Есть ли HIPS в NOD32 4.0?

[priv8v 960]

Вы уже не про mebroot, я так думаю?

ну да. я нод-логин имел в виду...

Как только-Вам первому доложу, чтобы Вас успокоить по поводу HIPS'a

договорились

Можно впринципе набор ликтестов скачать со сайта Матушека и с ними поиграть. Они вред не принесут системе. Но это по вашему усмотрению...

хм...

думаю, что одна часть будет прибита еще до запуска эвристическими методами или сигнатурами, а другая часть просто не обойдет фаер, т.к он знаком с этими способами, но действий от ХИПСа добиться, думаю, не выйдет - но это лишь мой прогноз. тесты покажут.

[Евгений Павлович 90]

В связи с тем, что общение уже давно ушло от смысла и названия темы "Вышли ESET NOD32 и Smart Security 4.0.422" принял решение переименовать её в " Есть ли HIPS в 4 версии?". Думаю,так будет правильнее и точнее!

набор ликтестов скачать со сайта Матушека

Спасибо...Но,что-то не хочется! )

договорились

Договорились...!

[Олег Гудилин 95]

Увы, не включили.

Ну Матюшек уже многое показал и без этого теста.

"Технология есть, настроек нет.

Надо тогда хотя бы техническому директору российского Есета разъяснить как-то, что он не тем скриншотом иллюстрирует фичу, которой на самом деле в настройках нет (а может и совсем нет)

Ну эта история на совести Есета, если вдруг кто получит реакцию этой мифической фичи на что-либо - отпишитесь.

[Skorpion 55]

Можно впринципе набор ликтестов скачать со сайта Матушека и с ними поиграть. Они вред не принесут системе. Но это по вашему усмотрению...

Paul

Половину ликтестов Nod AV 4 определил как заразу (чаще всего Win32.Leaktest) и предложил удалить их.

При запуске оставшихся Nod не пошевилился

HIPS очень интересная штука какая-то )))

ESS не проверял.

[p2u 824]

Половину ликтестов Nod AV 4 определил как заразу (чаще всего Win32.Leaktest) и предложил удалить их.

Так я тоже могу. Передайте руководству ESET, что можно ещё сайты, на которые соединяются ликтесты поставить в базе фишинга. Результаты будут ещё лучше...

Paul

[Виталий Я. 859]

Ну Матюшек уже многое показал и без этого теста.

Надо тогда хотя бы техническому директору российского Есета разъяснить как-то, что он не тем скриншотом иллюстрирует фичу, которой на самом деле в настройках нет (а может и совсем нет)

Ну эта история на совести Есета, если вдруг кто получит реакцию этой мифической фичи на что-либо - отпишитесь.

Матушек показал то, что там ничего и не изменилось - и не знаю, радоваться или плакать пользователям "комбайна" от Eset.

[Skorpion 55]

Так я тоже могу. Передайте руководству ESET, что можно ещё сайты, на которые соединяются ликтесты поставить в базе фишинга. Результаты будут ещё лучше...

Paul

Касперский тоже детектом вынес половину

[p2u 824]

Касперский тоже детектом вынес половину

В тестах фукнционала HIPS предполагается отключить сигнатурный детект - вредонос может быть неизвестен, но обнаруживается его потенциально вредные действия (кража паролей или номера кредитной карточки, допустим).

Paul

[priv8v 960]

наверняка вынес их детектом в названии которого отражалась суть действий этого файла

причем детектировал не сигнатурно по маске "вид.ось.название.модификация", а по-другому...

[Рашевский Роман 110]

Вчера состоялся разговор с технической поддержкой компании Eset - результат "плачевный":

как мне сказал консультант из службы технической поддержки "...никакого компонента HIPS в новой версии продуктов компании Eset не существует...", на мой второй вопрос:

"Т.е. Вы хотите сказать, что то, что написано на официальном сайте компании Eset (www.eset.com), в пресс-релизах на различных языках, на сайте российского представительства компании Eset - не правда?", на что был получен твердый ответ:

"Это не правда".

Вот так вот получается...

[Андрей-001 1099]

"Host-based Intrusion Prevention System"

Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Host Intrusion Prevention System (HIPS) для защиты системы от вредного воздействия и ликвидации деятельности нарушителей безопасности вашего компьютера. Поведенческий анализатор совместно с сетевым фильтром обеспечивают эффективный мониторинг запущенных процессов, файлов и изменений в базе данных Реестра, который позволяет активно блокировать такие вторжения и противостоять им.

Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Другие вендоры называют его HIPS, другие НЕ называют. Это их дело, их решение. Не вижу смысла кому-то из производителей на данный момент кичиться наличием в своей антивирусной программе визуально выделенного или как-то иначе обозначенного HIPS и считать это преимуществом программы. Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Ясно одно, что в ESS и EAV в отдельный раздел или в отдельную вкладку программы это не выделено. Может быть только пока.

Потому и ответ полученный Романом таков, какой он есть.

[Рашевский Роман 110]

Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Другие вендоры называют его HIPS, другие НЕ называют. Это их дело, их решение. Не вижу смысла кому-то из производителей на данный момент кичиться наличием в своей антивирусной программе визуально выделенного или как-то иначе обозначенного HIPS и считать это преимуществом программы. Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Ясно одно, что в ESS и EAV в отдельный раздел или в отдельную вкладку программы это не выделено. Может быть только пока.

Потому и ответ полученный Романом таков, какой он есть.

Согласен.

[Сергей Ильин 1538]

Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Андрей, как раз твой пости и показывает, что есть о чем тут говорить еще, раз такая каша у всех. Выше уже говорилось, что есть в Eset 4.0 на самом деле, Олег Гудилин все верно написал. Даже выдержка их гайда подтверждает, что словаки имеют в виду под HIPS обычный IDS/IPS как довесок к сетевому экрану. Почувствуйте разницу!

Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Это не так, есть общепринятая терминология. Можно хотя бы отбратиться к Wikipedia.

http://en.wikipedia.org/wiki/Intrusion-prevention_system

Функционал HIPS - уже давно не просто детектор сетевых вторжений на уровне хоста:

A host-based IPS (HIPS) is one where the intrusion-prevention application is resident on that specific IP address, usually on a single computer. HIPS complements traditional finger-print-based and heuristic antivirus detection methods, since it does not need continuous updates to stay ahead of new malware. As ill-intended code needs to modify the system or other software residing on the machine to achieve its evil aims, a truly comprehensive HIPS system will notice some of the resulting changes and prevent the action by default or notify the user for permission.

Extensive use of system resources can be a drawback of existing HIPS, which integrate firewall, system-level action control and sandboxing into a coordinated detection net, on top of a traditional AV product. This extensive protection scheme may be warranted for a laptop computer frequently operating in untrusted environments (e.g. on cafe or airport Wi-Fi networks), but the heavy defenses may take their toll on battery life and noticeably impair the generic responsiveness of the computer as the HIPS protective component and the traditional AV product check each file on a PC to see if it is malware against a huge blacklist. Alternatively if HIPS is combined with an AV product utilising whitelisting technology then there is far less use of system resources as many applications on the PC are trusted (whitelisted). HIPS as an application then becomes a real alternative to traditional antivirus products.

Само собой никакого whitelisting/blacklisting или sendbox в новом Eset нет, а значит там нет никакого HIPS в современном понимании этого термина. Так что дело тут совсем не в какой-то там отдельной закладке в интерфейсе.

Особенно странно читать последний коммент от Рашевского Романа .. Статью про проактивные технологии, не ты писал что ли?

[Олег Гудилин 95]

Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Андрей, если Вам не понятно, то я вам скажу еще раз более четко: по моему мнению и результату ряда проверок в продукте версии 4.0 нет функционала, приведенного Вами в цитате. Нет не галки в интерфейсе, а нет функционала. И называть его можно хипсом или горшком с ручкой - это все равно. Беда в том, что нет его.

Но возможно, я не прав. Если у Вас есть аргументы (какой-либо наглядный тест), который показывает обратное, что поведенческий анализатор мониторящий файлы, реестр и процессы и таким образом предотвращающий вторжения в продукте есть - очень будет интересно посмотреть. Это будет доказывать, что настройки нет, а фича есть.

А "вот написано, значит так и работает" не убеждает.

[priv8v 960]

который показывает обратное, что поведенческий анализатор мониторящий файлы, реестр и процессы и таким образом предотвращающий вторжения в продукте есть - очень будет интересно посмотреть.

Андрей-001, можете не приводить тесты, которые это показывают если таковых нет (а их вроде нет) - просто скажите какие действия/модификацию чего хипсом бьет ESS - эти действия можно уже будет и самим воссоздать..

[Андрей-001 1099]

отбратиться к Wikipedia

Если у Вас есть ...какой-либо наглядный тест...

просто скажите какие действия/модификацию чего хипсом бьет ESS

Если википедия с её "кто-то-что-то-написаловом" уже стала руководством и законопроектом для разработчиков, то тогда им и... карты в руки.

:-) Странно, что мне адресуются вопросы, на которые все хотят услышать ответы.

А что у меня где-то в подписи или в сообщениях написано, что я занимаюсь тестированием или разработкой продуктов ESET, или каких-либо HIPS и обладаю лицензией на корпоративную версию?

Или я где-то написал, что собираюсь что-то кому-то доказывать и защищать продукты ESET?

Я сделал для себя вывод. Вы можете с ним или согласиться, или продолжать... (дын-дын-дын).

Ну нет у них HIPS, так и нет, что из этого? Разве цена на их продукты повысилась?

Или они написали, что их HIPS лучше, чем у продуктов ЛК, или их технология самая хипсовая в мире?

PS. Может, чтобы успокоиться и выяснить наличие HIPS в продуктах ESET, нужно независимым экспертам АМ провести отдельный тест по продуктам ESET совместно с экспертами ESET.

Само собой разумеется, что представители ЛК или выходцы с других известных ресурсов с Registrant Name:Kaspersky Lab или другим вендор-именем, какими бы умными, опытными и уважаемыми не были, для этого дела не подходят, т.к. их мнение может быть предвзятым.

PPS. Прошу мои посты не воспринимать как противодействие или руководство к действию. Оно не есть так.

[p2u 824]

Ну нет у них HIPS, так и нет, что из этого? Разве цена на их продукты повысилась?

Если мне на рынке очень красивая девушка пытается продать товар, и, заблуждаясь сама, заявляет при этом о свойствах, которых нет и за это даже не извиняется, то тогда у неё должны быть ОЧЕНЬ красивые глаза, чтобы я купил этот товар у неё...

Paul

[Рашевский Роман 110]

Андрей, как раз твой пости и показывает, что есть о чем тут говорить еще, раз такая каша у всех. Выше уже говорилось, что есть в Eset 4.0 на самом деле, Олег Гудилин все верно написал. Даже выдержка их гайда подтверждает, что словаки имеют в виду под HIPS обычный IDS/IPS как довесок к сетевому экрану. Почувствуйте разницу!

Это не так, есть общепринятая терминология. Можно хотя бы отбратиться к Wikipedia.

http://en.wikipedia.org/wiki/Intrusion-prevention_system

Функционал HIPS - уже давно не просто детектор сетевых вторжений на уровне хоста:

Само собой никакого whitelisting/blacklisting или sendbox в новом Eset нет, а значит там нет никакого HIPS в современном понимании этого термина. Так что дело тут совсем не в какой-то там отдельной закладке в интерфейсе.

Особенно странно читать последний коммент от Рашевского Романа .. Статью про проактивные технологии, не ты писал что ли?

Насчет Википедии - согласен, зачастую там находится "отборная отсебятина" и не стоит экспертам твоего уровня, Сергей, ссылаться на Википедию.

Я не претендую на объективность, в своей статье я изложил собственное видение классификации проактивных методов защиты и данного направления в целом.

Что касается моего предыдущего сообщения, то я написал сообщение к тому, что официальная техническая поддержка компании, куда зачастую и обращаются обычные пользователи ПК, отрицает существование какого бы то ни было HIPS'а, ни в качестве отдельного модуля, ни в качестве "дополнения" к модулю Сетевого экрана, ничего более я не хотел сказать своим предыдущим сообщением...

p.s. Вообще-то компоненты whitelisting/blacklisting не входят в классическое понимание HIPS, да и в современное, пожалуй,тоже, как мне кажется...

p.p.s. Пишется "sAndbox", а не "sEndbox" (первый корень "sand" - песок)... Но это так, к слову.

[Сергей Ильин 1538]

Насчет Википедии - согласен, зачастую там находится "отборная отсебятина" и не стоит экспертам твоего уровня, Сергей, ссылаться на Википедию. smile.gif

Чего блин обобщать ... где там отсебятина в цитате? Давай прямо конкретно, раз взялся!

p.s. Вообще-то компоненты whitelisting/blacklisting не входят в классическое понимание HIPS, да и в современное, пожалуй,тоже, как мне кажется... smile.gif

Мне кажется ... пожалуй ...

[Сергей Ильин 1538]

Рашевский Роман, почему все темы с твоим участием гарантированно скатываются в оффтоп? Очень много жалоб от других форумчан поступает. Вместо того, чтобы писать про возможности HIPS в новой версии антивируса Eset, тут какие-то обсуждения про ацтойность WikiPedia пошли ... Если есть реальные замечания к приведенному тексту напиши (создай тему)!

Про инфу от службы поддержки спасибо! Это полезно, но очень много постов не по делу.

P.S. Как от модератора соседнего форума активности от тебя мало. Только не нужно говорить, что про VBA нечего писать. Тем более опять засорять эту тему.

[priv8v 960]

:-) Странно, что мне адресуются вопросы, на которые все хотят услышать ответы.

А что у меня где-то в подписи или в сообщениях написано, что я занимаюсь тестированием или разработкой продуктов ESET, или каких-либо HIPS и обладаю лицензией на корпоративную версию?

Или я где-то написал, что собираюсь что-то кому-то доказывать и защищать продукты ESET?

Андрей-001, ничего плохого я в виду не имел, естественно. Просто я подумал, что у Вас может быть такая инфа - увидел Вас в этой теме и направленный к Вам аналогичный вопрос и решил, что у Вас возможно есть информация по действиям ХИПСа есета, которой нет у нас - вдруг Вы нашли этот функционал, запустив какого-то зверька на тестовой машине с ESS - именно исходя из этих мыслей я и попросил поделиться информацией.

На нет и суда нет.

[NickXists 5]

Официальные комментарии отн-но наличия HIPS в v4:

post #46

(подчеркивание - моё)

HIPS Information:

ESET Smart Security 4 and ESET NOD32 Antivirus 4 introduced basic Host-based Intrusion Prevention System (HIPS) functionality as an extra layer of protection to our security software. It is not intended nor designed to act as a replacement for standalone HIPS products.

ESET’s HIPS protects your system from malware and unauthorized attempts to impact the security of the software.

In the current release, there are no dedicated HIPS controls in the user interface.

ESET delivers host-based intrusion protection through a combination of capabilities including self-defense, advanced heuristics, web access protection and protocol filtering.

In particular, advanced heuristics stops potentially malicious code by analyzing their behavior and disabling them before they can do damage. ESET’s self-defense prevents malware from disabling our software and weakening the security of the user’s system. Future releases of ESET Smart Security and ESET NOD32 Antivirus will have increased HIPS functionality.

Regarding questions about test performance on HIPS tests:

While current versions may not pass explicit tests designed for standalone HIPS products, ESET Smart Security/ESET NOD32 Antivirus are designed to accomplish the same tasks through other mechanisms (i.e., Advanced Heuristics, IDS, Self-Defense, etc.). That said, HIPS testing results for subsequent versions of ESET Smart Security and ESET NOD32 Antivirus will be markedly improved.

Regarding questions about HIPS in Home Editions of ESET software:

Although the same HIPS functionality is present in the Home Editions of our products, ESET has not actively marketed it to that customer segment.

-ESET Team

[Иван 290]

ESET delivers host-based intrusion protection through a combination of capabilities including self-defense, advanced heuristics, web access protection and protocol filtering.

значит комбинация самозащиты, эвристика и фаервола в понимании есета есть хипс, чтож буим знать

[Skorpion 55]

при чем в nod32 antivirus фаервола нет, получается только селф-дефенс и эвристика )))

зато как они хвастаются HIPSом: http://www.esetnod32.ru/company/news.php?ELEMENT_ID=6597

[Guest Просто_Юзер]

http://eset-club.ru/index.php?showtopic=86...0entry719

А тут на вопрос не отвечают уже несколько дней...интересен ответ на вопрос,посмотрим...