Тест HIPS на av-comparatives.org

[vaber 350]

В октябре Андреас Клименти провел тест различных утилит для защиты системы от вирусов.

См. аттач

HIPS_BB_SB.pdf

HIPS_BB_SB.pdf

[Ego1st 95]

О как, хорошо, интересненько, почитаем, спасибо!=))

[Николай Головко 70]

Интересный тест. И, что важно, актуальный.

Еще раз показывает, что системы предотвращения вторжений эффективнее сигнатур, если они сделаны с умом. Жаль, не всем дано управлять ими.

[Олег Рагозин 10]

Да, весьма интересный материал, и результаты тестов весьма интересны.

Спасибо большое.

[Mr. Justice 771]

Интересный тест. И, что важно, актуальный.

Еще раз показывает, что системы предотвращения вторжений эффективнее сигнатур, если они сделаны с умом. Жаль, не всем дано управлять ими.

Nick (можно Вас так называть?) системы предупреждения вторжений несомненно отличаются высокой эффективностью и это, действительно, актуальное направление, но я бы не стал недооценивать сигнатуры, без них в современных условиях обойтись сложно.

[Ego1st 95]

Вот интересно там я заметил присутствует Sandboxie. ну скажем так я мало себе представляю её как hips систему.. мне кажется не место ей в этих тестах..

[Николай Головко 70]

Mr. Justice: я не выступаю против сигнатур, я лишь разделяю точку зрения, что проактивная оборона эффективнее реактивной. Я не сказал, что сигнатурный анализ НЕэффективен. Я сказал, что одно эффективнее другого. IMHO, это не одно и то же. Тем не менее, считаю приоритетной разработку именно систем проактивного реагирования. Приоритетной, т.е. не основной.

Ego1st: песочница - не совсем HIPS, согласен. Но часто их считают системами предотвращения вторжений. DefenseWall ведь тоже песочницей пользуется, да и не только он.

[Mr. Justice 771]

Вот интересно там я заметил присутствует Sandboxie. ну скажем так я мало себе представляю её как hips систему.. мне кажется не место ей в этих тестах..

Ego1st, если мне не изменяет память, в "преамбуле теста" сказано, что тестировались не токлько HIPS системы. Вот только уместно ли тестировать разные типы проактивной защиты в "одной упряжке"?

[Иван 290]

а мне кажется тест так себе

все почти все взяли

нет например того же макафи и фсекьюра, которые заявили в своих 2007 продуктах о наличие поведенческих блокиратров

очень было бы интерсно посмотреть как они себя бы повели

[Ego1st 95]

Ego1st, если мне не изменяет память, в "преамбуле теста" сказано, что тестировались не токлько HIPS системы. Вот только уместно ли тестировать разные типы проактивной защиты в "одной упряжке"?

Ego1st: песочница - не совсем HIPS, согласен. Но часто их считают системами предотвращения вторжений. DefenseWall ведь тоже песочницей пользуется, да и не только он.

Дело не в этом, я сам пользуюсь Sandboxie это обычная песочница для запуска программ, как метод борьбы с троянами и всем остальным ну вообще не подходит..

[Inkogn 0]

(из http://www.antimalware.ru/phpbb/viewtopic.php?t=3168 )

проактивная защита были и думаю будут пока только вторичным инструментом в борьбе со зловредами

С HIPSами дело такое,или это единственный инструмент против новых/недетектируемых вирусов,или им не пользуются по разным причинам.Второстепенных и дальше инструментов против недетектируемых вирусов,по-моему,нету.

[Inkogn 0]

(из http://www.antimalware.ru/phpbb/viewtopic....d36d78bb9bd39cb )

можно поставить несколькo HIPS-oв на один комп или они будут слишком сильно конфликтовать?

У меня не конфликтуют.До сих пор имеется привычная точка зрения,что 2 АВ - лучше.Хотя всё равно только один из них используется в realtime.

Два одновременно работающих хипса - конфигурация очень нестандартная,что само по себе сильный пункт.Плюс их общий сильный пункт - работа не по чёрным,а по белым спискам,что есть совсем другой,неклассический и теоретически непробиваемый (только через дыры самого защитного ПО,а также открытость самой донор-ОС,что делает работу по белым спискам больше условной) недопуск воспользования по чёрному (без твоего ведома о происходящем и следствиях) твоим компом .Разная реализация этого делает бесполезным непростой сам по себе обход только одного хипса.Успех ещё недетектируемого (и любого) вируса близок к нулю.С самого начала появления вируса.

[ordon 0]

До сих пор имеется привычная точка зрения,что 2 АВ - лучше.

Оно и понятно, ведь антивири поизвестнее чем HIPS. Поэтому многие в стремлении улучшить свою безопасность ставят несколько антивирей и не только 2, а больше=)...

Другое дело в эффективности данного решения...

Хотя всё равно только один из них используется в realtime.

Некоторые умудряются "подружить" антивири между собой, чтобы они работали в фоновом режиме, однако это прокатывает не со всеми антивирями, да и вообще даже в лучшем случае (если при совместной работе не пришлось урезать настройки) вряд ли результаты будут значительными...

Проще и лучше конечно - 1 в фоновом режиме и несколько для скана.

Два одновременно работающих хипса - конфигурация очень нестандартная,что само по себе сильный пункт.

Да, хорошее сочетание.Важно только правильно их выбрать из многих, настроить, учесть возможную нагрузку на ОС и т.д.

Разная реализация этого делает бесполезным непростой сам по себе обход только одного хипса.Успех ещё недетектируемого (и любого) вируса близок к нулю.С самого начала появления вируса.

Хм... я думаю, что всё вовсе не так уж и безоблачно, хотя уровень защиты, если стоит несколько HIPS-ов ( разумеется оптимально работающих) вырастет очень существенно.

Но поскольку год от года количество и качество всякогого рода малвары растёт, соответственно и растёт риск новых угроз.

И хоть HIPS в отличии от антивирей не так часто обновляются, в будущем им прийдётся имхо почаще обновляться для успешного отражения новых видов угроз ( руткит-тeхнологий и пр.).

В любом случае пока только HIPS наилучший инструмент борьбы с новыми угрозами.

[Werasy 0]

Илья,пользуюсь этой возможностью для сообщения,что нижеприведённое (вырезка) повторяется уже вторую неделю на каждую мою маил на softsphere и на info.

This is the Postfix program at host mail-in-11.arcor-online.net.

####################################################################

# THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. #

####################################################################

Your message could not be delivered for 24 hour(s).

It will be retried until it is 4 day(s) old.

*

*

*

Subject: R.L.

*

*

*

[Илья Рабинович 521]

Очень странно, мне почта вроде как ходит. Сейчас сброшу тебе PM.