPS макара и сте готови да печатате сложни дизайни, които биха били трудни за постигане с друг поддържащ материал. Между другото, можете да закупите проба от този материал от нас, проба HIPS с дължина 10 метра.

Добре е, когато печатате в различни цветове: по време на процеса на отстраняване на опорите от HIPS, това ще помогне да се гарантира, че те са напълно разтворени и остава само ABS обектът.

Какво обикновено се прави от HIPS в промишленото производство?

Много често от HIPS се правят играчки, както и опаковки, домакински консумативи и домакински уреди. Тъй като материалът е безвреден, от него често се правят прибори за еднократна употреба, както и чинии и чаши.

Екструдиране на нишки HIPS (опции за печат)

Правилната температура за работа с всякакви филаменти варира от принтер до принтер, но е по-добре да започнете да експериментирате с 230-260° C. Ако принтерът има отопляема платформа, когато печатате HIPS, задайте температурата върху нея на 100° C - това ще ви помогне да получите по-гладки и по-солидни предмети. Освен това, за да направите нещата още по-добри, опитайте да поставите полиамидна (каптонова) лента върху платформата, така че ивиците да не се пресичат.

Предпазни мерки при работа с HIPS

Въпреки че HIPS не е токсичен, по време на екструдирането той освобождава вещества, които могат да причинят дразнене на дихателните пътища и очите, така че се препоръчва печат в добре проветриво помещение.

Ако платформата на принтера е отворена, осигурете подходяща вентилация и винаги работете с изключително внимание. Незащитеният контакт с нагорещени вещества може да причини сериозни изгаряния на кожата.

Промените в системните параметри на HIPS трябва да се правят само от опитни потребители. Неправилната конфигурация на тези параметри може да доведе до нестабилност на системата.

Система за предотвратяване на проникване в хост (HIPS)Предпазва от злонамерен софтуер и друга нежелана дейност, която се опитва да повлияе негативно на сигурността на вашия компютър. Host Intrusion Prevention използва усъвършенстван анализ на поведението, комбиниран с възможности за откриване на мрежово филтриране, за да наблюдава работещи процеси, файлове и ключове в регистъра. Host Intrusion Prevention е различна от защитата на файловата система в реално време и не е защитна стена; той само следи процесите, изпълнявани в операционната система.

HIPS параметрите са налични в раздела Допълнителни настройки(F5) > Антивирусна > Система за предотвратяване на проникване в хоста > Основна информация. Състоянието на HIPS (активиран/деактивиран) се показва в главния прозорец на програмата ESET NOD32 Antivirus под Инсталиране > Компютърна защита.

използва вградена технология за самозащита, която не позволява на зловреден софтуер да повреди или деактивира защитата от вируси и шпионски софтуер. Благодарение на това потребителят винаги е уверен в сигурността на компютъра. За да деактивирате HIPS или самозащита, трябва да рестартирате Windows.

Разширен модул за сканиране на паметтаработи във връзка с блокер за експлойти, за да осигури подобрена защита срещу злонамерен софтуер, който може да избегне откриването от продукти против злонамерен софтуер чрез използване на обфускация или криптиране. Разширеният скенер на паметта е активиран по подразбиране. За повече информация относно този тип защита вижте речника.

Блокиране на експлойтипредназначени да защитават приложения, които обикновено са уязвими към експлойти, като браузъри, PDF четци, пощенски клиентии компоненти на MS Office. Блокирането на експлойти е активирано по подразбиране. За повече информация относно този тип защита вижте речника.

Налични са четири режима на филтриране.

Автоматичен режим: Всички операции са разрешени с изключение на тези, блокирани от предварително дефинирани правила, предназначени да защитят вашия компютър.

Интелигентен режим: Потребителят ще получава известия само за много подозрителни събития.

Интерактивен режим: Потребителят ще бъде подканен да потвърди транзакциите.

Режим, базиран на правила: Операциите са блокирани.

Режим на обучение: Операциите са активирани, като след всяка операция се създава правило. Правилата, създадени в този режим, могат да се видят в редактора на правила, но техният приоритет е по-нисък от този на правилата, създадени ръчно или в автоматичен режим. Ако режимът на обучение е избран от падащия списък с режим на филтър HIPS, опцията става достъпна Режимът на обучение ще приключи. Изберете продължителността на тренировъчния режим. Максималната продължителност е 14 дни. Когато посоченият период приключи, ще бъдете подканени да промените правилата, създадени от HIPS в режим на обучение. Можете също да изберете различен режим на филтриране или да отложите решението и да продължите да използвате режима на обучение.

Системата за предотвратяване на проникване на хоста следи събитията на операционната система и реагира съответно въз основа на правила, които са подобни на тези в личната защитна стена. Щракнете върху бутона Редактиране, за да отворите прозореца за управление на системните правила на HIPS. Тук можете да избирате, създавате, редактирате и изтривате правила.

Следващият пример ще ви покаже как да ограничите нежеланото поведение на приложението.

Принцип на работа на HIPS (базирана на хост система за предотвратяване на проникване): подробно описание. Общи настройки за HIPS и Auto-Sandbox в Comodo Internet Security 8. Viruscope

БЕДРА

HIPS режими

Когато компонентът HIPS е активиран, активността на програмата е ограничена според правилата. Първоначално наличните правила задават разрешения за някои системни програми, а в други случаи изискват запитване от потребителя. Потребителят може да добави свои собствени правила чрез интерфейса на раздела Правила на HIPS или те ще бъдат създадени чрез неговите отговори на предупреждения или автоматично, когато е активиран „Режим на обучение“. Можете да деактивирате предупрежденията, като посочите, че дейността винаги трябва да бъде разрешена или дейността винаги трябва да бъде отказана, ако няма правило.

Показването на програмни предупреждения зависи от програмата и нейния HIPS режим. В " Безопасен режим„Сигналите ще се издават само за неидентифицирани програми, докато на надеждните ще бъде дадено мълчаливо разрешение (при липса на забраняващо правило) да предприемат каквото и да е действие, освен да стартират неидентифицирано приложение. В параноичен режим ще се появяват сигнали за всички програми, независимо от репутацията.

В режим Clean PC се появяват предупреждения само за нови неидентифицирани програми, т.е. които преди това не са били на диска, а „старите“ се възприемат като надеждни в „Безопасен режим“. Режимът „Чист компютър“ работи по следния начин: от момента, в който този режим е включен, се следи създаването на нови програми, т.е. изпълними файлове. Ако новата програма е по-малка от 40 MB и няма „доверена“ репутация, тогава тя се въвежда като „неидентифицирана“. Само програмите от списъка „неидентифицирани“ ще имат ограничени права. Останалите програми, по-малки от 40 MB, ще бъдат възприемани като надеждни: те ще бъдат възприемани като такива от HIPS, Auto-Sandbox и защитната стена.

Режимът Clean PC е доста проблематичен и не препоръчвам да го използвате. По-специално, ако в този режим поставите нова неизвестна програма в директория и промените името й, тогава програмата ще се счита за „стара“, т.е. ще получат разрешителни. Можете обаче да приложите правилно работещ аналог на режима „Чист компютър“ в „Безопасен режим“, като добавите всички изпълними файлове към надеждните по начина, предложен в .

Как работи „Безопасен режим“ с активирана опция „Създаване на правила за безопасни приложения“, както и „Режим на обучение“. Работата в режим „Чист компютър“ е подобна на „Безопасен“, но се различава по това, че неидентифицираните файлове, които са били на диска преди включване на този режим, ще бъдат обработени подобно на надеждните („те ще бъдат доверени“ не само от HIPS, но също и от Auto-Sandbox и защитната стена).

Ще посоча специален случай: ако програмата се изпълнява във виртуална среда и/или с ограничения на Auto-Sandbox, тогава при липса на правило за разрешаване или отказ ще бъде дадено разрешение (подобно на опцията „Не показвай предупреждения : Разрешаване на заявки“). Във виртуална среда изобщо няма да има защита на файловете и регистъра, дори и при изрично зададени ограничения. Но, разбира се, на тази програмаи неговите дъщерни процеси ще бъдат насложени от виртуалната среда и/или Auto-Sandbox.

Управление на програмни права чрез известия

Ако изберете Разрешаване или Блокиране само в HIPS предупреждение, това разрешение или блокиране ще се прилага само за този конкретен ресурс. Например, ако позволите на приложение да създаде файла C:\test\A.exe, опитът за създаване на файла C:\test\B.exe отново ще доведе до предупреждение. За да позволите на приложение да създава всякакви файлове в директорията C:\test, ще трябва да редактирате правилото през прозореца с настройки на CIS. За съжаление, сигналите не предоставят разрешения за директории, шаблони, групи и т.н.

Беше отбелязано едно изключение: ако на дадена програма е разрешено чрез предупреждение да „промени потребителския интерфейс на друго приложение“, ще бъде създадено правило, което позволява на тази програма да изпраща съобщения в прозореца до всяко приложение, а не само до посоченото.

Въпреки това чрез предупреждение можете да приложите предварително създадена политика към приложението. Тези правила се създават в раздела HIPS > Набори от правила. Предварително зададената политика „Windows System Application“ позволява всяка дейност, политиката „Allowed Application“ позволява всяка дейност, но не регулира стартирането на дъщерни процеси; Политиката за изолирано приложение строго забранява всяка дейност; Политиката за ограничено приложение деактивира почти всичко с изключение на съобщенията в прозореца и монитора и не регулира стартирането на дъщерни процеси. Можете не само да създавате свои собствени правила, но и да променяте предварително зададени.

Разрешенията, ограниченията и правилата, присвоени на приложение чрез предупреждения, имат различни ефекти в зависимост от това дали опцията „Запомни моите избори“ е активирана в предупреждението. Ако активирате тази опция и изберете опцията „Разрешаване“ или „Блокиране само“, наборът от правила, присвоени на това приложение, ще се промени: то ще бъде добавено, за да разреши или блокира точно определен ресурс (файл, интерфейс и т.н.). Ако активирате опцията „Запомни моя избор“ и изберете някоя набор от правила— новите правила няма да се добавят към старите, а напълно ще ги заменят; тези. правилата, определени преди това за това приложение, вече няма да се прилагат. Ако няма HIPS правило за това приложение, то ще бъде създадено в горната част на списъка.

Ако деактивирате опцията „Запомни моите избори“ в предупреждение, разрешенията, ограниченията или правилата, присвоени на приложение, ще изтекат, когато приложението бъде прекратено или дори по-рано, и няма да настъпят промени в правилата. За да разберете логиката на това как работят тези временни правила, е удобно да си представите, че всеки път, когато се отговори на предупреждение (без да се помни), се създава „фантомен“ запис в списъка с правила на HIPS. Всички „фантомни“ записи се намират под „истинските“ записи в списъка с правила, но новите „фантомни“ записи се намират над други „фантомни“ записи. Това означава, че на едно и също приложение могат да бъдат зададени различни политики чрез предупреждения няколко пъти (без запомняне) и всички тези политики ще бъдат в сила. В този случай „истинските“ правила ще имат най-висок приоритет, след това най-новите от „фантомните“, след това по-ранните и т.н. Но веднага щом бъде създадено „истинско“ правило (със запаметяване), всички „фантомни“ правила за всички приложения ще бъдат унищожени.

Например, нека присвоим политиката „Изолирано приложение“ на някоя програма, без да я помним. По подразбиране на групата „Всички приложения“ е разрешено да променя временни файлове, така че тази програма все още ще може да го прави, въпреки че политиката за изолирано приложение го предотвратява. Ако присвоите тази политика със запомняне, промяната на временните файлове ще бъде забранена, тъй като в горната част на списъка ще бъде създадено ново HIPS правило.

Контрол на стартирането на програмата

Възможността за стартиране на всяка програма е определена в HIPS чрез правило за стартиранепрограма, а не за тази, която се стартира. В „параноичен режим“ стартирането на програми е разрешено тихо само ако има изрично разрешение в правилата (за). В „Безопасен режим“, при липса на правило, стартирането е разрешено, ако и стартираната, и стартираната програма имат „доверена“ репутация.

И така, нека приемем, че в "безопасен режим" HIPS програмата parent.exe работи и се опитва да стартира програмата child.exe. При липса на допълнителни правила стартирането ще се извърши тихо само ако и двете програми са надеждни. Ако програмата child.exe е неидентифицирана и правилата на HIPS за програмата parent.exe (или групата, която я съдържа) нямат разрешение да стартират програмата child.exe (или групата, която я съдържа), тогава независимо от HIPS правила за самата програма child.exe и независимо от оценката на програмата parent.exe, ще се появи предупреждение преди стартиране (и конкретно по отношение на програмата parent.exe).

По този начин, за да разрешите изпълнението на неидентифицирана програма, не е достатъчно да зададете разрешаващи правила за самата нея - родителският процес или, алтернативно, групата „Всички приложения“ се нуждае от разрешение, за да го стартира.

Ако искате да спрете стартирането на програмата, след като получите известие относно родителския процес, трябва да деактивирате опцията за запомняне и да изберете „Блокиране“ > „Блокиране само“.

внимание! Елемент „Блокиране и завършване на изпълнението“ в известието относно стартирането на програматаозначава изключване родителски процес. Също така, избирането на която и да е политика (т.е. набор от правила) в това известие ще я присвои конкретно на родителския процес. Съответно активирането на опцията „Запомни моя избор“ в такова предупреждение ще доведе до създаване/модифициране на HIPS правило за родителския процес. Типична грешка, допускана от потребителите, е изборът на политика в известието за програмата, стартирана от Explorer. Правилният курс на действие е първо да разрешите само стартирането и да изберете политиката в последващото известие за собствената дейност на програмата.

Важно е да знаете, че за разлика от Auto-Sandbox, в HIPS дъщерният процес не наследява ограниченията на родителя: позволяването на съмнителна програма да изпълнява програма, която има разрешения, ще компрометира сигурността.

Възможността за изпълнение на всяка програма се определя не само от правилата на HIPS, но и от . Стартирането ще бъде блокирано, ако поне един от тези компоненти го изисква. Ако стартирането е разрешено в правилата на HIPS и правилата на Auto-Sandbox изискват тази програма да бъде изолирана, тя ще се стартира изолирано.

Има някои изключения от описаната процедура. Първото изключение се отнася за програми, които вече са в пясъчна среда. Дъщерните процеси на тези програми ще бъдат изолирани по същия начин, без да подлежат на различни правила на Auto-Sandbox. Няма да има HIPS известия за тяхното стартиране: блокиране ще се извърши само ако има изрично забраняващо HIPS правило. С други думи, работата на HIPS за такива програми е подобна на активирането на опцията „Не показвай предупреждения: Разрешаване на заявки“.

Друго изключение са програмите, които имат привилегии за инсталиране. Техните дъщерни процеси не се подчиняват на правилата на Auto-Sandbox (това поведение) и не предизвикват HIPS предупреждения. Те са предмет само на изрични забрани в правилата на HIPS, като активираната опция „Не показвай предупреждения: Разрешаване на заявки“ (това поведение не може да бъде конфигурирано).

Третото изключение са програми, които имат правилото за действие „Игнориране“ в Auto-Sandbox с деактивирана опция „ “. Такива програми просто се изключват от контрола на Auto-Sandbox заедно с техните дъщерни процеси. Правилата на HIPS важат за тях както обикновено.

Автоматично създаване на HIPS правила в „Режим на обучение“ и „Безопасен режим“

В определени режими HIPS правилата се създават автоматично:

• ако „Режим на обучение“ е активиран и опцията „Не показвай известия“ е деактивирана или зададена на режим „Блокиране на заявки“, тогава активността на всички приложения ще бъде наблюдавана и ще бъдат създадени правила, които позволяват всяко от техните открити действия;
• Ако „Безопасен режим“ е активиран, опцията „Създаване на правила за защитени приложения“ е активирана и опцията „Не показвай известия“ е деактивирана или зададена на „Блокиране на заявки“, тогава ще бъдат създадени правила, които позволяват всяко открито действие на надеждни приложения.

В повечето случаи тези режими не са полезни и се използват само за тестване или подготовка за преминаване към параноичен режим.

Правилата за програма (или в „Режим на обучение“ или надеждни в „Безопасен режим“) се създават, както следва:

Типът на новото правило ще зависи от исканото действие:

• Когато една програма изпълнява друга, се създава правило за първата, което позволява изпълнението на конкретната програма.
• Когато програма модифицира файл или ключ на регистъра, който е посочен в раздела HIPS > Защитени обекти, типът на правилото ще зависи от това как е написан шаблонът на ресурса.
  • Ако в края на шаблона има | , тогава ще бъде създадено правило, което позволява промени конкретно на обекта, до който програмата е имала достъп. Например, програмата създава файл text.txt на работния плот. Съвпада с модела " ?:\Users\*\Desktop\*| " Това означава, че ще бъде създадено правило, което позволява промени във файла C:\Users\Name\Desktop\text.txt.
  • Ако в края на шаблона няма | , тогава ще бъде създадено правило, което позволява промяна на всеки обект според този шаблон. Например, програмата създава файла D:\prog.exe. В списъка със защитени обекти този файл съответства на шаблона *.exe. Това означава, че ще бъде създадено правило, което позволява на тази програма да променя всички exe файлове.
• Когато дадена програма има достъп до някой от следните ресурси, автоматично се създават правила, които й позволяват достъп до всички тях едновременно:
  • „Защитени COM интерфейси“
  • „Кукички за Windows и кукички за приложения“
  • „Междупроцесен достъп до паметта“
  • „Прекъсване на приложението“
  • "DNS заявки"
  • "Диск" (директен достъп),
  • "Клавиатура",
  • "Монитор".

Обикновено действителната процедура на работа на HIPS съвпада с описаната, но възникват различни отклонения. Например, понякога HIPS правилата се създават автоматично дори за програми, работещи с привилегии на инсталатора; това беше наблюдавано, когато Auto-Sandbox беше деактивиран. Имаше и ситуация, при която правилата за програмата, създадена в „Режим на обучение“, не записват достъп до всички файлови обекти, поискани от нея в „Параноиден режим“.

Идентифициране на приложения по техните пътища

Изричните правила вземат предвид само пътя до програмата. Неговата цялост, или по-скоро рейтингът му, се проверява само при липса на правила в „Безопасен режим“. Вместо уникален път можете да използвате шаблони и променливи на средата по подобен начин, както и самите файлови групи.

Преди това понякога се наблюдаваше, че след преименуване или преместване на програма HIPS я възприема като на същото място. Това се изразяваше във факта, че за тази програма бяха в сила правилата, където беше написано по стария път, а правилата с новия път не важаха. Проблемът беше решен чрез рестартиране.

Поради факта, че правилата на HIPS са базирани на пътя, опцията „Създаване на правила за защитени приложения“ е опасна. Например, ако е активиран и Explorer изпълнява надеждната (подписана) програма C:\myDownloads\test.exe, тогава HIPS „Безопасен режим“ автоматично ще създаде правила; а друг път на мястото на test.exe ще се появи нещо друго. Затова препоръчвам да деактивирате тази опция.

Защита на процеса

В прозореца с HIPS правила за приложение можете да ограничите не само собствената активност на приложението, но и влиянието на други програми върху работата му. За да направите това, в раздела „Настройки за защита“ изберете кои действия с това приложение ще бъдат блокирани, а в прозореца за изключения (бутон „Промяна“) - кои програми ще имат право да го правят. Тук няма известия - само разрешение или забрана, независимо от рейтинга. Действие, забранено по този начин, ще бъде блокирано, независимо от правилата и оценките на други програми.

По-специално, с помощта на тази функция CIS се самозащитава от разтоварване на своите процеси и достъп до паметта. Следователно, дори когато HIPS не е необходим, препоръчително е да го активирате поне с опцията „Не показвай предупреждения: Разрешаване на заявки“ (в „Безопасен“ или „Параноиден“ режим).

Страничен ефект от CIS самозащитата е огромен брой записи в дневника на Protection Events+ при използване на някои програми, например ProcessExplorer. Можете да премахнете ненужните заключвания, като позволите на отделни приложения да имат достъп до CIS паметта.

Отбелязвам, че самата защита срещу прекъсване на приложението не покрива всички начини за разтоварване на процес. По този начин много приложения (но не и CIS процеси) могат да бъдат прекратени чрез съобщения в прозореца (например от System Explorer) или чрез достъп до паметта. За да защитите приложение от такива методи за прекратяване, ще трябва да проверите в правилата му в раздела „Настройки за защита“ не само елемента „Прекъсване на приложението“, но и елементите „Съобщения в прозореца“ и „Достъп до паметта между процесите“.

Методът за прекъсване на процеса на Process Hacker може дори да разтовари CIS. За да забраните използването на този метод, можете да промените правилото HIPS за групата „Всички приложения“: в елемента „Защитени COM интерфейси“ щракнете върху „Редактиране“ и добавете реда LocalSecurityAuthority.Restore в раздела „Блокирани“. Не се препоръчва обаче да правите тази забрана, тъй като ще създаде проблеми при актуализиране на Windows.

Привилегии на инсталатора

Значението на привилегиите на инсталатора

При определени условия приложението получава привилегии за инсталиране, които са както следва:

1. HIPS позволява такова приложение на всичко, което не е изрично забранено в правилата, т.е. работи подобно на режима „Не показвай предупреждения: Разрешаване на заявки“;
2. Auto-Sandbox не изолира програмите, стартирани от това приложение;
3. докато това приложение работи, неговите дъщерни процеси (както техните дъщерни процеси и т.н.) се изпълняват с привилегии на инсталатора;
4. изпълними файлове, които това приложение създава (или дъщерни процеси, които наследяват неговите привилегии), автоматично ще бъдат добавени към списъка с надеждни (с изключение на скриптове и файлове, по-големи от 40 MB).

Файловете се добавят автоматично към надеждни файлове само когато опцията „Доверяване на приложенията, инсталирани чрез надеждни инсталатори“ е активирана в раздела „Оценка на файлове“ > „Настройки за оценка на файлове“. Освен това в някои специални случаи привилегиите на инсталатора се дават на приложенията в „скъсена“ форма: без, въпреки включването на тази опция.

И накрая, имайте предвид, че когато приложението за инсталиране излезе, неговите дъщерни процеси ще загубят своите наследени привилегии и HIPS ще ги контролира както обикновено. И техните по-нататъшни дъщерни процеси ще попаднат под контрола на Auto-Sandbox.

Да кажем, че инсталаторът "A" стартира процес "B", а "B" стартира процес "C". Това обикновено води до процес "C", който получава привилегии на инсталатора и ги поддържа, докато програмата "A" работи, дори след като процес "B" е прекратен. Но след като програмата "A" приключи, процесът "C" ще загуби тези привилегии.

В сравнение с привилегиите на инсталатора, наследяването е по-„надеждно“: то продължава да засяга дъщерните процеси дори след като всички родителски процеси са прекратени. (Беше забелязана грешка обаче: наследяването на това правило се прекратява, ако не се отговори на HIPS предупреждението в продължение на 2 минути преди стартиране на дъщерния процес.)

Програмата получава привилегии на инсталатор по различни начини: когато , или когато (ако програмата е неидентифицирана и има атрибут на инсталатор), или когато , или когато , или когато програмата наследи тези привилегии от родителския процес. На програмата могат да бъдат предоставени привилегии за инсталиране само когато се изпълнява в среда на живо без ограничения за Auto-Sandbox. Ако програмата се стартира изолирано, тя не получава тези привилегии, въпреки никакви знаци и правила.

Автоматично предоставяне на права за инсталиране на приложение

Едно приложение автоматично получава привилегии за инсталиране, ако е надеждно и има . Този статус се присвоява на приложения, които изискват администраторски права при стартиране и някои други.

В предишните версии на CIS на дадена програма автоматично се предоставяха привилегии за инсталиране само когато ограниченията за проактивна защита зависеха от рейтинга на програмата. Ако дадена програма е била изключена от Auto-Sandbox и й е присвоена напълно дефинирана HIPS политика (като системно приложение), тогава тя не е получила привилегии на инсталатора. В CIS 8 привилегиите на инсталатора се дават дори когато HIPS и Auto-Sandbox са деактивирани. Единствената наблюдавана ситуация, когато дадена програма има статус на надежден инсталатор, е ако нейните ограничения в HIPS не зависят от рейтинга и правилата на Auto-Sandbox я изключват от изолация родителскипроцес заедно със своите деца.

Присвояване на привилегии на инсталатора чрез предупреждения и правила на HIPS

Привилегиите на инсталатора могат да бъдат изрично присвоени на програма чрез HIPS: те се присвояват на правилата за инсталиране или актуализиране.

Когато възникне HIPS предупреждение относно активността на приложение, можете да изберете желаната политика от прозореца за предупреждение, със или без запомняне.

Ако поставите отметка на опцията за запомняне и изберете правилото „Инсталиране или актуализиране“, ще бъде създадено съответното HIPS правило и приложението ще получи права за инсталиране. Ако изберете това правило без опцията за запомняне, тогава правилото няма да бъде създадено и приложението ще получи „скъсена“ версия на привилегиите на инсталатора: без автоматично добавяне на създадени файлове към надеждни (временно стартиране на „неидентифициран инсталатор“ без автоматичен -Ограничения в пясъчника).

Чрез прозореца за конфигуриране на CIS можете предварително да зададете на приложение политика за инсталиране или актуализиране в списъка с правила на HIPS. Очевидно в този случай приложението ще получи привилегии на инсталатора без уведомление и в пълен размер.

Общи характеристики и параметри на проактивната защита

Нека да разгледаме опциите, които засягат работата на проактивната защита като цяло: както HIPS, така и Auto-Sandbox.

Различни опции за проактивна защита

Опцията Активиране на режим на подобрена защита в раздела Конфигурация на HIPS е предназначена да предотврати заобикалянето на проактивна защита в 64-битови версии на Windows и трябва да бъде проверена на такива системи. Но в същото време включва поддръжка за хардуерна виртуализация, която заплашва конфликти с виртуални машини.

Опцията „Адаптиране на режим на работа, когато системните ресурси са ниски“ е необходима само ако няма достатъчно RAM. Когато е активиран, CIS използва техники за пестене на памет, за да избегне срив на своите задачи. Това обаче намалява производителността.

Опцията „Блокиране на неизвестни заявки, ако приложението не работи“ е предназначена само за заразени системи и не се препоръчва за постоянна употреба, тъй като предотвратява правилното стартиране на безопасни приложения. Ако тази опция е активирана, докато CIS GUI не се зареди, всички програми, независимо от техния рейтинг, ще бъдат блокирани за всяка дейност, различна от тази, която е изрично разрешена в правилата на HIPS. С други думи, преди да зареди GUI, поведението на HIPS ще бъде подобно на „Параноиден режим“ с опцията „Не показвай предупреждения: Блокирай заявки“. Няма да има блокиране, ако HIPS е деактивиран или активиран с опцията „Не показвай предупреждения: Разрешаване на заявки“.

Освен това общите параметри на проактивната защита включват опцията „Доверете се на приложенията, инсталирани с помощта на доверени инсталатори“ в раздела „Настройка на рейтинг на файлове“, за това.

Друга опция, която засяга работата на проактивната защита, въпреки че се намира в друга секция, е „Максимален размер на файла“ в раздела „Антивирусен мониторинг“. Ако даден файл не е подписан от доверен доставчик и размерът му надвишава определения размер, тогава този файл ще се възприема като неидентифициран, дори ако ръчно го добавите към списъка с доверени. Размерът по подразбиране е 40 MB, той може да бъде увеличен, но не и намален. Ако файлът е подписан от доверен доставчик, това ограничение не се прилага.

Параметрите, зададени в раздела HIPS > Защитени обекти, са важни не само за HIPS, но и за Auto-Sandbox. Така че, ако приложението работи, тогава точно онези файлове и ключове в системния регистър, които са изброени в съответните раздели на този раздел, ще бъдат защитени. За приложения, работещи във виртуална среда, настройките в този раздел също са важни: съдържанието на директориите, изброени в раздела „Папки със защитени данни“, ще бъде скрито.

На обектите, включени в списъка „HIPS“ > „Защитени обекти“ > „Блокирани файлове“, е отказан всякакъв достъп, включително писане и четене. Този списък съдържа пътища и модели на файлови пътища. Блокирането работи само когато HIPS е активиран.

Ще спомена специален случай: режимът „Чист компютър“. Формално този режим се отнася за HIPS, но в действителност той определя работата на цялата проактивна защита. Ако активирате този режим, само файловете, които впоследствие се появяват на диска, ще се считат за „неидентифицирани“. Файловете, които са присъствали на диска преди активирането на този режим, ще получат доверени права: както HIPS, Auto-Sandbox, така и защитната стена ще възприемат тези „стари“ файлове, сякаш са включени в списъка с доверени. , че режимът „Чист компютър“ има определени проблеми и не се препоръчва за използване.

Функции за защита на файлове

Както вече споменахме, само онези файлове, които са включени в списъка „HIPS“ > „Защитени обекти“ > „Защитени файлове“, подлежат на защита чрез HIPS или Auto-Sandbox (при липса на виртуализация). Можете да използвате заместващи знаци (* и ?) и променливи на средата (%temp%, %windir% и т.н.), за да посочите тези файлове, точно като .

Бих искал да отбележа особеността на използването на шаблони при защита на директории. Обикновено, ако посочите директория през CIS интерфейса, тя ще бъде написана като шаблон: D:\Docs\* . Този тип шаблон съответства на файлове и папки, намиращи се в избраната директория D:\Docs, както и в нейните поддиректории. Добавянето на този шаблон към списъка със защитени файлове означава защита на файловете и папките, съответстващи на него, от модификация и промяна. Самата избрана директория с документи обаче не става защитена от преименуване. Ако го преименувате, съдържанието му вече няма да бъде защитено. За да защитите дадена директория от преименуване, трябва да я напишете без наклонена черта и звездичка в края: D:\Docs. По този начин, за да защитите напълно директорията и нейното съдържание, трябва да се добавят два реда към защитения списък: D:\Docs\* и D:\Docs . (Възможен е вариант с един ред - оставете звездичка накрая, но без наклонена черта: D:\Docs*. Но такъв модел ще защити едновременно директориите D:\Docs, D:\Docs2 и т.н.)

В списъка HIPS > Защитени елементи > Защитени файлове много от шаблоните имат | . Използването на този знак засяга ограниченията, наложени от Auto-Sandbox. Ако някоя програма работи в Auto-Sandbox с ограничения без виртуализация, тогава ще й бъде забранено да създава, изтрива или модифицира файлове, които са посочени от шаблони с | накрая. Файлове, които са посочени чрез шаблони без | накрая също ще бъдат защитени от промени, но програма, ограничена от Auto-Sandbox, има право да създава такива файлове, както и да изтрива създадените от нея (но не и да променя). Например, по подразбиране на програма, работеща с ниво на ограничение частично ограничено, е разрешено да създава изпълними файлове в директорията %PROGRAMFILES%, но не й е разрешено да създава изпълними файлове в директорията за стартиране. Нека подчертая, че символът | Това е Auto-Sandbox в режими без виртуализация, което влияе върху ограниченията. Когато са защитени чрез HIPS, създаването, изтриването и модифицирането на файлове е забранено, независимо от наличието на | в техните шаблони.

Има проблем с посочването на пътища на сменяеми устройства. Формално можете да създадете правило за HIPS, Auto-Sandbox или друг компонент, като използвате път към сменяемо устройство като H:\Docs\* , но такова правило няма да работи: CIS не приема букви на сменяеми устройства. На сменяеми носители обаче правилата, които не са обвързани с буква на устройство, ще работят, например защита на exe файлове. От друга страна, все още е възможно да се създадат правила за Auto-Sandbox, които ще се изпълняват специално за програми, разположени на преносим носител. Даден е пример за такова правило.

Както при преносимите устройства, CIS не работи правилно с буквите на мрежовото устройство: данните на мрежовото устройство Y: може да не съвпадат с шаблона Y:\* или дори ?:\*. Вместо шаблони с буква на мрежово устройство, можете да използвате шаблони като \\име_на_мрежов_ресурс* - експериментите показват, че работят правилно. По-специално, за да защитите данните на Yandex.Disk, свързани като мрежово устройство чрез протокола WebDAV, можете да добавите реда \\webdav.yandex* към списъка „Защитени обекти“ > „Защитени файлове“.

Трябва също да се каже, че CIS възприема не само физическите файлове като „файлове“, но и различни системни обекти, например физически или виртуални устройства. От една страна, това осигурява гъвкавост на конфигурацията. От друга страна, помнете това. Следователно такива обекти няма да бъдат защитени от виртуално стартирани програми, дори ако има строги забрани в правилата на HIPS.

Функции за защита на регистъра

Както при файловете, само онези ключове на системния регистър, които са изброени в списъка HIPS > Защитени обекти > Ключове на системния регистър, са защитени с помощта на HIPS и Auto-Sandbox.

Когато задавате ключове в системния регистър, можете да пишете модели на пътища в системния регистър, като използвате * и ? .

Помислете например за низа *\Software\Microsoft\Windows\CurrentVersion\Run* . * в началото означава, че покрива както ключа на системния регистър HKEY_LOCAL_MACHINE, така и ключа HKEY_CURRENT_USER на всеки потребител поотделно. Моля, имайте предвид, че * в края на този ред не е разделена с наклонена черта. Това означава, че редът обхваща и двата подсекции: Run и RunOnce. Значението на тази конкретна линия е да защитава в същото време различни видовеавтоматично зареждане: както общо автоматично зареждане, така и потребителско автоматично зареждане; както постоянни, така и еднократни.

Групите регистър, предварително инсталирани в CIS, използват съкратените имена на ключове: HKLM, HKCU и HKUS. Също така, когато посочвате пътеки в регистъра през CIS интерфейса, тези съкращения се заместват автоматично. В действителност обаче правилата на HIPS, които съкращават ключовете на системния регистър, може да не работят. Следователно винаги трябва да указвате пълните имена на ключовете в системния регистър: например не HKCU\SOFTWARE\Policies\* , а HKEY_CURRENT_USER\SOFTWARE\Policies\* . Ще трябва също да коригирате пътищата в предварително дефинираните групи в раздела HIPS Groups > Registry Groups:

• заменете HKLM с HKEY_LOCAL_MACHINE
• заменете HKCU с HKEY_CURRENT_USER
• заменете HKUS с HKEY_USERS

От моите наблюдения CIS не разбира правилно съкращенията на основния регистър в случаите, когато посоченият път е връзка, а не "реално" местоположение в регистъра. Примери за такива връзки са HKLM\SYSTEM\CurrentControlSet\*, HKCU\*.

Възможна опция за указване на секцията HKEY_CURRENT_USER е шаблонът HKEY_USERS*. Можете да добавите част от потребителския идентификатор към този шаблон. Например редът HKEY_USERS*1002\SOFTWARE\Policies\* указва клона SOFTWARE\Policies на секцията HKEY_CURRENT_USER за конкретен потребител. Тази техника може да се използва, за да попречи на потребител с ограничен достъп да променя стартирането, асоциациите и други параметри.

За удобно и визуално създаване на правила се препоръчва използването на групи от регистър:

• отворете раздела „HIPS“ > „HIPS групи“ > „Групи в регистъра“ и създайте нова група чрез контекстното меню;
• добавете ключове в регистъра към тази група и редактирайте пътищата, ако е необходимо;
• отворете раздела “HIPS” > “Защитени обекти” > “Ключове в регистъра” и добавете нова група към списъка;
• в раздела „Правила на HIPS“ задайте необходимите разрешения и ограничения, като използвате групи.

Защита от четене

Можете да защитите данните не само от промени, но и до известна степен от четене от определени приложения. За да направите това, използвайте раздела „HIPS“ > „Защитени обекти“ > „Папки със защитени данни“. Директориите, добавени към списъка в този раздел, са защитени, както следва:

• изпълняваните виртуално програми възприемат тези директории като празни;
• на програми, работещи в реална среда с ограничения на Auto-Sandbox, е забранено да преглеждат съдържанието на тези директории;
• на програмите, които имат дисковия ресурс, блокиран чрез HIPS, е забранено да преглеждат съдържанието на тези директории (но остава възможно да се отварят файловете, които съдържат).

Бих искал да подчертая, че когато се използва виртуализация, защитените папки ще се възприемат от изолираните приложения като празни, а техните файлове като несъществуващи. Ако програмата е ограничена само от HIPS, тогава тя ще може да отваря файлове, като „познава“ пътищата им.

Чрез CIS интерфейса можете да добавите към списъка „Папки със защитени данни“ само онези директории, които са видими в Explorer. Ако трябва да защитите данни в скрита директория, трябва временно да разрешите скритите файлове и папки да се показват в Explorer (например през контролния панел).

CIS интерфейсът ви позволява да добавяте само недвусмислени пътища на директория към списъка „Защитени папки с данни“, но не и модели като *\ReadProtected\* . Опит за добавяне на шаблон към този списък чрез редактиране на конфигурационния файл може да доведе до BSOD.

Трябва да добавите директории, разположени само на локални дискове, към списъка с „Папки със защитени данни“. Формално можете да добавите сменяеми носители или виртуални криптирани дискове към този списък, но защитата за тях по правило не работи.

Тази защита може да бъде напълно заобиколена от приложения, работещи като администратор. Такива приложения ще могат да виждат съдържанието на защитената директория и да четат данните в нея, дори ако им е блокиран достъпът до диска, дори ако работят във виртуална среда и дори ако са поставени в пясъчна среда в Auto-Sandbox като „Частично ограничено“ или „Подозрително“. Горещо препоръчвам да поддържате UAC активиран.

Защита на паметта на процеса

CIS е в състояние да попречи на някои процеси да променят паметта на други. По този начин на програмите, които се изпълняват виртуално и/или с ограничения на Auto-Sandbox, е забранено да променят паметта на процесите, изпълнявани в реалната среда. Допълнителни ограничения за модификация на паметта между процесите са посочени в правилата на HIPS.

CIS защитава паметта на процеса от модификация, но не и от четене. Дори ако блокирате зловредния софтуер от Interprocess Memory Access и дори ако го стартирате виртуално, той ще може да чете чувствителни данни от паметта на процесите, изпълнявани в реалната среда. Отбелязвам, че този проблем засяга не само виртуалната среда на Comodo Sandbox, но и Sandboxie.

В същото време защитата срещу модификация на паметта между процесите предотвратява създаването на дъмп на паметта. Очевидно е забранено спирането на процеса, необходимо за създаване на дъмп, но не и самото четене на паметта.

Анализ на командния ред

Някои видове приложения не се изпълняват самостоятелно, а чрез програми за интерпретатор. Например, изпълнението на bat скриптове се извършва от системния интерпретатор cmd.exe, изпълнението на vbs скриптове от системния интерпретатор wscript.exe, изпълнението на jar приложения от програмата javaw.exe, която е част от Java виртуална машина и др. Когато стартирате скрипт (или подобно приложение), той всъщност изпълнява свързаната с него програма за интерпретатор, като получава пътя на скрипта като аргументи на командния ред.

CIS следи стартирането на определени интерпретатори и прилага към тях ограниченията, които има файлът, посочен в аргументите на командния ред. Благодарение на това някои типове скриптове се възприемат от CIS като независими приложения: тяхната активност е ограничена от правилата на HIPS или задейства предупреждения, а Auto-Sandbox изолира работата на скриптове, които не са надеждни. (Някои функции на Auto-Sandbox, работещи със скриптове, са описани в съответната статия: невъзможност или.) Скриптовете, които изпълняват, също се показват на мястото на интерпретаторите.

Стартирането и активността се контролират по описания начин. различни видовеприложения: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, *.jar и др. Библиотечните файлове се контролират по същия начин, когато се изпълняват от системната програма rundll32.exe.

Това поведение се задава от опцията „Извършване на евристичен анализ на командния ред за конкретни приложения“ в раздела „Конфигуриране на HIPS“, която е активирана по подразбиране. Ако го деактивирате, тогава скриптове и подобни приложения ще се изпълняват със същите права, които имат техните интерпретатори.

Имаше грешка в CIS 7: стартирането на скриптове с дълги пътища не беше контролирано. Грешката е коригирана в CIS 8.0. Освен това във всички версии от 5.10 до 8.1 имаше сериозна уязвимост при анализиране на командния ред, която направи възможно стартирането на една програма с правата на друга. Тази уязвимост е почти елиминирана в CIS 8.2.

Опция за защита от инжектиране на shellcode

В раздела „HIPS Configuration“ има опция „Detect shell code injection“. Както подсказва името, включването му има за цел да предотврати атаки при препълване на буфера.

Опцията „Откриване на инжектиране на код на обвивка“ обаче все още засяга работата на CIS. Или по-скоро списъкът с изключения за тази опция има ефект, независимо дали самата тя е активирана. Следните характеристики се наблюдават при работата на приложенията, добавени към списъка с изключения за „защита на shellcode“:

В същото време HIPS следи приложенията, изключени от „защитата на shellcode“ за стартиране на програми, достъп до паметта на други процеси, изпращане на съобщения в прозорци, промяна на файлове и регистър, достъп до клавиатурата и достъп до диска. Освен това, ако тези приложения се изпълняват виртуално (или ръчно, или въз основа на правилата на Auto-Sandbox), промените във файловете и регистъра не трябва да засягат реалната среда.

Очевидно реализацията на библиотеката guard(32|64).dll е отговорна за тези CIS функции, които не работят за приложения, изключени от "защита с shellcode".

Понякога добавянето на програми към изключения за опцията „Откриване на инжектиране на код на обвивката“ ще разреши някои конфликти. По този начин обикновено се препоръчва към тези изключения да добавите програмната директория на VMware Player/Workstation, програмата Alcohol, програмата и нейната директория на пясъчника. Имаше и конфликт между CIS версия 8.2.0.4674 и браузъра Google Chrome 45.0.2454.85, който беше разрешен чрез добавяне на файла chrome.exe към изключенията за тази опция.

вирусоскоп

Сигнали за вируси

В допълнение към основните инструменти за проактивна защита - HIPS и Auto-Sandbox - има компонент Viruscope, предназначен за динамично откриване на подозрителна активност на процеса. Трябва да открие опасно поведение неидентифициранпрограми и издава предупреждение с молба да отмените промените, направени от конкретна програма и нейните дъщерни процеси, и да изтриете самата програма.

Ако опцията „Не показвай предупреждения“ е активирана в раздела „Viruscope“, тогава програмите ще бъдат деинсталирани и промените ще бъдат върнати автоматично (по подобен начин, ако не отговорите на предупреждението в рамките на 2 минути).

Ръчно връщане назад на промените

Завършването на програми и връщането назад на направените от тях промени може да се извърши не само при откриване на подозрителна дейност, но и ръчно. За да направите това, стартирайте диспечера на задачите KillSwitch, извикайте контекстното меню на желания процес и изберете „Край на дървото на процеса и върнете направените промени“. Програмният файл не се изтрива. Този елемент от контекстното меню на KillSwitch е достъпен само когато Viruscope е активиран.

Друг начин за ръчно прекратяване на програми и връщане назад на направените от тях промени е чрез HIPS и предупреждения на защитната стена. Когато Viruscope е активиран, в тези предупреждения се появява допълнителна опция: „Блокиране, завършване на изпълнението и отхвърляне на промените.“ Когато изберете този елемент, програмата, посочена в предупреждението, и всички нейни дъщерни процеси ще приключат и направените от тях промени ще бъдат отменени; програмният файл няма да бъде изтрит.

Отчет за дейността

Когато Viruscope е активиран, в контекстното меню, извикано от главния прозорец на CIS, се появява нов елемент: „Показване на активността“. Щракването върху него ще отвори прозорец с отчет за активността на избраната програма и нейните дъщерни процеси.

Освен това, когато Viruscope е активиран, бутонът „Показване на активността“ се появява в предупрежденията на различни CIS компоненти. Щракването върху него също отваря отчет за активността на програмата, посочена в предупреждението.

Трябва да се каже, че представянето на отчета за дейността в прозореца на CIS далеч не е удобно. Можете обаче да използвате контекстното меню, за да експортирате този отчет в XML файл и да го изучавате отделно.

Можете също да видите отчета за дейността чрез диспечера на задачите KillSwitch: в прозореца със свойства на процеса, извикан чрез контекстното меню, има раздел „Активност на процеса“. KillSwitch обаче представя този отчет дори по-зле от CIS и няма функция за експортиране във файл.

Ограничаване на контрола на Viruscope само до програми в пясъчна среда

По подразбиране в конфигурацията „Проактивна защита“ в раздела „Viruscope“ опцията „Use Viruscope“ е активирана, а опцията „Apply Viruscope action only to applications in Sandbox“ е деактивирана. При тази конфигурация се наблюдават всички процеси в реалната и виртуалната среда. Работата на Viruscope специално за този режим е описана по-горе.

Ако поставите отметка на опцията „Прилагане на действие на Viruscope само към приложения в пясъчна среда“, тогава ще се наблюдава активността само на онези програми, които се изпълняват във виртуална среда или са ограничени от автоматичната пясъчна среда. За програми, работещи в реална среда без ограничения на Auto-Sandbox, дейността няма да се записва и съответно няма да се дава отчет за нея.

Въпреки това, след активиране на тази опция, предупрежденията за HIPS и защитната стена все още ще съдържат опцията „Блокиране, прекратяване на изпълнението и отхвърляне на промените“, а в контекстното меню на KillSwitch ще има опция „Край на дървото на процеса и връщане на направените промени“. Всъщност избирането на тези елементи няма да отмени промените, а само ще прекрати избраната програма и нейните дъщерни процеси.

Управление на разпознавателя

Разделът „Viruscope“ показва файл, въз основа на чиито данни определена активност на приложението се счита за подозрителна. Този файл определя модели на поведение, които трябва да задействат предупреждения на Viruscope. Ако зададете статуса на такъв файл на дезактивиран, тогава съответното поведение на приложенията няма да доведе до известия и блокиране на Viruscope; Програмата за наблюдение ще продължи.

Ограничения при използване и проблеми на Viruscope

Viruscope не ви позволява да връщате назад действия като изтриване на файлове от диска. Освен това промените, направени по време на предишни цикли на подозрителния процес, не могат да бъдат върнати назад. Отмяната на действията на процес, който погрешно е идентифициран като опасен, може да доведе до загуба на данни (този риск възниква в режим „Не показвай предупреждения“).

Във версия CIS 7 имаше сериозен проблем - когато Viruscope беше активиран, в защитени приложения възникваха непредсказуеми сривове. Тези повреди са възникнали при липса на известия или записи в регистрационните файлове на CIS, което затруднява намирането на причината. Очевидно неуспехите са причинени от самото наблюдение на процеса, а не от откриването на подозрително поведение.

В CIS 8 предишните известни конфликти вече не се появяват. Проблемът може да е решен. Въпреки това, поради неговата сериозност и трудността на откриване, аз все още препоръчвам срещу Viruscope. Като се вземат предвид всички ограничения, ползите от защитата на Viruscope са малки.

За да използвате Viruscope безопасно, можете да го активирате с опцията „Прилагане на действие на Viruscope само към приложения в Sandbox“. Но в този случай целта на Viruscope няма да е защита, а по-скоро изследване на работата на приложения, работещи във виртуална среда.

Моля, активирайте JavaScript, за да видите