Рынок HIPS-продуктов - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Илья Рабинович

Рынок HIPS-продуктов

Автор Илья Рабинович, в Тесты и сравнения

Recommended Posts

Илья Рабинович    521

Илья Рабинович
Опубликовано

Меня, честно, начало уже это доставать конкретно, люди создают у себя внутри теорию, а то,что не реальность ей не соотвествует- тем хуже для реальности. Последний раз поясняю: я делаю свой продукт потому и таким, что он полностью соответствует моему личному восприятию безопасности хостовых машин в современных условиях.

И особенно после того, как начал говорить, что российский рынок и за рынок не считает:

Да, не считаю. И это обосновано- у меня, после публикаций на THG Russia и iXBT было... десять продаж по России через Софткей! Это просто смех один, да и только, особенно если сравнивать с США. И что, я не прав? Зачем я должен тратить свои силы на продвижение там, где рынка под HIPS-продукты нет?

Всё же эксперты независимого портала (даже если они сотрудники какого-либо из вендоров) за собственной позицией не должны забывать, что существуют и другие точки зрения.

А я и не забываю. Хотите спорить? Пожалуйста- только с фактами в руках, а не с голословными обвинениями и кучей эмоциональных выпадов. Я всегда готов поспорить, но только тогда, когда есть предмет оного.

Кроме того, я не сотрудник вендора- я и есть вендор!!!!! Полностью- от и до. Именно в этом основная ошибка теории Валерия- я делаю продукт таким, поскольку это есть моя личная точка зрения, а не наоборот.

Да и изучение именно российского рынка для АМ до сих пор являлось одним из приоритетных направлений.

А я в данном направлении деятельности портала не участвую и участвовать не буду даже если пригласят- квалификации недостаточно.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Зачем я должен тратить свои силы на продвижение там, где рынка под HIPS-продукты нет?

псссс ))

Я не маркетолог, но мне казалось, что сформировать новый рынок - голубая мечта любой компании и путь к успеху.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
Я не маркетолог, но мне казалось, что сформировать новый рынок - голубая мечта любой компании и путь к успеху.

Вот именно- не маркетолог. Суть в том, что ни одиночка, ни мелкая компания не способны сформировать новый рынок на пустом месте- для этого требуются огромные ресурсы, если рынок горизонтален. На вертикальном в этом смысле проще работать- он более сконсолидирован.

Типичный пример (кстати, из жизни ЛК)- компания выплыла за счёт того, что в тестировании немецкого журнала в 97-м движок получил первое место. А если бы не было этого теста? Если бы вообще ситуация была с антивирусами такая же, как с HIPS сейчас- ни сравнительных тестов, ни понимания у людей, которые принимают решения того, зачем оно надо, ни бюджетов в компаниях. И что, я должен это всё головой пробивать? Да я загнусь в первую же неделю!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Вот именно- не маркетолог. Суть в том, что ни одиночка, ни мелкая компания не способны сформировать новый рынок на пустом месте- для этого требуются огромные ресурсы, если рынок горизонтален. На вертикальном в этом смысле проще работать- он более сконсолидирован.

Чушь.

Примеров из истории экономики, когда одиночки и мелкие компании создавали рынок с нуля - великое множество.

Типичный пример (кстати, из жизни ЛК)- компания выплыла за счёт того, что в тестировании немецкого журнала в 97-м движок получил первое место. А если бы не было этого теста? Если бы вообще ситуация была с антивирусами такая же, как с HIPS сейчас- ни сравнительных тестов, ни понимания у людей, которые принимают решения того, зачем оно надо, ни бюджетов в компаниях. И что, я должен это всё головой пробивать? Да я загнусь в первую же неделю!

Пример с ЛК абсолютно неправилен. ЛК выплыла за счет того, что предложила российскому рынку антивирус для Windows, в то время как основной на то время конкурент - творил неизвестно что. А еще ЛК выплыла за счет того, что во многом создала и сформировала существующий ныне рынок OEM "движков".

Илья, вы можете не хотеть ничего пробивать - ваше право. Но очень скоро российский рынок HIPS будет сформирован. И сделают это те на чью территорию вы полезли. Там вы их не победите (у всех понятия о победе разное, я имею в виду свое) - а вот они сюда придут.

Рынок будет. А вас на нем не будет. Ни там, ни здесь.

Считайте это прогнозом.

P.S. Какая участь постигла десятки разнообразных anti-adware проектов - напоминать не буду, надеюсь знаете.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Это просто пипец какой-то. angry.gif Меня, честно, начало уже это доставать конкретно, люди создают у себя внутри теорию, а то,что не реальность ей не соотвествует- тем хуже для реальности. Последний раз поясняю: я делаю свой продукт потому и таким, что он полностью соответствует моему личному восприятию безопасности хостовых машин в современных условиях. Точка. А теперь докажите, что я не имею права высказывать своё личное мнение на форуме.

"Когда мировоззрение человека сужается до точки, то это и называется его точкой зрения" (с).

Я просто выразил предостережение. Если человек метит в эксперты портала, в названии которого есть слово "независимый", то он не должен выпускать из виду и другие точки зрения.

Зачем я должен тратить свои силы на продвижение там, где рынка под HIPS-продукты нет?

Рынок в новой неизведанной нише создать не так сложно. Одна-две статьи в неделю по теме в топовых журналах, пара месяцев на переваривание этого народом - и всё - подставляй мешок для денег. При этом не всегда даже требуется качественный продукт (хотя это весьма желательно). Тем более, что слово "HIPS" сейчас весьма модно. Едва ли не модней, чем "антивирус для смартфона" :)

Пожалуйста- только с фактами в руках, а не с голословными обвинениями и кучей эмоциональных выпадов. Я всегда готов поспорить, но только тогда, когда есть предмет оного.

Предмет есть. И у _любого_ предмета можно найти несколько граней. Любую цель можно достичь разными способами. Любой пользователь любит, когда у него есть выбор, а не указание "делай только так". А споры... их результаты зависят от умения владеть языком его участниками.

Кроме того, я не сотрудник вендора- я и есть вендор!!!!! Полностью- от и до. Именно в этом основная ошибка теории Валерия- я делаю продукт таким, поскольку это есть моя личная точка зрения, а не наоборот.

Я искренне восхищаюсь Вашей хоризмой. Но пользователи не любят, когда за них решает вендор. Они любят, когда происходит диалог. А чтобы узнать, что им нужно, и как им нужно предлагать разрабатываемые продукты - для этого есть специалисты. Поэтому если Вы не маркетолог, но продолжаете действовать единолично, то это одно из Ваших слабых мест.

А я в данном направлении деятельности портала не участвую и участвовать не буду даже если пригласят- квалификации недостаточно.

Ок, если забыть про всё вышеописанное. Перед голосованием хотелось бы узнать. Вы можете занять нишу эксперта по продуктам, использующие HIPS-технологии, так? При этом Вы можете объективно оценивать другие продукты, предлагающие такую функциональность или готовы говорить только о своих продуктах?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
Я просто выразил предостережение. Если человек метит в эксперты портала, в названии которого есть слово "независимый", то он не должен выпускать из виду и другие точки зрения.

А я и не упускаю- но всё равно свою считаю правильной! Если мне докажут с фактами в руках, что я неправ- я изменю свою позицию. А если скакать от одной позиции к другой со скоростью мысли- это называется не иметь свою точку зрения вообще!!!

Рынок в новой неизведанной нише создать не так сложно. Одна-две статьи в неделю по теме в топовых журналах

Угу, "Компьютерра" публиковала мою статью. Результат- ноль продаж. Я могу, конечно, постучать в русский PC Mag - думаю, Лебедев будет не очень сильно против. Но встанет вопрос "а насколько это фигня реально работает"- и тут кроме как "верь мне!" я сказать ничего не смогу, сравнительных тестов нет!

В американские "топовые" журналы пробиться практически очень сложно- я пытаюсь года два примерно.

пара месяцев на переваривание этого народом - и всё - подставляй мешок для денег. При этом не всегда даже требуется качественный продукт (хотя это весьма желательно).

Не всё так просто в этом мире. Это снова теория, а у меня за плечами- пять лет практики. Практического маркетинга и практических продаж.

Тем более, что слово "HIPS" сейчас весьма модно. Едва ли не модней, чем "антивирус для смартфона"

Да? Модное? Где? В среде "профи"- да, согласен. В среде высшего менеджмента- совершенно не уверен. Но я спрошу у одного своего знакомого для уточнения. Во всяком случае, в сфере обычных пользователей данная аббревиатура практически неизвестна.

Предмет есть. И у _любого_ предмета можно найти несколько граней. Любую цель можно достичь разными способами. Любой пользователь любит, когда у него есть выбор, а не указание "делай только так". А споры... их результаты зависят от умения владеть языком его участниками.

Очень много слова и никакой конкретики. Нет, я тоже могу так- расплыться мыслью по древу и поболтать ни о чём. Но не люблю этого- предпочитаю делом заниматься.

Я искренне восхищаюсь Вашей хоризмой. Но пользователи не любят, когда за них решает вендор. Они любят, когда происходит диалог. А чтобы узнать, что им нужно, и как им нужно предлагать разрабатываемые продукты - для этого есть специалисты. Поэтому если Вы не маркетолог, но продолжаете действовать единолично, то это одно из Ваших слабых мест.

Да, я это знаю и очень давно. Маркетинг- это не самое моё сильное место. Вопрос лишь в том, что на данный момент другого выхода у меня нет- я вынужден поступать имено так, а не иначе. Кстати, диалог с пользователем- это моё сильное место, как раз. :lol:

Ок, если забыть про всё вышеописанное. Перед голосованием хотелось бы узнать. Вы можете занять нишу эксперта по продуктам, использующие HIPS-технологии, так? При этом Вы можете объективно оценивать другие продукты, предлагающие такую функциональность или готовы говорить только о своих продуктах?

Собственно говоря, я уже являюсь именно таким человеком. Правда, "объективно оценивать"- это снова теория, поскольку каждый человек оценивает всё сугубо субъективно. А вот знаний в области для того, чтобы выносить какие-то оценки и предоставлять необходимую другим информацию у меня вполне достаточно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Собственно говоря, я уже являюсь именно таким человеком. Правда, "объективно оценивать"- это снова теория, поскольку каждый человек оценивает всё сугубо субъективно. А вот знаний в области для того, чтобы выносить какие-то оценки и предоставлять необходимую другим информацию у меня вполне достаточно.

Ну, теперь более-менее понятно. Спасибо за информацию.

Может быть, Вы изложите в одной из тем форума свою позицию более развёрнуто? Например, опубликуете одну из своих статей по теме, если не жалко. Можно пообсуждать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Пока не могу- времени нет. Может, попозже...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Несколько не по теме. Но для владельцев сайтов актуально... https://www.comss.ru/page.php?id=20880
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      RP55, По п.10 уже есть реализация: в 5.04 o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.   по п. 8, для задач в uVS публикуется командная строка, но то что стали модифицировать известные задачи, это да, теперь придется за всеми задачами следить по п.7 В uVS есть указание на то что известный файл размещен по нестандартному пути, по идее тоже должно попасть в подозрительные. по п.6 Ранее уже сталкивались с подобным зловредом,  здесь, https://chklst.ru/forum/discussion/76/kak-udalit-bekdor-crexv-i-vosstanovit-normalnuyu-rabotu-menyu-pusk-v-xpvistaseven  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ИИ — полезная штука, но, к сожалению, бесплатные версии, как тот же Google Gemini Flash, тупенькие на уровне 12b моделей, делают колоссальное число ошибок по мелочам. Яблочко от яблони... Мало того, "новое" у них обычно старое с отставанием на год, и это в лучшем случае. Я сейчас как раз занимаюсь новой, уже 3-й версией своего "Клавиатурного помощника". В нём будет поддержка локального ИИ, горячих ИИ-клавиш, голосовых команд, голосового ввода и вспомогательной LLM для переводов, правки текста и т.п. Именно локального ИИ без необходимости обращения в сеть и сопутствующих утечек данных И это не для старого железа — нужно как минимум много памяти и современный процессор, в идеале хотя бы RTX 5060 Ti 16 ГБ в качестве ускорителя. А результат, ну, такой себе. ИИ слишком склонен ошибаться, и доверять ему что-то серьёзное пока не стоит, даже код пишет, который как-то работает, но в нём масса мелких и незаметных ошибок и уязвимостей. 
      Текст исправлен с помощью Google Gemma 4 E4B. 
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Вы сказали: "Найди все новые ключи которые появились 2026 г. и ранее не использовались... Можешь ?"
      *Да, я могу помочь* составить список новых ключей реестра и путей
      автозагрузки, которые вредоносное ПО использует в текущих кампаниях
      (включая модификации 2026 года), маскируясь под легальные системные
      компоненты. ( скопирую частично) :   * *|HKLM\SOFTWARE\Classes\Protocols\Filter|* и *|\Handler|* — новые
          модификации Adware перехватывают протоколы edge:// или msproedg://
          для подмены поисковой выдачи.   * *|HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|* —
          использование подсистемы WSL для скрытого автозапуска
          Linux-ориентированных рекламных модулей, незаметных для стандартных
          триггеров автозагрузки Windows. Современные зловреды (особенно Adware и майнеры) научились прописываться
      в тихий автозапуск без создания классических ключей |Run| или
      |Services|. Они используют встроенный механизм Windows 10/11 —
      *псевдонимы выполнения приложений*.   * *Суть*: В реестре создается связь в ветке
          |HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths| или через
          механизм |AppXPackage|. Зловред подменяет вызов легальной команды
          (например, при наборе пользователем |notepad| или |calc| в строке
          «Выполнить») и запускает свое тело.
        * *Что добавить в памятку*: Обращать внимание на появление кастомных
          записей в блоке «Псевдонимы приложений» и проверять, куда
          перенаправляются стандартные системные вызовы. 2. Подмена через каталоги |Lxss| (WSL — Windows Subsystem for Linux)
      Это одна из самых опасных современных тенденций, так как многие
      антивирусы до сих пор слабо сканируют Linux-среду внутри Windows.   * *Суть*: Майнеры и стилеры прописывают свой запуск внутри
          дистрибутива WSL (ключ реестра
          |HKCU\Software\Microsoft\Windows\CurrentVersion\Lxss|). При старте
          Windows запускается скрытая фоновая сессия WSL, которая активирует
          ELF-бинарник (Linux-вирус). В логах автозапуска Windows это выглядит
          как легальный старт службы |wsl.exe|, но с хитрыми аргументами.
        * *Что добавить в памятку*: Формула «А+В+С»: если |wsl.exe|
          запускается автоматически с флагами |-d| (конкретный дистрибутив)
          или скрытыми bash-скриптами — это 100% повод для изоляции и проверки
          содержимого виртуального диска VHDX. 3. Продвинутый Timestomping с подделкой под апдейты ОС
      Раньше вирусописатели просто копировали даты у соседних файлов
      (|kernel32.dll| и т.д.). Теперь они действуют умнее:   * *Суть*: Дата создания файла выставляется ровно на день/час крупного
          официального обновления Windows (например, подстраиваются под график
          Patch Tuesday от Microsoft). Аналитик смотрит на лог uVS, видит дату
          (например, |14.10.2025|) и думает: «А, ну это тогда накопительный
          апдейт прилетел, файл чистый».
        * *Что добавить в памятку*: Правило проверки контрольных сумм. Не
          верить датам, даже если они идеально совпадают со временем
          системного обновления. Если у файла из папки |System32| с
          «правильной» датой обновления отсутствует валидная ЭЦП (или статус
          |Цифр. подпись: НЕТ|) — это критический триггер. 4. Атаки типа Living off the Land (LotL) через новые системные утилиты
      Вместо использования заезженных |powershell.exe| или |cmd.exe|, которые
      сейчас жестко блокируются любым EDR/антивирусом, малварь перешла на
      легальные, но редкие утилиты Windows (LOLBins).   * *Суть*: Для скачивания и запуска вредоносного кода используются
          системные компоненты:
            o |curl.exe| (теперь встроен в Windows) — для скрытой загрузки
              полезной нагрузки.
            o |tar.exe| — для распаковки зашифрованных архивов со стилерами
              прямо «на лету».
            o |winget.exe| (Windows Package Manager) — для скачивания
              вредоносных утилит из легальных репозиториев.
        * *Что добавить в памятку*: В uVS нужно тщательно анализировать
          параметры запуска командной строки в Планировщике задач (|TASKS|),
          если там фигурируют |curl|, |tar| или |bitsadmin|, качающие что-то с
          внешних IP-адресов. 6. Скрытые модификации через COM-объекты (COM Hijacking без изменения
      файлов)
      Вместо перезаписи файлов в |System32| или создания явных ключей |Run|,
      малварь перехватывает легальные системные интерфейсы через реестр.   * *Суть*: Зловред прописывает путь к своей вредоносной DLL в ветку
          *|HKCU\Software\Classes\CLSID\{GUID}\InprocServer32|*. При этом
          берется GUID легального и часто используемого компонента Windows
          (например, Проводника, контекстного меню или планировщика). Как
          только система или пользователь совершает обычное действие
          (открывает папку, кликает правой кнопкой мыши), Windows
          автоматически подгружает вредоносную DLL.
        * *Что добавить в памятку*: В uVS такие объекты часто попадают в
          категорию «Подозрительные CLSID» или скрытые расширения оболочки.
          Если в ветке |HKCU| (пользовательский уровень) переопределяется
          системный GUID, который по умолчанию должен жить только в |HKLM|
          (уровень системы) — это явный признак перехвата. 7. Спуфинг цифровой подписи через уязвимости каталогов (Catalog Signing
      Spoofing)
      Малварь научилась обходить базовую проверку подписей, из-за чего в логах
      некоторых утилит файл может ошибочно помечаться как «Подписан Microsoft».   * *Суть*: Используются уязвимости в механизме проверки файлов через
          каталоги безопасности Windows (|.cat| файлы). Вредоносный бинарник
          модифицируется таким образом, что его хэш совпадает с хэшем
          легального файла в базе данных каталогов (используются коллизии или
          специфические уязвимости парсинга).
        * *Что добавить в памятку*: Правило двойной проверки. Если файл
          находится в нетипичном месте (например,
          |C:\Users\...\Temp\svchost.exe|), но uVS или ОС рапортует, что у
          него «Валидная подпись Microsoft» — необходимо принудительно
          отправлять хэш файла на VirusTotal через встроенную функцию uVS или
          проверять подпись сторонними утилитами (например, |Sigcheck| от
          Sysinternals) с проверкой отзывов сертификатов. 8. Эксплуатация механизма «Служб доставки обновлений» браузеров
      (Edge/Chrome Maintenance)
      Рекламное ПО (Adware) и кликеры ушли от создания собственных явных служб
      и теперь паразитируют на легальных планировщиках браузеров.   * *Суть*: Вредоносный скрипт не создает новую задачу в Планировщике.
          Вместо этого он модифицирует параметры /уже существующей/ легальной
          задачи, например, |MicrosoftEdgeUpdateTaskMachineCore|. В
          оригинальную команду дописывается скрытый аргумент
          (аргумент-паразит), который раз в сутки скачивает или запускает
          рекламный модуль. Аналитик видит знакомое имя задачи Edge, видит
          легальный путь к апдейтеру и пропускает её.
        * *Что добавить в памятку*: При анализе задач Планировщика (|TASKS|) в
          uVS нужно смотреть не только на имя файла, но и *полностью
          разворачивать строку аргументов*. Любые добавленные URL-адреса,
          вызовы |cmd /c|, или сторонние пути в параметрах легальных служб
          обновления — это стопроцентный признак компрометации. 10. Фейковые системные переменные в путях автозапуска
      Обман визуального восприятия аналитика через манипуляцию переменными среды.   * *Суть*: В реестре или планировщике путь к файлу прописывается как
          |%SystemRoot%\System32\drivers\malware.sys|. Но перед этим на уровне
          пользователя (|HKCU\Environment|) создается кастомная переменная
          |%SystemRoot%|, которая указывает вовсе не на |C:\Windows|, а на
          |C:\Users\Public\Documents|. В итоге аналитик глазами видит
          «безопасный» системный путь, а система при загрузке идет в скрытую
          пользовательскую папку.
        * *Что добавить в памятку*: Всегда проверять блок «Переменные
          окружения» в начале лога uVS. Любые попытки переопределить
          стандартные переменные вроде |%SystemRoot%|, |%WinDir%| или
          |%ProgramFiles%| на уровне текущего пользователя — это критическая
          угроза.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Сейчас дал ИИ задание напиши скрипт и... Вот:  ( взял Инфо. из одного из старых образов) Скрипт лечения для uVS Чтобы полностью удалить эту службу, связанные с ней файлы и очистить ссылки в реестре, выполните следующий скрипт: text ; uVS v4.15.1 [Script] ; Target OS: Windows ; Удаление вредоносной службы и основного файла апдейтера delref %Network%\C:\PROGRAM FILES (X86)\YONTOO\Y2DESKTOP.UPDATER.EXE ; Удаление исполняемого файла в AppData, вызываемого через параметры службы delref %AppData%\YONTOO\YONTOODESKTOP.EXE ; Принудительное удаление самой службы из реестра delsrv Yontoo Desktop Updater ; Очистка остаточных путей и каталогов Yontoo deldir C:\Program Files (x86)\Yontoo deldir C:\Users\cappu44ino\AppData\Roaming\Yontoo ; Перезагрузка для применения изменений restart --------- Я сильно не увлекался - так для примера.  
×