Перейти к содержанию
Евгений Павлович

Есть ли HIPS в NOD32 4.0?

Recommended Posts

priv8v
Вы уже не про mebroot, я так думаю?

ну да. я нод-логин имел в виду...

:)

Как только-Вам первому доложу, чтобы Вас успокоить по поводу HIPS'a

договорились ;)

Можно впринципе набор ликтестов скачать со сайта Матушека и с ними поиграть. Они вред не принесут системе. Но это по вашему усмотрению...

хм...

думаю, что одна часть будет прибита еще до запуска эвристическими методами или сигнатурами, а другая часть просто не обойдет фаер, т.к он знаком с этими способами, но действий от ХИПСа добиться, думаю, не выйдет - но это лишь мой прогноз. тесты покажут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

В связи с тем, что общение уже давно ушло от смысла и названия темы "Вышли ESET NOD32 и Smart Security 4.0.422" принял решение переименовать её в " Есть ли HIPS в 4 версии?". Думаю,так будет правильнее и точнее!

набор ликтестов скачать со сайта Матушека

Спасибо...Но,что-то не хочется! )

договорились

Договорились...!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Увы, не включили.

Ну Матюшек уже многое показал и без этого теста.

"Технология есть, настроек нет.

Надо тогда хотя бы техническому директору российского Есета разъяснить как-то, что он не тем скриншотом иллюстрирует фичу, которой на самом деле в настройках нет (а может и совсем нет) :)

Ну эта история на совести Есета, если вдруг кто получит реакцию этой мифической фичи на что-либо - отпишитесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Можно впринципе набор ликтестов скачать со сайта Матушека и с ними поиграть. Они вред не принесут системе. Но это по вашему усмотрению... :)

Paul

Половину ликтестов Nod AV 4 определил как заразу (чаще всего Win32.Leaktest) и предложил удалить их.

При запуске оставшихся Nod не пошевилился :)

HIPS очень интересная штука какая-то )))

ESS не проверял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Половину ликтестов Nod AV 4 определил как заразу (чаще всего Win32.Leaktest) и предложил удалить их.

Так я тоже могу. Передайте руководству ESET, что можно ещё сайты, на которые соединяются ликтесты поставить в базе фишинга. Результаты будут ещё лучше... laugh3.gif

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ну Матюшек уже многое показал и без этого теста.

Надо тогда хотя бы техническому директору российского Есета разъяснить как-то, что он не тем скриншотом иллюстрирует фичу, которой на самом деле в настройках нет (а может и совсем нет) :)

Ну эта история на совести Есета, если вдруг кто получит реакцию этой мифической фичи на что-либо - отпишитесь.

Матушек показал то, что там ничего и не изменилось - и не знаю, радоваться или плакать пользователям "комбайна" от Eset.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Так я тоже могу. Передайте руководству ESET, что можно ещё сайты, на которые соединяются ликтесты поставить в базе фишинга. Результаты будут ещё лучше... laugh3.gif

Paul

Касперский тоже детектом вынес половину :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Касперский тоже детектом вынес половину :)

В тестах фукнционала HIPS предполагается отключить сигнатурный детект - вредонос может быть неизвестен, но обнаруживается его потенциально вредные действия (кража паролей или номера кредитной карточки, допустим).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

наверняка вынес их детектом в названии которого отражалась суть действий этого файла

причем детектировал не сигнатурно по маске "вид.ось.название.модификация", а по-другому...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман

Вчера состоялся разговор с технической поддержкой компании Eset - результат "плачевный":

как мне сказал консультант из службы технической поддержки "...никакого компонента HIPS в новой версии продуктов компании Eset не существует...", на мой второй вопрос:

"Т.е. Вы хотите сказать, что то, что написано на официальном сайте компании Eset (www.eset.com), в пресс-релизах на различных языках, на сайте российского представительства компании Eset - не правда?", на что был получен твердый ответ:

"Это не правда".

Вот так вот получается... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
"Host-based Intrusion Prevention System"

Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Host Intrusion Prevention System (HIPS) для защиты системы от вредного воздействия и ликвидации деятельности нарушителей безопасности вашего компьютера. Поведенческий анализатор совместно с сетевым фильтром обеспечивают эффективный мониторинг запущенных процессов, файлов и изменений в базе данных Реестра, который позволяет активно блокировать такие вторжения и противостоять им.

Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Другие вендоры называют его HIPS, другие НЕ называют. Это их дело, их решение. Не вижу смысла кому-то из производителей на данный момент кичиться наличием в своей антивирусной программе визуально выделенного или как-то иначе обозначенного HIPS и считать это преимуществом программы. Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Ясно одно, что в ESS и EAV в отдельный раздел или в отдельную вкладку программы это не выделено. Может быть только пока.

Потому и ответ полученный Романом таков, какой он есть.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Другие вендоры называют его HIPS, другие НЕ называют. Это их дело, их решение. Не вижу смысла кому-то из производителей на данный момент кичиться наличием в своей антивирусной программе визуально выделенного или как-то иначе обозначенного HIPS и считать это преимуществом программы. Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Ясно одно, что в ESS и EAV в отдельный раздел или в отдельную вкладку программы это не выделено. Может быть только пока.

Потому и ответ полученный Романом таков, какой он есть.

Согласен. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не понятно, чего тут спорить и обсуждать. Я же приводил выше перевод со словацкого guide-оригинала (почти буквальный, а не переделанный переводчиком по своему усмотрению):

Андрей, как раз твой пости и показывает, что есть о чем тут говорить еще, раз такая каша у всех. Выше уже говорилось, что есть в Eset 4.0 на самом деле, Олег Гудилин все верно написал. Даже выдержка их гайда подтверждает, что словаки имеют в виду под HIPS обычный IDS/IPS как довесок к сетевому экрану. Почувствуйте разницу!

Тем более, что пока нет единого, общепризнанного международного или хотя бы локального стандарта для HIPS.

Это не так, есть общепринятая терминология. Можно хотя бы отбратиться к Wikipedia.

http://en.wikipedia.org/wiki/Intrusion-prevention_system

Функционал HIPS - уже давно не просто детектор сетевых вторжений на уровне хоста:

A host-based IPS (HIPS) is one where the intrusion-prevention application is resident on that specific IP address, usually on a single computer. HIPS complements traditional finger-print-based and heuristic antivirus detection methods, since it does not need continuous updates to stay ahead of new malware. As ill-intended code needs to modify the system or other software residing on the machine to achieve its evil aims, a truly comprehensive HIPS system will notice some of the resulting changes and prevent the action by default or notify the user for permission.

Extensive use of system resources can be a drawback of existing HIPS, which integrate firewall, system-level action control and sandboxing into a coordinated detection net, on top of a traditional AV product. This extensive protection scheme may be warranted for a laptop computer frequently operating in untrusted environments (e.g. on cafe or airport Wi-Fi networks), but the heavy defenses may take their toll on battery life and noticeably impair the generic responsiveness of the computer as the HIPS protective component and the traditional AV product check each file on a PC to see if it is malware against a huge blacklist. Alternatively if HIPS is combined with an AV product utilising whitelisting technology then there is far less use of system resources as many applications on the PC are trusted (whitelisted). HIPS as an application then becomes a real alternative to traditional antivirus products.

Само собой никакого whitelisting/blacklisting или sendbox в новом Eset нет, а значит там нет никакого HIPS в современном понимании этого термина. Так что дело тут совсем не в какой-то там отдельной закладке в интерфейсе.

Особенно странно читать последний коммент от Рашевского Романа .. Статью про проактивные технологии, не ты писал что ли? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Исходя из этого можно заключить, что защита в ESS работает по этой технологии, но не имеет специального компонента, отвечающего за это дело.

Андрей, если Вам не понятно, то я вам скажу еще раз более четко: по моему мнению и результату ряда проверок в продукте версии 4.0 нет функционала, приведенного Вами в цитате. Нет не галки в интерфейсе, а нет функционала. И называть его можно хипсом или горшком с ручкой - это все равно. Беда в том, что нет его.

Но возможно, я не прав. Если у Вас есть аргументы (какой-либо наглядный тест), который показывает обратное, что поведенческий анализатор мониторящий файлы, реестр и процессы и таким образом предотвращающий вторжения в продукте есть - очень будет интересно посмотреть. Это будет доказывать, что настройки нет, а фича есть.

А "вот написано, значит так и работает" не убеждает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
который показывает обратное, что поведенческий анализатор мониторящий файлы, реестр и процессы и таким образом предотвращающий вторжения в продукте есть - очень будет интересно посмотреть.

Андрей-001, можете не приводить тесты, которые это показывают если таковых нет (а их вроде нет) - просто скажите какие действия/модификацию чего хипсом бьет ESS - эти действия можно уже будет и самим воссоздать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

отбратиться к Wikipedia
Если у Вас есть ...какой-либо наглядный тест...
просто скажите какие действия/модификацию чего хипсом бьет ESS

Если википедия с её "кто-то-что-то-написаловом" уже стала руководством и законопроектом для разработчиков, то тогда им и... карты в руки.

:-) Странно, что мне адресуются вопросы, на которые все хотят услышать ответы.

А что у меня где-то в подписи или в сообщениях написано, что я занимаюсь тестированием или разработкой продуктов ESET, или каких-либо HIPS и обладаю лицензией на корпоративную версию?

Или я где-то написал, что собираюсь что-то кому-то доказывать и защищать продукты ESET?

Я сделал для себя вывод. Вы можете с ним или согласиться, или продолжать... (дын-дын-дын).

Ну нет у них HIPS, так и нет, что из этого? Разве цена на их продукты повысилась?

Или они написали, что их HIPS лучше, чем у продуктов ЛК, или их технология самая хипсовая в мире?

PS. Может, чтобы успокоиться и выяснить наличие HIPS в продуктах ESET, нужно независимым экспертам АМ провести отдельный тест по продуктам ESET совместно с экспертами ESET.

Само собой разумеется, что представители ЛК или выходцы с других известных ресурсов с Registrant Name:Kaspersky Lab или другим вендор-именем, какими бы умными, опытными и уважаемыми не были, для этого дела не подходят, т.к. их мнение может быть предвзятым.

PPS. Прошу мои посты не воспринимать как противодействие или руководство к действию. Оно не есть так. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Ну нет у них HIPS, так и нет, что из этого? Разве цена на их продукты повысилась?

Если мне на рынке очень красивая девушка пытается продать товар, и, заблуждаясь сама, заявляет при этом о свойствах, которых нет и за это даже не извиняется, то тогда у неё должны быть ОЧЕНЬ красивые глаза, чтобы я купил этот товар у неё...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Андрей, как раз твой пости и показывает, что есть о чем тут говорить еще, раз такая каша у всех. Выше уже говорилось, что есть в Eset 4.0 на самом деле, Олег Гудилин все верно написал. Даже выдержка их гайда подтверждает, что словаки имеют в виду под HIPS обычный IDS/IPS как довесок к сетевому экрану. Почувствуйте разницу!

Это не так, есть общепринятая терминология. Можно хотя бы отбратиться к Wikipedia.

http://en.wikipedia.org/wiki/Intrusion-prevention_system

Функционал HIPS - уже давно не просто детектор сетевых вторжений на уровне хоста:

Само собой никакого whitelisting/blacklisting или sendbox в новом Eset нет, а значит там нет никакого HIPS в современном понимании этого термина. Так что дело тут совсем не в какой-то там отдельной закладке в интерфейсе.

Особенно странно читать последний коммент от Рашевского Романа .. Статью про проактивные технологии, не ты писал что ли? ;)

Насчет Википедии - согласен, зачастую там находится "отборная отсебятина" и не стоит экспертам твоего уровня, Сергей, ссылаться на Википедию. :)

Я не претендую на объективность, в своей статье я изложил собственное видение классификации проактивных методов защиты и данного направления в целом. :)

Что касается моего предыдущего сообщения, то я написал сообщение к тому, что официальная техническая поддержка компании, куда зачастую и обращаются обычные пользователи ПК, отрицает существование какого бы то ни было HIPS'а, ни в качестве отдельного модуля, ни в качестве "дополнения" к модулю Сетевого экрана, ничего более я не хотел сказать своим предыдущим сообщением... ;)

p.s. Вообще-то компоненты whitelisting/blacklisting не входят в классическое понимание HIPS, да и в современное, пожалуй,тоже, как мне кажется... :)

p.p.s. Пишется "sAndbox", а не "sEndbox" (первый корень "sand" - песок)... Но это так, к слову. ;)

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Насчет Википедии - согласен, зачастую там находится "отборная отсебятина" и не стоит экспертам твоего уровня, Сергей, ссылаться на Википедию. smile.gif

Чего блин обобщать ... где там отсебятина в цитате? Давай прямо конкретно, раз взялся! <_<

p.s. Вообще-то компоненты whitelisting/blacklisting не входят в классическое понимание HIPS, да и в современное, пожалуй,тоже, как мне кажется... smile.gif

Мне кажется ... пожалуй ... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Рашевский Роман, почему все темы с твоим участием гарантированно скатываются в оффтоп? Очень много жалоб от других форумчан поступает. Вместо того, чтобы писать про возможности HIPS в новой версии антивируса Eset, тут какие-то обсуждения про ацтойность WikiPedia пошли ... Если есть реальные замечания к приведенному тексту напиши (создай тему)!

Про инфу от службы поддержки спасибо! Это полезно, но очень много постов не по делу.

P.S. Как от модератора соседнего форума активности от тебя мало. Только не нужно говорить, что про VBA нечего писать. Тем более опять засорять эту тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
:-) Странно, что мне адресуются вопросы, на которые все хотят услышать ответы.

А что у меня где-то в подписи или в сообщениях написано, что я занимаюсь тестированием или разработкой продуктов ESET, или каких-либо HIPS и обладаю лицензией на корпоративную версию?

Или я где-то написал, что собираюсь что-то кому-то доказывать и защищать продукты ESET?

Андрей-001, ничего плохого я в виду не имел, естественно. Просто я подумал, что у Вас может быть такая инфа - увидел Вас в этой теме и направленный к Вам аналогичный вопрос и решил, что у Вас возможно есть информация по действиям ХИПСа есета, которой нет у нас - вдруг Вы нашли этот функционал, запустив какого-то зверька на тестовой машине с ESS - именно исходя из этих мыслей я и попросил поделиться информацией.

На нет и суда нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists

Официальные комментарии отн-но наличия HIPS в v4:

post #46

(подчеркивание - моё)

HIPS Information:

ESET Smart Security 4 and ESET NOD32 Antivirus 4 introduced basic Host-based Intrusion Prevention System (HIPS) functionality as an extra layer of protection to our security software. It is not intended nor designed to act as a replacement for standalone HIPS products.

ESET’s HIPS protects your system from malware and unauthorized attempts to impact the security of the software.

In the current release, there are no dedicated HIPS controls in the user interface.

ESET delivers host-based intrusion protection through a combination of capabilities including self-defense, advanced heuristics, web access protection and protocol filtering.

In particular, advanced heuristics stops potentially malicious code by analyzing their behavior and disabling them before they can do damage. ESET’s self-defense prevents malware from disabling our software and weakening the security of the user’s system. Future releases of ESET Smart Security and ESET NOD32 Antivirus will have increased HIPS functionality.

Regarding questions about test performance on HIPS tests:

While current versions may not pass explicit tests designed for standalone HIPS products, ESET Smart Security/ESET NOD32 Antivirus are designed to accomplish the same tasks through other mechanisms (i.e., Advanced Heuristics, IDS, Self-Defense, etc.). That said, HIPS testing results for subsequent versions of ESET Smart Security and ESET NOD32 Antivirus will be markedly improved.

Regarding questions about HIPS in Home Editions of ESET software:

Although the same HIPS functionality is present in the Home Editions of our products, ESET has not actively marketed it to that customer segment.

-ESET Team

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
ESET delivers host-based intrusion protection through a combination of capabilities including self-defense, advanced heuristics, web access protection and protocol filtering.

значит комбинация самозащиты, эвристика и фаервола в понимании есета есть хипс, чтож буим знать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

при чем в nod32 antivirus фаервола нет, получается только селф-дефенс и эвристика )))

зато как они хвастаются HIPSом: http://www.esetnod32.ru/company/news.php?ELEMENT_ID=6597

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×