Перейти к содержанию
vaber

Unhookers Tests

Автор vaber, в Тесты и сравнения

Recommended Posts

Илья Рабинович    521

Илья Рабинович
Опубликовано
Мне интереснее другой взгляд: Можно ли развивать продукты класса HIPS и защищать пользователя от новых угроз не мешая ему.

Это упирается в класс защиты. Всего у нас три базовых вектора продуктов безопасности- blacklisting, whitelisting, sandboxing. Blacklisting- это сигнатурные сканеры, эвристики и поведенческие expert HIPS (типа Cyberhawk, PDM,...). Whitelisting- это всевозможные подписи исполняемых файлов, списки заведомо чистых файлов легитимных приложений, HIPS типа Anti-Executable и грядущий Comodo FW v3 (тут, правда, явно видны уши маркетингового приёма из разряда "если не купите наш товар, вам же потом хуже будет"). Sandboxing- это ограничение полномочий и разделение приложений и процессов.

Самый ненавязчивый тип HIPS- expert HIPS. Но. как и у любой blacklisting-технологии, у него есть врождённые уродства в виде False Positives и False Negatives. Этот вид защиты будут либо обходить из-за недокрученных шаблонов, либо оно будет генерить кучу ложных срабатываний на легитимных приложениях.

Далее идёт sandboxing. Всплывающих окон с вопросами нет, но пользователю придётся помнить о том, в какой именно зоне находятся те или иные исполняемые файлы и инсталляторы. Плюс- некоторые апдейтеры сделаны неправильно с точки зрения концепции безопасности MS (и sandboxing тоже) и нуждаются в переделывании их авторами, но это, я полагаю, лишь вопрос времени.

Следующим (и последним) идет whitelisting. Тут всё пока что плохо- цифровые сертификаты покупают мало (в основном- большие компании), подписанных инсталляторов и приложений тоже немного.

Всплывающие окна с вопросами типа "а действительно ли вы хотите запустить этот файл" будут игнорироваться конечными пользователями.

Про classical HIPS типа SnS, CSA, Entercept писать не буду- эти продукты вообще не для массового рынка.

Очевидно, что будущее за смесью blacklisting+whitelisting+sandboxing в определённой пропорции, взболтать, но не смешивать.

Представь себе, что новая уловка злоумышленников потребует доработки, которая заблокирует работу какого-нибудь вполне легитимного ПО.

Это всё решаемые задачи.

Твой DW, например, в ранних версиях, которые я тестировал, блокировал работу некоторых кодеков.

Каких именно? Я вот пользую универсальный ffdshow- полёт нормальный.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×