Перейти к содержанию
Евгений Павлович

Есть ли HIPS в NOD32 4.0?

Recommended Posts

Олег Гудилин

Виталик, ты не переживай так. Мне вот дизайн нового ESS нравится, проверку шифрованного трафика они сделали наконец. Много хорошего, я же не спорю. Знаю, что эксперты АМ планируют тест HIPS компонент, может включите туда ESS 4.0? - имхо будет забавно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
...имхо будет забавно :)

Не вижу ничего забавного, Олег... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Олег Гудилин

А давайте посчитаем баги Касперского 2009?

У каждого продукта есть свои минусы и плюсы, но Евгений Павлович не терроризирует ваши продукты в вашей ветке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А давайте посчитаем баги Касперского 2009?

разве Олег Гудилин считает в этой теме баги продуктов компании ESET?

Он лишь пытается узнать что такое HIPS в понимании работников этой компании. По-моему, все вполне законно и нападок никаких нет.

но Евгений Павлович не терроризирует ваши продукты в вашей ветке

что бы начать терроризировать каспера - должна быть хорошая техническая база - т.к на кривой кобыле типа "что такое хипс и как он работает" касперов к забору прижать не удастся.

тут целенаправлено нужно часами изучать работу эмуля и думать, думать, думать ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
разве Олег Гудилин считает в этой теме баги

Нет. сначала он обрушился с критикой на ESET Russia, потом на HIPS:

Мда, наглость российского офиса Есет конечно не знает границ.
Знаю, что эксперты АМ планируют тест HIPS компонент, может включите туда ESS 4.0? - имхо будет забавно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

про есет-Россия он взял слова назад.

а про "забавно" - тут правда ничего плохого нет, т.к есетовцы понимают под этим словом нечто другое, чем то, что понимают под этим те, кто будет тестировать ХИПСы - вот и выйдет из-за разных пониманий - то самое "забавно". Все правильно и логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Нет. сначала он обрушился с критикой на ESET Russia, потом на HIPS:

Этот наезд можно будет считать необоснованным только в том случае, если мы всё-таки узнаем, что из себя представляет HIPS от ESET.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

ak_

Но пока мы не увидели никаких доказательств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Я вижу в словацкой документации HIPS.
в части английских материалов также есть HIPS. Тем интересней узнать, что имели в виду.

Это, конечно, не может служить доказательством. Но может кое-что прояснить:

В русском User_Guide

4.1.2 Host Intrusion Prevention System (HIPS) защищает от попыток внешнего воздействия, способных негативно повлиять на безопасность вашего компьютера. Для мониторинга процессов, файлов и ключей реестра HIPS использует сочетание технологии поведенческого анализа с возможностями сетевого фильтра, что позволяет эффкективно детектировать, блокировать и предотвращать подобные попытки вторжения.

В английском User_Guide

4.1.2 Host Intrusion Prevention System (HIPS) protects your system from malware or any unwanted activity attempting to negatively afect the security of your computer. It utilizes advanced behavioral analysis coupled with the detection capabilities of network flter to monitor running processes, fles and registry keys, actively blocking and preventing any such attempts.

В словацком User_Guide (мой почти буквальный перевод) ;-)

4.1.2 Host Intrusion Prevention System (HIPS) для защиты системы от вредного воздействия и ликвидации деятельности нарушителей безопасности вашего компьютера. Поведенческий анализатор совместно с сетевым фильтром обеспечивают эффективный мониторинг запущенных процессов, файлов и изменений в базе данных Реестра, который позволяет активно блокировать такие вторжения и противостоять им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин

Agent, есть просьба. Обсудите моё недостойное поведение в отдельной теме, заведите ее и обсудите там. Вы видимо не понимаете, когда Вам другие участники русским языком говорят - не превращайте темы со своим участием в флудильню.

По делу. Григорий Васильев, технический директор российского Есет на прессконференции по версии 4.0 проиллюстрировал HIPS так:

vas.png

hips.png

1. На скриншоте меню настройки фаервола в части касаемой детекта сетевых атак (IDS). Конечно можно радостно называть это HIPS, поскольку терминология неустоявшаяся. Но какое отношение к этой фиче имеют заявленные мониторинг файлов и реестра, а также поведенческий анализ?

2.Детект сетевых атак был в предыдущих версиях ESS, а HIPS позиционируется как новая фича 4.0. Значит вряд ли в Cловакии под HIPS имели в виду детект сетевых атак.

3.Насколько я помню, фичи, приведенной Васильевым на скриншоте в презентации, нет в антивирусе NOD32. Она есть только в ESS. Однако в описании антивируса на сайте HIPS есть http://www.esetnod32.ru/products/av_home.php. Еще одно доказательство, что Васильев что-то напутал и привел не тот скриншот.

Итак Васильев скорее всего ошибся. Это неудивительно, поскольку в интерфейсе ESS и EAV 4.0 настроек HIPS похоже нет.

В связи с этим было бы здорово узнать - где настройки HIPS и как он работает.

post-1330-1239999321_thumb.png

post-1330-1239999362_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А заодно и я задам конкретные вопросы по ESS 4:

Евгений Павлович, если знаете, то, пожалуйста, проясните их.

1). В чем заключается мониторинг файлов и ключей реестра? (конкретно)

2). Что анализируют технологии поведенческого анализа? (конкретно)

Взвесьте каждое слово если будете отвечать конкретно на эти вопросы - Вы должны точно знать, а не предполагать так или так. Потому если знаете - скажите, если нет - скажите, что нет :)

Почему не предполагать, а знать? Да что бы Вам было проще - не придется идти на попятную, когда я начну проверять истинность предположений/утверждений о работе продукта.

Никого не хочу обидеть и ни на кого не наезжаю - просто хочу разобраться в механизмах и функциях ХИПСа в ESS 4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Олег Гудилин

Я независимо от Вас вчера также заинтересовался этим вопросом и заметил расхождения в разноязычных описаниях Антивируса и ESS в документации и на сайте. Но вчера (уже, наверное, надо говорить - позавчера) русский сайт esetnod32.ru не был доступен, хотя возможно, что только через моего сервис-провайдера.

Могу только предположить, что расхождения в описаниях будут в скором времени исправлены. А сам HIPS появится с выходом топ-версии 4.0.422, а если она не выйдет, то позднее.

Иначе, зачем тогда им писать про то, чего нет...

Коллеги

Если ли возможность сравнить описание HIPS от ESET с классическим (всеми признанным), если такое уже где-то программно-исторически закреплено или законодательно утверждено? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Коллеги

Если ли возможность сравнить описание HIPS от ESET с классическим (всеми признанным), если такое уже где-то программно-исторически закреплено или законодательно утверждено? :-)

А зачем? Важнее ответить на вопросы priv8v, понять есть ли в продукте заявленный функционал.

А сам HIPS появится с выходом топ-версии 4.0.422, а если она не выйдет, то позднее.

Иначе, зачем тогда им писать про то, чего нет...

Допускаю, увидим. Но если Вы правы, то предыдущая версия уже продаётся с описанием отсутствующей фичи http://allsoft.ru/program_page.php?grp=52090 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
предыдущая версия уже продаётся с описанием отсутствующей фичи

Да, Вы правы, это так. Но ведь эта фича может прийти к пользователям с обновлением продукта.

Важнее ответить на вопросы priv8v, понять есть ли в продукте заявленный функционал.

Но Евгений Павлович ведь не обязан разбираться в тонкостях технологии защиты, так же как и отвечать на вопросы, если он не полномочный представитель компании ESET.

Я это к тому, что нас тут много желающих, что-то узнать, а он, получается, как бы один в ответе за всё.

Узнает - расскажет, а не узнает - увы, придётся нам узнавать (лицезреть, разбираться) самим, если желание останется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

На wilderssecurity говорят, что в периоде бета-тестирования 4-ки речи ни о какой HIPS не было никогда. Было бы странно внедрить функционал, который не тестируется в периоде бета, не так? А может быть HIPS есть, но оно в SuperHidden Mode, и никто его найти не может? :rolleyes:

По логике есть разные варианты:

* модуль есть, но только в Business Edition

* модуль будет в качестве плаг-ина какого-нибудь, который позже прикрутят...

* модули пока нет, ESET удаляет часть про HIPS из справки, и этот функционал будет в пятёрке.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович
Евгений Павлович ведь не обязан разбираться в тонкостях технологии защиты, так же как и отвечать на вопросы, если он не полномочный представитель компании ESET.

ВЫ правы..Но так как я модерирую данную ветку форума (как говорится, назвался груздем,полезай в кузов) - соответственно, и удар держу за всё! ...)... и стараюсь угодить всем на выпадки в отношении ЕСЕТа!

Евгений Павлович, если знаете, то, пожалуйста, проясните их.

1). В чем заключается мониторинг файлов и ключей реестра? (конкретно)

2). Что анализируют технологии поведенческого анализа? (конкретно)

Чтобы не быть голословным, данные вопросы отдал на рассмотрение разработчикам. Поэтому, как только получу ответы (не раньше понедельника,выходные всё-таки) - сразу же размещу их здесь!

Поэтому,ПОКА не разразилась война, данную тему ЗАКРОЮ!

Как только получу ответ-любой-так размещу и продолжим дискуссию!

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Ответа ПОКА нет-думаю, что завтра-выходные как-никак!

Подумал на досуге..."МОЁ ПРЕДПОЛОЖЕНИЕ:

Вполне возможно, что NOD32 ESET SysInspector является (или станет в будущем) частью HIPS по следующим признакам:

1. обращение к обновляемым файлам em000_32.dat, em009_32.dat, в которых скорее всего содержится инфо о безопасных данных системы, ESET SysInspector использует эти данные при анализе рейтинга процессов, записей реестра, служб, драйверов, сетевых соединений, критических файлах системы.

2. при анализе файлов системы и приложений наверняка используется набор эвристических правил для вычисления рейтинга безопасности.

3. Эти ВЫВЕРЕННЫЕ данные о безопасных файлах, эвристических правилах могут быть в дальнейшем использованы активным модулем-драйвером для их автоматической защиты, что является фунцией HIPS, при этом совсем необязательно строить какой -то дополнительный интерфейс.

4. как только SysInspector будет выполнять (прозрачно и понятно) активные функции по "убиению" нежелательных процессов, служб, драйверов и прочих, по сути, интерфейс HIPS будет готов на 90%.

5. И,как вариант, разработчики имеют полное право не афишировать технологию работы HIPS из соображений безопасности."..Как вариант! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы программированием драйверов занимались?..

Нереально будет через обновления вклинить в продукт еще один драйвер, который пол-системы будет вязать на свои "рецепторы" для того, что бы за всем следить и сверять с базой безопасных и потенциально-опасными действиями.

А про эвристическую проверку лежащего на харде файла (который не запускают ) никто и не говорил - эвристика нас не смущает. Смущает именно хипс в качестве тех двух вопросов, которые я выше выделил (которые появились после того, как я увидел картинку в этой теме с некоторыми интересными надписями).

Насколько я помню (качал сисинтспектор отдельным файлом) это штука, которая собирает инфу о всех критических местах системы (автозагрузка и т.д) и ранжирует по опасности - системый файл, затем лигитимный, затем неизвестный и наконец вредоносный - типа того...

Поэтому в дальнейшем, конечно, прикрутить его базу можно будет, но это именно нужно кардинально много менять и много кодить, а не через обновления через 50 кб скинуть это...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович
Вы программированием драйверов занимались?..

Именно драйвров-нет!

Я же написал, что это

МОЁ ПРЕДПОЛОЖЕНИЕ

Ждём ответа разработчиков! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ок. ждем :)

а дождемся? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Тему закрываю до ответа специалистов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Итак!...как и обещал...Вот какой ответ я получил!

"Технология есть, настроек нет.

Вся информация –один абзац на сайте и в мануале - вот ЗДЕСЬ!

«Host-based Intrusion Prevention System — Unauthorized attempts to modify your OS or applications are actively blocked through a combination of advanced behavioral analysis and network filtering that monitor your system processes, files, and registry keys. HIPS protects against modern blended threats that may have bypassed your network perimeter security.»

Да, наша самозащита через этот HIPS собственно и работает, контроль процессов, реестра и файлов.

Вы говорите, наверное, о защите файлов самого нода. это немного другое. В этом случае просто драйвер защищает процессы NOD32 или ключи реестра.

HIPS отслеживает поведение по доступу к другим файлам или ключам реестра."

...а вот теперь обсуждаем!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Итак!...как и обещал...Вот какой ответ я получил!

"Технология есть, настроек нет.

Вся информация –один абзац на сайте и в мануале - вот ЗДЕСЬ!

«Host-based Intrusion Prevention System — Unauthorized attempts to modify your OS or applications are actively blocked through a combination of advanced behavioral analysis and network filtering that monitor your system processes, files, and registry keys. HIPS protects against modern blended threats that may have bypassed your network perimeter security.»

Да, наша самозащита через этот HIPS собственно и работает, контроль процессов, реестра и файлов.

Вы говорите, наверное, о защите файлов самого нода. это немного другое. В этом случае просто драйвер защищает процессы NOD32 или ключи реестра.

HIPS отслеживает поведение по доступу к другим файлам или ключам реестра."

...а вот теперь обсуждаем!

Все как обычно, в смысле реализации метода HIPS. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×