Перейти к содержанию
Евгений Павлович

Есть ли HIPS в NOD32 4.0?

Recommended Posts

Олег Гудилин

Виталик, ты не переживай так. Мне вот дизайн нового ESS нравится, проверку шифрованного трафика они сделали наконец. Много хорошего, я же не спорю. Знаю, что эксперты АМ планируют тест HIPS компонент, может включите туда ESS 4.0? - имхо будет забавно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
...имхо будет забавно :)

Не вижу ничего забавного, Олег... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Олег Гудилин

А давайте посчитаем баги Касперского 2009?

У каждого продукта есть свои минусы и плюсы, но Евгений Павлович не терроризирует ваши продукты в вашей ветке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А давайте посчитаем баги Касперского 2009?

разве Олег Гудилин считает в этой теме баги продуктов компании ESET?

Он лишь пытается узнать что такое HIPS в понимании работников этой компании. По-моему, все вполне законно и нападок никаких нет.

но Евгений Павлович не терроризирует ваши продукты в вашей ветке

что бы начать терроризировать каспера - должна быть хорошая техническая база - т.к на кривой кобыле типа "что такое хипс и как он работает" касперов к забору прижать не удастся.

тут целенаправлено нужно часами изучать работу эмуля и думать, думать, думать ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent
разве Олег Гудилин считает в этой теме баги

Нет. сначала он обрушился с критикой на ESET Russia, потом на HIPS:

Мда, наглость российского офиса Есет конечно не знает границ.
Знаю, что эксперты АМ планируют тест HIPS компонент, может включите туда ESS 4.0? - имхо будет забавно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

про есет-Россия он взял слова назад.

а про "забавно" - тут правда ничего плохого нет, т.к есетовцы понимают под этим словом нечто другое, чем то, что понимают под этим те, кто будет тестировать ХИПСы - вот и выйдет из-за разных пониманий - то самое "забавно". Все правильно и логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Нет. сначала он обрушился с критикой на ESET Russia, потом на HIPS:

Этот наезд можно будет считать необоснованным только в том случае, если мы всё-таки узнаем, что из себя представляет HIPS от ESET.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

ak_

Но пока мы не увидели никаких доказательств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Я вижу в словацкой документации HIPS.
в части английских материалов также есть HIPS. Тем интересней узнать, что имели в виду.

Это, конечно, не может служить доказательством. Но может кое-что прояснить:

В русском User_Guide

4.1.2 Host Intrusion Prevention System (HIPS) защищает от попыток внешнего воздействия, способных негативно повлиять на безопасность вашего компьютера. Для мониторинга процессов, файлов и ключей реестра HIPS использует сочетание технологии поведенческого анализа с возможностями сетевого фильтра, что позволяет эффкективно детектировать, блокировать и предотвращать подобные попытки вторжения.

В английском User_Guide

4.1.2 Host Intrusion Prevention System (HIPS) protects your system from malware or any unwanted activity attempting to negatively afect the security of your computer. It utilizes advanced behavioral analysis coupled with the detection capabilities of network flter to monitor running processes, fles and registry keys, actively blocking and preventing any such attempts.

В словацком User_Guide (мой почти буквальный перевод) ;-)

4.1.2 Host Intrusion Prevention System (HIPS) для защиты системы от вредного воздействия и ликвидации деятельности нарушителей безопасности вашего компьютера. Поведенческий анализатор совместно с сетевым фильтром обеспечивают эффективный мониторинг запущенных процессов, файлов и изменений в базе данных Реестра, который позволяет активно блокировать такие вторжения и противостоять им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин

Agent, есть просьба. Обсудите моё недостойное поведение в отдельной теме, заведите ее и обсудите там. Вы видимо не понимаете, когда Вам другие участники русским языком говорят - не превращайте темы со своим участием в флудильню.

По делу. Григорий Васильев, технический директор российского Есет на прессконференции по версии 4.0 проиллюстрировал HIPS так:

vas.png

hips.png

1. На скриншоте меню настройки фаервола в части касаемой детекта сетевых атак (IDS). Конечно можно радостно называть это HIPS, поскольку терминология неустоявшаяся. Но какое отношение к этой фиче имеют заявленные мониторинг файлов и реестра, а также поведенческий анализ?

2.Детект сетевых атак был в предыдущих версиях ESS, а HIPS позиционируется как новая фича 4.0. Значит вряд ли в Cловакии под HIPS имели в виду детект сетевых атак.

3.Насколько я помню, фичи, приведенной Васильевым на скриншоте в презентации, нет в антивирусе NOD32. Она есть только в ESS. Однако в описании антивируса на сайте HIPS есть http://www.esetnod32.ru/products/av_home.php. Еще одно доказательство, что Васильев что-то напутал и привел не тот скриншот.

Итак Васильев скорее всего ошибся. Это неудивительно, поскольку в интерфейсе ESS и EAV 4.0 настроек HIPS похоже нет.

В связи с этим было бы здорово узнать - где настройки HIPS и как он работает.

post-1330-1239999321_thumb.png

post-1330-1239999362_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А заодно и я задам конкретные вопросы по ESS 4:

Евгений Павлович, если знаете, то, пожалуйста, проясните их.

1). В чем заключается мониторинг файлов и ключей реестра? (конкретно)

2). Что анализируют технологии поведенческого анализа? (конкретно)

Взвесьте каждое слово если будете отвечать конкретно на эти вопросы - Вы должны точно знать, а не предполагать так или так. Потому если знаете - скажите, если нет - скажите, что нет :)

Почему не предполагать, а знать? Да что бы Вам было проще - не придется идти на попятную, когда я начну проверять истинность предположений/утверждений о работе продукта.

Никого не хочу обидеть и ни на кого не наезжаю - просто хочу разобраться в механизмах и функциях ХИПСа в ESS 4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Олег Гудилин

Я независимо от Вас вчера также заинтересовался этим вопросом и заметил расхождения в разноязычных описаниях Антивируса и ESS в документации и на сайте. Но вчера (уже, наверное, надо говорить - позавчера) русский сайт esetnod32.ru не был доступен, хотя возможно, что только через моего сервис-провайдера.

Могу только предположить, что расхождения в описаниях будут в скором времени исправлены. А сам HIPS появится с выходом топ-версии 4.0.422, а если она не выйдет, то позднее.

Иначе, зачем тогда им писать про то, чего нет...

Коллеги

Если ли возможность сравнить описание HIPS от ESET с классическим (всеми признанным), если такое уже где-то программно-исторически закреплено или законодательно утверждено? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
Коллеги

Если ли возможность сравнить описание HIPS от ESET с классическим (всеми признанным), если такое уже где-то программно-исторически закреплено или законодательно утверждено? :-)

А зачем? Важнее ответить на вопросы priv8v, понять есть ли в продукте заявленный функционал.

А сам HIPS появится с выходом топ-версии 4.0.422, а если она не выйдет, то позднее.

Иначе, зачем тогда им писать про то, чего нет...

Допускаю, увидим. Но если Вы правы, то предыдущая версия уже продаётся с описанием отсутствующей фичи http://allsoft.ru/program_page.php?grp=52090 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
предыдущая версия уже продаётся с описанием отсутствующей фичи

Да, Вы правы, это так. Но ведь эта фича может прийти к пользователям с обновлением продукта.

Важнее ответить на вопросы priv8v, понять есть ли в продукте заявленный функционал.

Но Евгений Павлович ведь не обязан разбираться в тонкостях технологии защиты, так же как и отвечать на вопросы, если он не полномочный представитель компании ESET.

Я это к тому, что нас тут много желающих, что-то узнать, а он, получается, как бы один в ответе за всё.

Узнает - расскажет, а не узнает - увы, придётся нам узнавать (лицезреть, разбираться) самим, если желание останется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

На wilderssecurity говорят, что в периоде бета-тестирования 4-ки речи ни о какой HIPS не было никогда. Было бы странно внедрить функционал, который не тестируется в периоде бета, не так? А может быть HIPS есть, но оно в SuperHidden Mode, и никто его найти не может? :rolleyes:

По логике есть разные варианты:

* модуль есть, но только в Business Edition

* модуль будет в качестве плаг-ина какого-нибудь, который позже прикрутят...

* модули пока нет, ESET удаляет часть про HIPS из справки, и этот функционал будет в пятёрке.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович
Евгений Павлович ведь не обязан разбираться в тонкостях технологии защиты, так же как и отвечать на вопросы, если он не полномочный представитель компании ESET.

ВЫ правы..Но так как я модерирую данную ветку форума (как говорится, назвался груздем,полезай в кузов) - соответственно, и удар держу за всё! ...)... и стараюсь угодить всем на выпадки в отношении ЕСЕТа!

Евгений Павлович, если знаете, то, пожалуйста, проясните их.

1). В чем заключается мониторинг файлов и ключей реестра? (конкретно)

2). Что анализируют технологии поведенческого анализа? (конкретно)

Чтобы не быть голословным, данные вопросы отдал на рассмотрение разработчикам. Поэтому, как только получу ответы (не раньше понедельника,выходные всё-таки) - сразу же размещу их здесь!

Поэтому,ПОКА не разразилась война, данную тему ЗАКРОЮ!

Как только получу ответ-любой-так размещу и продолжим дискуссию!

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Ответа ПОКА нет-думаю, что завтра-выходные как-никак!

Подумал на досуге..."МОЁ ПРЕДПОЛОЖЕНИЕ:

Вполне возможно, что NOD32 ESET SysInspector является (или станет в будущем) частью HIPS по следующим признакам:

1. обращение к обновляемым файлам em000_32.dat, em009_32.dat, в которых скорее всего содержится инфо о безопасных данных системы, ESET SysInspector использует эти данные при анализе рейтинга процессов, записей реестра, служб, драйверов, сетевых соединений, критических файлах системы.

2. при анализе файлов системы и приложений наверняка используется набор эвристических правил для вычисления рейтинга безопасности.

3. Эти ВЫВЕРЕННЫЕ данные о безопасных файлах, эвристических правилах могут быть в дальнейшем использованы активным модулем-драйвером для их автоматической защиты, что является фунцией HIPS, при этом совсем необязательно строить какой -то дополнительный интерфейс.

4. как только SysInspector будет выполнять (прозрачно и понятно) активные функции по "убиению" нежелательных процессов, служб, драйверов и прочих, по сути, интерфейс HIPS будет готов на 90%.

5. И,как вариант, разработчики имеют полное право не афишировать технологию работы HIPS из соображений безопасности."..Как вариант! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы программированием драйверов занимались?..

Нереально будет через обновления вклинить в продукт еще один драйвер, который пол-системы будет вязать на свои "рецепторы" для того, что бы за всем следить и сверять с базой безопасных и потенциально-опасными действиями.

А про эвристическую проверку лежащего на харде файла (который не запускают ) никто и не говорил - эвристика нас не смущает. Смущает именно хипс в качестве тех двух вопросов, которые я выше выделил (которые появились после того, как я увидел картинку в этой теме с некоторыми интересными надписями).

Насколько я помню (качал сисинтспектор отдельным файлом) это штука, которая собирает инфу о всех критических местах системы (автозагрузка и т.д) и ранжирует по опасности - системый файл, затем лигитимный, затем неизвестный и наконец вредоносный - типа того...

Поэтому в дальнейшем, конечно, прикрутить его базу можно будет, но это именно нужно кардинально много менять и много кодить, а не через обновления через 50 кб скинуть это...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович
Вы программированием драйверов занимались?..

Именно драйвров-нет!

Я же написал, что это

МОЁ ПРЕДПОЛОЖЕНИЕ

Ждём ответа разработчиков! ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ок. ждем :)

а дождемся? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
ок. ждем :)

а дождемся? :lol:

на официальном форуме есета бетатестеры ответа так и не дождались http://www.wilderssecurity.com/showthread.php?t=234799

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Тему закрываю до ответа специалистов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Итак!...как и обещал...Вот какой ответ я получил!

"Технология есть, настроек нет.

Вся информация –один абзац на сайте и в мануале - вот ЗДЕСЬ!

«Host-based Intrusion Prevention System — Unauthorized attempts to modify your OS or applications are actively blocked through a combination of advanced behavioral analysis and network filtering that monitor your system processes, files, and registry keys. HIPS protects against modern blended threats that may have bypassed your network perimeter security.»

Да, наша самозащита через этот HIPS собственно и работает, контроль процессов, реестра и файлов.

Вы говорите, наверное, о защите файлов самого нода. это немного другое. В этом случае просто драйвер защищает процессы NOD32 или ключи реестра.

HIPS отслеживает поведение по доступу к другим файлам или ключам реестра."

...а вот теперь обсуждаем!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Итак!...как и обещал...Вот какой ответ я получил!

"Технология есть, настроек нет.

Вся информация –один абзац на сайте и в мануале - вот ЗДЕСЬ!

«Host-based Intrusion Prevention System — Unauthorized attempts to modify your OS or applications are actively blocked through a combination of advanced behavioral analysis and network filtering that monitor your system processes, files, and registry keys. HIPS protects against modern blended threats that may have bypassed your network perimeter security.»

Да, наша самозащита через этот HIPS собственно и работает, контроль процессов, реестра и файлов.

Вы говорите, наверное, о защите файлов самого нода. это немного другое. В этом случае просто драйвер защищает процессы NOD32 или ключи реестра.

HIPS отслеживает поведение по доступу к другим файлам или ключам реестра."

...а вот теперь обсуждаем!

Все как обычно, в смысле реализации метода HIPS. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • clocot
      Сколько ни будет сейчас денег в кармане, всегда будет мало. Вот у меня есть работа и на зарплату сильно я не жалуюсь. Но  всегда хочется больше, поэтому я начал подрабатывать. Много  времени у меня  свободного  нет, так  что  решил подработать на форексе вот, например.  Все  просто, и доходы есть 
    • Happy
      Всем привет, если увлекаетесь туризмом, то могу вам посоветовать https://express-novosti.ru/interesting/travel/ вот этот блог о путешествиях. На нем найдете много интересных статей и рейтинги разных популярных курортов.
    • PR55.RP55
      F6            - Проверка цифр. подписей файлов в списке. А если нужно проверить не всё, а например только драйверы ? т.е. оператору нужно проверить одну категорию, а по факту проверяется весь список = потеря темпа\времени. Предлагаю добавить в меню команду: "Проверить ЭЦП файлов только в этой категории "
    • PR55.RP55
    • PR55.RP55
      С выходом новой версии Хрома появились записи типа. Полное имя                  79.0.3945.130
      Имя файла                   79.0.3945.130
      Тек. статус                 в автозапуске Chrome/Yandex
                                  
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске Chrome/Yandex
                                  
      Доп. информация             на момент обновления списка
      Стартовая страница          Chrome Образ тема:  https://forum.esetnod32.ru/messages/forum4/topic15670/message108070/?result=reply#message108070
                                  
×