Apakah maksud HIPS dalam pengertian umum?

Ini bermaksud "Sistem Pencegahan Pencerobohan Hos" ( H ost saya gangguan P pencegahan S sistem). Pada asasnya, ia adalah program yang memberi amaran kepada pengguna apabila program berniat jahat, seperti virus, mungkin cuba dijalankan pada komputer pengguna, atau apabila pengguna yang tidak dibenarkan, seperti penggodam, mungkin telah mendapat akses kepada komputer pengguna.

Asal dan latar belakang

Beberapa tahun yang lalu, mengklasifikasikan perisian hasad agak mudah. Virus itu adalah virus, terdapat jenis lain, tetapi ia sangat berbeza! Pada masa kini, "pepijat" telah berubah, dan sempadan yang menentukan di antara mereka menjadi lebih kabur. Bukan sahaja terdapat lebih banyak ancaman dalam bentuk kuda Trojan, cacing dan rootkit, tetapi kini pelbagai produk berniat jahat sering digabungkan. Inilah sebab mengapa perisian hasad kini sering dirujuk secara kolektif sebagai "perisian hasad" dan aplikasi yang direka untuk memeranginya sebagai perisian "spektrum luas".

Pada masa lalu, program pengesanan bergantung terutamanya pada tandatangan perisian hasad untuk mengenal pasti perisian hasad. Kaedah ini, walaupun boleh dipercayai, hanya sebaik kekerapan kemas kini. Terdapat komplikasi tambahan kerana kebanyakan perisian hasad hari ini sentiasa berubah. Dalam proses itu, tandatangan mereka juga berubah. Untuk memerangi ini, program HIPS telah dibangunkan yang boleh "mengiktiraf" perisian berniat jahat dengan tingkah lakunya dan bukannya dengan tandatangannya. "Tingkah laku" ini boleh menjadi percubaan untuk mengawal aplikasi lain, memulakan perkhidmatan Windows atau menukar kunci pendaftaran.

Ilustrasi daripada EUobserver.com

Ini sedikit seperti menangkap penjenayah dengan tingkah lakunya dan bukannya dengan cap jarinya. Jika dia bertindak seperti pencuri, kemungkinan besar dia adalah pencuri. Ia sama dengan program komputer: jika ia bertindak seperti berniat jahat, ia mungkin perisian hasad.

Masalahnya di sini ialah kadangkala program yang sah dengan sempurna boleh bertindak sedikit mencurigakan, dan ini boleh menyebabkan HIPS tersalah menandakan program yang sah sebagai perisian hasad. Apa yang dipanggil penggera palsu ini adalah masalah sebenar untuk program HIPS. Inilah sebabnya mengapa program HIPS terbaik ialah program yang menggunakan gabungan pendekatan tandatangan-tingkah laku. Tetapi lebih lanjut mengenai itu kemudian.

Apakah yang sebenarnya dilakukan oleh program HIPS?

Secara umum, program HIPS bertujuan untuk memelihara integriti sistem yang dipasang dengan menghalang sumber yang tidak diluluskan daripada membuat perubahan pada sistem tersebut. Ia biasanya melakukan ini dengan memaparkan pop timbul amaran keselamatan yang bertanya kepada pengguna sama ada perubahan tertentu harus dibenarkan.

Comodo: pop timbul amaran HIPS

Sistem ini hanya sebaik respons pengguna terhadap pertanyaan timbul. Walaupun program HIPS mengenal pasti ancaman dengan betul, pengguna mungkin secara tidak sengaja meluluskan tindakan yang salah dan PC mungkin masih dijangkiti.

Tingkah laku yang betul juga boleh disalahtafsirkan sebagai berbahaya. Apa yang dipanggil "penggera palsu" ini adalah masalah sebenar dengan produk HIPS, walaupun nasib baik mereka telah menjadi kurang biasa kerana program HIPS telah menjadi lebih canggih.

Kelebihan di sini ialah anda boleh menggunakan beberapa perisian HIPS untuk mengurus kebenaran aplikasi yang sah, walaupun ini hanya dinasihatkan untuk pengguna lanjutan. Saya akan menerangkan perkara ini dengan lebih terperinci kemudian dan mengapa anda perlu menggunakannya. Satu lagi cara untuk melihat HIPS ialah menggunakannya sebagai tembok api, mengurus aplikasi dan perkhidmatan dan bukannya hanya akses Internet.

jenis produk

Malware moden telah menjadi sangat maju sehingga program keselamatan tidak lagi boleh bergantung pada pengesanan berasaskan tandatangan sahaja. Banyak aplikasi kini menggunakan gabungan kaedah yang berbeza untuk mengenal pasti dan menyekat ancaman perisian hasad. Akibatnya, beberapa jenis produk pelindung kini menggunakan HIPS. Hari ini bukanlah sesuatu yang luar biasa untuk melihat HIPS sebagai sebahagian daripada program antivirus atau antispyware, walaupun HIPS adalah yang paling biasa sebagai sebahagian daripada firewall. Malah, kebanyakan tembok api moden kini menambah elemen perlindungan HIPS pada keupayaan penapisan IP mereka.

Antivirus Komprehensif Keselamatan Internet Comodo

Untuk meningkatkan kecekapan, program HIPS menggunakan pelbagai kaedah pengesanan. Selain pengecaman tandatangan, program HIPS juga mencari tingkah laku yang konsisten dengan perisian hasad. Ini bermakna mereka menyasarkan untuk mengenal pasti tindakan atau peristiwa yang diketahui sebagai tingkah laku biasa perisian hasad.

Sesetengah program analisis tingkah laku adalah lebih automatik daripada yang lain, dan walaupun ini mungkin kelihatan seperti idea yang baik, dalam amalan ini boleh membawa kepada komplikasi. Kadangkala keadaan mungkin menunjukkan bahawa aktiviti aplikasi yang sah sempurna mencurigakan, menyebabkannya ditamatkan. Anda mungkin tidak mengetahuinya sehingga sesuatu berhenti berfungsi! Ini agak selamat dan hanya menjengkelkan selagi proses itu boleh diterbalikkan, tetapi kadangkala ia boleh menyebabkan ketidakstabilan dalam sistem. Walaupun kejadian sedemikian jarang berlaku, impaknya boleh menjadi teruk, jadi dinasihatkan untuk mengambil kira perkara ini semasa membuat keputusan.

Pemasangan dan konfigurasi

Program HIPS harus dipasang dengan tetapan lalainya dan digunakan sehingga ia mempunyai tempoh pembelajaran yang diperlukan atau sehingga anda terbiasa dengan fungsinya. Anda sentiasa boleh melaraskan tahap sensitiviti kemudian dan menambah peraturan tambahan jika anda rasa perlu. Aplikasi yang mempunyai "tempoh pembelajaran" lalai direka bentuk dengan cara ini atas sebab tertentu. Ia mungkin menggoda untuk memendekkan latihan anda, tetapi berbuat demikian juga boleh mengurangkan keberkesanan anda. Pengilang biasanya menyertakan manual PDF, dan ia bukanlah idea yang buruk untuk membacanya sebelum pemasangan.

Antivirus ESET NOD32: Menyediakan HIPS

Sebelum ini saya menyebut kemungkinan menggunakan program HIPS untuk mengawal penggunaan aplikasi undang-undang. Kami sudah melakukan ini dalam tembok api kami dengan mengehadkan penggunaan port. Anda boleh menggunakan perisian HIPS dengan cara ini untuk menyekat atau menyekat akses kepada komponen dan perkhidmatan sistem. Secara umum, lebih banyak anda menyekat Windows, lebih selamat ia. Saya membaca di suatu tempat bahawa sistem Windows yang paling selamat dipanggil Linux! Tetapi itu masalah lain. Kadangkala program yang sah, apabila dipasang, mewujudkan tahap akses kepada sistem yang jauh melebihi apa yang sepatutnya mereka lakukan sebagai sebahagian daripada fungsi normalnya. Mengehadkan aplikasi kepada "kebenaran baca" (daripada pemacu keras) melainkan mereka memerlukan "kebenaran tulis" secara lalai ialah satu cara untuk mengurangkan risiko. Untuk melakukan ini, anda boleh, sebagai contoh, menggunakan tetapan modul "Perlindungan+" dalam Comodo Internet Security.

Apabila potensi ancaman dikenal pasti

Kebanyakan program HIPS memberi amaran kepada pengguna tentang potensi ancaman dengan tetingkap pop timbul interaktif apabila sesuatu berlaku. Sesetengah program mengautomasikan proses ini dan melaporkannya (mungkin!) kemudian. Perkara penting ialah jangan menjadi "automatik" semasa menjawab. Tiada apl keselamatan akan berguna jika anda mengklik "Ya" secara membuta tuli untuk menjawab setiap soalan. Hanya beberapa saat berfikir sebelum membuat keputusan boleh menjimatkan jam kerja kemudian (apatah lagi kehilangan data). Jika pemberitahuan ternyata penggera palsu, kadangkala anda boleh menyimpannya sebagai "pengecualian" untuk mengelakkan pemberitahuan sedemikian pada masa hadapan. Pengilang juga disyorkan untuk dimaklumkan tentang penggera palsu supaya mereka boleh membetulkannya dalam versi akan datang.

Bagaimana jika anda tidak pasti?

Kadar berbeza-beza bergantung pada apa yang anda baca, tetapi sehingga 90% daripada semua perisian hasad datang daripada Internet, jadi anda akan menerima kebanyakan makluman keselamatan pop timbul semasa anda berada dalam talian. Tindakan yang disyorkan ialah menghentikan acara ini dan mencari maklumat di Google tentang fail yang ditunjukkan. Lokasi ancaman yang dikesan boleh sama pentingnya dengan nama fail. Selain itu, "Ispy.exe" mungkin perisian yang sah, tetapi "ispy.exe" mungkin berniat jahat. Pelaporan HijackThis boleh membantu dengan ini, tetapi keputusan yang diberikan oleh perkhidmatan automatik mungkin tidak jelas sepenuhnya. Secara umum, anda akan membenarkan sedikit bahaya dengan menyekat atau mengasingkan peristiwa yang berlaku sehingga anda mengetahui perkara yang perlu dilakukan mengenainya. Ini hanya berlaku apabila anda mengalih keluar sesuatu dan tidak tahu bahawa ia boleh membawa kepada hasil yang buruk!

Aliran hari ini ialah memasukkan pengesyoran daripada komuniti dalam pemberitahuan pop timbul. Sistem ini cuba membantu anda membalas pemberitahuan keselamatan dengan tepat dengan memberitahu anda cara orang lain bertindak balas dalam kes yang serupa.

Ini adalah idea yang menarik dalam teori, tetapi dalam praktiknya hasilnya boleh mengecewakan. Sebagai contoh, jika 10 orang sebelum ini telah melihat pemberitahuan tertentu, dan sembilan daripada mereka membuat pilihan yang salah, maka apabila anda melihat pengesyoran dengan rating 90% untuk menyekat program, anda mengikut petunjuk mereka! Saya panggil ini "sindrom kumpulan". Apabila bilangan pengguna meningkat, begitu juga dengan kebolehpercayaan pengesyoran, tetapi ini tidak selalu berlaku, jadi perlu berhati-hati. Anda sentiasa boleh Google untuk pendapat lain.

Berbilang pertahanan atau "pendekatan berlapis"?

Beberapa tahun yang lalu, menggunakan suite keselamatan tunggal tidak memberikan tahap prestasi yang setanding dengan menggunakan berbilang aplikasi keselamatan berasingan untuk mencapai perlindungan "berlapis". Walau bagaimanapun, baru-baru ini pengeluar telah melabur banyak dalam pembangunan kit dan ini kini telah ditunjukkan dalam produk mereka. Walau bagaimanapun, sesetengahnya masih mengandungi sekurang-kurangnya satu komponen yang lemah, dan jika ia adalah tembok api, maka anda harus memilih sesuatu yang lain. Konsensus umum ialah gabungan elemen individu masih akan memberikan prestasi tinggi dan kebolehpercayaan keseluruhan yang lebih baik. Apa yang mereka lakukan, pada umumnya, sudah tentu menawarkan lebih banyak pilihan dan lebih fleksibiliti. Comodo ialah suite serius pertama yang benar-benar percuma, tetapi kini Outpost ( nota tapak: malangnya, produk ini belum dibangunkan baru-baru ini) dan ZoneAlarm juga mengeluarkan kit percuma. Kesemuanya menawarkan alternatif yang serius kepada perisian berbayar.

Antivirus + Firewall Percuma ZoneAlarm Percuma

Kereta hanya sebaik pemandunya, dan perkara yang sama berlaku untuk perisian. Tidak ada program keselamatan pelepasan "tetapkan dan lupakannya". Cuba pilih sesuatu yang anda boleh fahami dan anda suka menggunakannya. Ia seperti membandingkan tembok api Sunbelt-Kerio dan Comodo. Ya, jika anda ingin mengekalkan kaki anda di atas tanah, Comodo mungkin memberikan perlindungan yang lebih baik, tetapi ia juga lebih sukar untuk difahami. Jika anda fikir Kerio lebih mudah untuk digunakan, anda mungkin akan menggunakannya dengan berkesan, dan ia akan menjadi pilihan yang lebih baik (sehingga Windows XP sahaja. Pengguna Windows 7 dan ke atas boleh mencuba TinyWall). Gunakan keputusan pelbagai ujian sebagai panduan, tetapi hanya untuk tujuan ini. Tiada ujian yang boleh menggantikan komputer anda, program anda dan tabiat melayari anda.

Kriteria pilihan

Saya sentiasa memilih permohonan untuk diri saya sendiri dengan cara berikut. Sudah tentu anda mungkin berfikir secara berbeza!

Adakah saya memerlukannya?

Ramai orang mencabar kegunaan sesetengah perisian apabila mereka membantah apa yang boleh dicapainya. Jika firewall anda sudah mempunyai komponen HIPS yang baik (seperti Comodo, Privatefirewall atau Online Armor) maka ini mungkin mencukupi. Walau bagaimanapun, program seperti Malware Defender menggunakan pelbagai teknik yang boleh memberikan perlindungan tambahan dalam beberapa keadaan. Hanya anda yang boleh memutuskan sama ada ini perlu untuk anda. Pakar masih menasihatkan agar tidak menjalankan lebih daripada satu perisian keselamatan daripada jenis yang sama.

Adakah saya akan dapatgunakannya?

Memasang mana-mana program HIPS mencipta banyak kerja dari segi menyediakan dan mengurus makluman. Secara umum, perkara yang ditemui oleh program HIPS mungkin agak samar-samar, jadi anda harus bersedia untuk menguji keputusannya. Hanya dengan pengetahuan sederhana anda akan mendapati masalah ini apabila mentafsir keputusan.

Adakah ia akan membantu?

Kaedah berasaskan HIPS hanya berkesan apabila pengguna bertindak balas dengan betul kepada makluman pop timbul yang dipaparkan oleh HIPS. Pemula dan pengguna acuh tak acuh tidak mungkin dapat memberikan jawapan sedemikian.

Pengguna yang rajin dan berpengalaman mempunyai tempat untuk perisian HIPS dalam landskap keselamatan PC, kerana HIPS mengambil pendekatan berbeza kepada perisian tandatangan tradisional. Digunakan secara bersendirian atau bersama-sama dengan tembok api, HIPS akan menambah keupayaan pengesanan anda.

Adakah ia akan merosakkan sistem saya?

Program keselamatan, mengikut sifatnya, mesti menyerang tempat suci dalaman PC anda untuk menjadi berkesan. Jika pendaftaran anda sudah kelihatan seperti sepinggan spageti, jika anda mempunyai "folder hantu" dalam fail program anda, jika anda mempunyai skrin biru, mesej ralat Windows dan halaman yang tidak diminta dalam Internet Explorer, maka memasang program HIPS hanya akan membawa kepada masalah . Walaupun pada mesin yang bersih, membuat keputusan yang salah boleh menyebabkan ketidakstabilan yang tidak dapat dipulihkan. Walaupun, pada dasarnya, anda boleh menyebabkan kerosakan yang sama apabila bekerja dalam program pembersihan pendaftaran.

Bolehkah saya menggunakan lebih daripada satu aplikasi?

Saya tidak nampak faedah menggunakan dua program HIPS bersama-sama. Pakar masih menasihatkan agar tidak menjalankan lebih daripada satu aplikasi keselamatan aktif daripada jenis yang sama. Risiko konflik mengatasi sebarang faedah yang mungkin.

Kesimpulan

Pengguna, sebelum mempertimbangkan HIPS, mungkin ingin mempertimbangkan untuk meningkatkan keselamatan penyemak imbas mereka dengan terlebih dahulu menggantikan IE dengan Chrome, Firefox atau Opera dan menggunakan kotak pasir. Orang yang menggunakan tembok api standard boleh menggunakan Malware Defender untuk perlindungan tambahan. Dan pengguna CIS atau Online Armor tidak akan menerima apa-apa faedah daripada ini. Beban sistem dan penggunaan sumber adalah sesuatu yang perlu diambil kira, walaupun ini penting terutamanya apabila menggunakan mesin lama. Tidak ada jawapan yang pasti selain mengatakan bahawa terdapat terlalu banyak pengecualian kepada peraturan, terlalu banyak! Secara keseluruhan, ini semua tentang keseimbangan. Ancaman terbesar kepada komputer saya adalah diri saya sendiri!

Menemui kesilapan menaip? Serlahkan dan tekan Ctrl + Enter

Setiap hari virus, perisian pengintip dan modul baharu yang memaparkan iklan muncul. Bekerja tanpa antivirus adalah serupa dengan bunuh diri: jika sebelumnya soalan itu berbunyi seperti "Adakah anda akan dijangkiti atau tidak?", kini ia berbunyi seperti "Berapa cepat anda akan dijangkiti?" Lebih aktif pengguna menghabiskan masa di Internet, memuat turun fail, melawat tapak yang meragukan, lebih tinggi kemungkinan menjangkiti komputer. Fail yang diterima daripada rangkaian pertukaran amat berbahaya. Rangkaian ini, bersama-sama dengan spam, yang digunakan untuk menyebarkan virus baharu. Dan dalam kes ini, antivirus menyerah: belum ada tandatangan dalam pangkalan data mereka, mereka menghantar fail yang dimuat turun sebagai "bersih". Hanya selepas menjalankan fail sedemikian, pengguna boleh, berdasarkan tanda tidak langsung (lalu lintas keluar yang besar secara tiba-tiba muncul, mesej pelik pada skrin, prestasi komputer menurun, program berjalan tidak melaksanakan fungsi yang sepatutnya dicipta, dan sebagainya), meneka bahawa komputer dijangkiti. Kebanyakan pengguna tidak akan perasan apa-apa, dan menjalankan pemantauan antivirus akan mewujudkan rasa selamat yang palsu. Hanya beberapa jam, dan kadangkala beberapa hari, selepas perihalan virus baharu ditambahkan pada pangkalan data anti-virus, selepas anti-virus memuat turun dan memasang kemas kini, virus baharu itu mungkin dikesan. Dan hanya selepas ini rawatan komputer akan bermula. Dan pada hari atau jam ini, komputer menyebarkan virus baru pada kelajuan sambungan Internet, menghantar spam, digunakan untuk melakukan serangan ke atas pelayan, dengan kata lain, terdapat zombi yang menyertai tentera zombi yang sama. , membawa satu lagi kekacauan kepada Rangkaian.

Pada peringkat pembangunan teknologi komputer ini, kami menghampiri pemahaman bahawa teknologi pengesanan virus semasa, penggunaan pangkalan data anti-virus dengan tandatangan, tidak berkesan. Pada kelajuan semasa pengedaran fail di Internet (rangkaian pertukaran, spam), antivirus akan sentiasa berperanan mengejar.

Baru-baru ini, pengarang artikel ini secara manual membersihkan komputer daripada virus baharu yang tidak dikesan oleh antivirus yang dipasang pada komputer pengguna. Atas sebab yang jelas, saya tidak akan menamakan pengeluar antivirus, sebuah syarikat yang sangat terkenal dan berjaya di seluruh dunia. Selepas perpustakaan virus ditemui, ia diimbas oleh semua antivirus yang tersedia dengan pangkalan data penerangan terkini. Tiada siapa, kecuali Dr.Web, menemui apa-apa yang berbahaya di perpustakaan. Walau bagaimanapun, virus itu berjaya mengumpul maklumat mengenai alamat tapak yang dilawati oleh pengguna, log masuk dan kata laluannya yang dimasukkan pada tapak ini, dan kemudian menghantar maklumat yang dikumpul kepada pengarang virus. Berdasarkan mekanisme jangkitan, komputer telah dijangkiti semasa melawat tapak dan, kemungkinan besar, sumber virus adalah sepanduk yang ditunjukkan pada salah satu halaman (kajian sejarah penyemakan imbas dalam penyemak imbas tidak mendedahkan sebarang jenayah dalam senarai).

Lebih menyedihkan ialah jangkitan komputer dengan virus yang menghantar spam kepada alamat e-mel domain Microsoft.com, membuka port mendengar dan memberitahu pengarangnya IP dan port pelayan proksi sedia untuk digunakan. Sebelum membuka port, virus itu benar-benar merobohkan tembok api yang dibina ke dalam Windows XP SP2, memadam semua maklumat mengenai perkhidmatannya dalam pendaftaran. Selepas perpustakaan virus ditemui, ia telah diimbas oleh beberapa antivirus yang paling popular. Hanya Dr.Web dan Kaspersky Anti-Virus yang mengenal pasti ia sebagai virus. Dua antivirus Barat yang terkenal dan popular masih tidak mengesan fail ini, walaupun pada hakikatnya, berdasarkan maklumat dari enjin carian, laporan pertama tentang virus ini muncul di Internet 4 bulan yang lalu.

Terdapat sejumlah besar contoh sedemikian. Hari ini terdapat pemahaman bahawa antivirus dalam bentuk semasa mereka tidak mempunyai masa depan. Ini jalan buntu. Jurang masa antara kemunculan virus baharu dan penambahan tandatangan mereka ke pangkalan data antivirus hanya akan meningkat, yang pasti akan membawa kepada gelombang baru wabak virus. Sikap cuai syarikat antivirus Barat untuk mencari virus baharu dan menambah penerangannya pada pangkalan data membawa kepada rasa selamat yang palsu bagi pengguna. Akibatnya, kemudaratan daripada "kelonggaran" pengguna tersebut boleh menjadi O lebih hebat daripada bekerja tanpa antivirus sama sekali, apabila pengguna akan berfikir seratus kali sama ada untuk bekerja di bawah akaun dengan hak pentadbir dan sama ada untuk membuka lampiran daripada surat daripada pengirim yang tidak dikenali yang menawarkan untuk menjalankan fail yang dilampirkan.

Sebagai tambahan kepada virus itu sendiri, beberapa jenis perisian berniat jahat lain sedang merebak secara aktif: perisian pengintip - yang mengumpul dan menghantar maklumat tentang pengguna, perisian iklan - yang secara bebas membuka tetingkap penyemak imbas dengan iklan, dan sebagainya. Perisian ini tidak diklasifikasikan sebagai virus kerana ia tidak membahayakan komputer atau data anda secara langsung. Walau bagaimanapun, apabila dijangkiti, pengguna mengalami ketidakselesaan dan terpaksa memasang, sebagai tambahan kepada antivirus, satu lagi jenis perisian untuk memerangi perisian pengintip dan perisian iklan. Perisian jenis ini, sama seperti antivirus, mempunyai pangkalan data sendiri perihalan objek berniat jahat yang dicari dan dimusnahkan dalam sistem.

Persis situasi yang sama diperhatikan dalam memerangi spam. Jika sebelum ini, sebenarnya, satu-satunya cara memerangi adalah "senarai hitam" pelayan atau bahkan keseluruhan subnet dari mana spam dihantar, hari ini semakin ramai pentadbir yakin bahawa teknologi "senarai hitam" semakin usang. Ia terlalu perlahan, tidak fleksibel dan memerlukan banyak usaha daripada pentadbir senarai untuk mengekalkan perkaitan. Selalunya, disebabkan oleh dua atau tiga spammer yang telah membeli akses dail untuk mel, keseluruhan subnet pembekal disenaraihitamkan, selepas itu mel daripada pengguna daripada subnet ini mula ditandakan sebagai spam dan ditapis oleh penerima. Akibatnya, kami melihat peningkatan percambahan sistem pintar untuk menilai kandungan e-mel. Sistem yang boleh "membaca" surat, termasuk pengepala perkhidmatan, melakukan satu siri semakan dan membuat kesimpulan: ia adalah spam atau tidak. Adalah selamat untuk mengatakan bahawa dalam beberapa tahun teknologi anti-spam ini akan menggantikan sepenuhnya penggunaan senarai hitam.

Kami secara senyap-senyap kalah dalam peperangan: ancaman baharu dan baharu muncul, dan bukannya menambah baik dan mencipta teknologi baharu untuk memeranginya, kaedah untuk menerangkan dan mengedarkan pangkalan data penerangan sedang dihentikan.

Mujurlah, langkah pertama untuk membetulkan keadaan sedang diambil, dan kelas program baharu muncul untuk perlindungan komputer yang komprehensif dari kedua-dua virus dan daripada pelbagai jenis perisian pengintip iklan, yang tidak menggunakan pangkalan data perihalan dalam kerjanya. Sama seperti antispam, ini adalah sejenis algoritma pintar yang memantau tindakan menjalankan aplikasi. Jika sesetengah tindakan kelihatan berbahaya kepada algoritma, ia menyekatnya. Seseorang boleh berhujah untuk masa yang lama tentang terlalu banyak kebebasan program sedemikian, tetapi tidak ada alternatif. Biar lebih baik untuk mempunyai beberapa positif palsu daripada berpuluh-puluh megabait trafik untuk mengemas kini pangkalan data anti-virus dan 2-3 aplikasi yang sentiasa berada dalam ingatan, mengurangkan prestasi operasi fail dan memerlukan sumber sistem yang ketara.

Dalam ulasan ini, kami akan berkenalan dengan salah seorang wakil kelas program perlindungan komputer proaktif baharu: Defence Wall HIPS. Pendekatan bukan standard untuk memerangi perisian hasad, kemudahan persediaan dan operasi yang tidak mencolok membezakan produk ini daripada kumpulan lain. Ia tidak memuat turun sebarang pangkalan data penerangan. Sebaliknya, pengguna secara bebas menentukan aplikasi yang melaluinya fail yang dijangkiti boleh diterima pada komputer. Secara lalai, aplikasi yang tidak dipercayai termasuk klien e-mel popular, penyemak imbas dan beberapa utiliti sistem (ftp.exe). Oleh itu, senarai semua "pintu" di mana fail yang dijangkiti boleh menembusi dibuat.

Sebarang fail yang diterima daripada Rangkaian melalui aplikasi yang tidak dipercayai akan ditandakan sebagai tidak dipercayai oleh Defense Wall HIPS. Selepas menjalankan fail sedemikian, semua tindakan yang dijalankan oleh aplikasi yang dijalankan pada sistem akan direkodkan, iaitu, pengguna akan sentiasa mempunyai peluang untuk melihat, sebagai contoh, senarai kunci pendaftaran yang dibuat oleh aplikasi yang sedang berjalan dan padam mereka dengan klik satu butang.

Laman web program
Saiz pengedaran ialah 1.2 megabait.
Harga Dinding Pertahanan HIPS 500 Rubles Pemasangan

Pemasangan HIPS Dinding Pertahanan dilakukan oleh ahli sihir. Semasa operasinya, anda mesti bersetuju dengan syarat perjanjian lesen, pilih folder untuk memasang program dan pilih mod pengendalian antara pakar dan biasa. Komputer mesti dimulakan semula untuk menyelesaikan pemasangan.

Perbezaan antara mod pengendalian pakar dan mod pengendalian biasa adalah ketara: dalam mod pengendalian biasa, semua fail yang dibuat oleh aplikasi yang tidak dipercayai ditambahkan secara automatik pada senarai yang tidak dipercayai. Dalam mod pakar, tiada fail ditambahkan secara automatik pada senarai fail yang tidak dipercayai - ini mesti dilakukan secara manual oleh pengguna. Adalah disyorkan untuk bekerja dalam mod biasa.

Selepas but semula, tetingkap pendaftaran produk akan dipaparkan.

Sekiranya program itu dibeli, maka untuk mendaftarkannya, anda boleh memasukkan kunci yang diterima daripada pemaju. Dalam mod demo, program akan berfungsi selama 30 hari tanpa mengehadkan kefungsiannya.Antaramuka

Program ini menambah ikon pada dulang, yang dengannya anda boleh menukar mod pengendalian dan membuka tetingkap utama.

Pusat Pembersihan

Pusat Pembersihan menyediakan akses pantas untuk melihat kesan aplikasi yang tidak dipercayai.

Menggunakan butang Jejak pada cakera dan dalam pendaftaran Anda boleh melihat senarai semua perubahan yang dibuat oleh aplikasi yang tidak dipercayai.

Tangkapan skrin ini menyenaraikan kunci pendaftaran yang FAR buat dan fail text.txt yang dibuat daripada baris arahan. Di sebelah kanan senarai terdapat butang yang anda boleh menguruskan perubahan. Malangnya, tidak jelas dari nama-nama tindakan yang akan dilakukan oleh program selepas menekan butang. Tujuan butang menjadi lebih atau kurang jelas selepas membaca petua alat yang muncul di atas butang jika anda memegang penunjuk tetikus di atasnya. Adalah mustahil untuk memanggil sistem bantuan untuk elemen tetingkap ini: tiada butang Bantuan pada borang mahupun butang dalam tajuk tetingkap.

Butang pertama ialah letak jauh- mengalih keluar baris daripada senarai. Perubahan yang dibuat oleh proses (kunci pendaftaran, fail) tidak dipadamkan.

Butang Padam membolehkan anda membuat asal perubahan yang dilakukan: padam kunci pendaftaran, folder atau fail yang dibuat oleh aplikasi.

Butang Kembalikan membolehkan anda membuat asal beberapa perubahan komited sekaligus. Untuk melakukan ini, anda perlu memilih entri dan tekan butang. Semua perubahan, daripada yang pertama kepada yang dipilih, akan dibatalkan (kunci pendaftaran, fail dan folder dipadamkan).

Keluarkan semuanya membolehkan anda mengosongkan senarai.

Apabila melakukan rollback, Defense Wall HIPS meminta anda mengesahkan tindakan yang dilakukan.

Tiada butang dalam permintaan ini Padam semua Dan Batalkan rollback. Jika percubaan dibuat untuk melancarkan 50, sebagai contoh, perubahan, maka permintaan sedemikian perlu dijawab 50 kali.

Entri senarai tidak mempunyai menu konteks klik kanan. Daripada mengklik dua kali untuk membuka Registry Editor dan melihat kunci yang dibuat atau melancarkan Explorer, anda perlu melancarkannya secara manual dan mencari fail atau kunci.

Log perubahan tidak dikemas kini secara automatik. Jika aplikasi yang tidak dipercayai mencipta kunci dalam pendaftaran semasa senarai dibuka, maka entri baharu dalam senarai akan ditunjukkan hanya selepas menutup dan membuka senarai.

Untuk memadamkan objek yang dibuat oleh aplikasi yang tidak dipercayai, anda mesti menutup semua aplikasi yang tidak dipercayai. Sebagai contoh, jika penyemak imbas, klien rangkaian pertukaran dan FAR dibuka (dan kesemuanya termasuk dalam senarai aplikasi yang tidak dipercayai), maka untuk memadamkan kunci pendaftaran yang dibuat oleh FAR, anda perlu menutup kedua-dua klien dan penyemak imbas.

Butang kedua pada tab Pusat Pembersihan membolehkan anda melihat senarai proses yang dipercayai dan tidak dipercayai yang berjalan dalam sistem.

Tiada pilihan dalam tetingkap ini untuk mengalihkan proses daripada senarai dipercayai kepada tidak dipercayai. Di samping itu, anda boleh menamatkan sebarang proses yang berjalan dalam sistem.

Tidak mungkin pengguna yang tidak terlatih akan gembira dengan skrin sedemikian. Belum lagi fakta bahawa pada masa ini winlogon.exe ditamatkan, pengguna mungkin mempunyai beberapa fail terbuka yang telah lama dia kerjakan, tetapi tidak mempunyai masa untuk menyimpan perubahan.

Butang ketiga dalam Pusat Pembersihan saiz besar dan warna merah. Hasil daripada menekannya sepadan dengan pewarnaan - tidak kira berapa banyak dan jenis proses yang tidak dipercayai (pelayar, klien e-mel) dilancarkan - semuanya akan diselesaikan tanpa sebarang amaran dan tanpa menyimpan data.

Tambah atau alih keluar yang tidak dipercayai

Senarai ini mengandungi semua aplikasi yang tidak dipercayai yang dikesan pada komputer semasa pemasangan Defense Wall HIPS. Senarai aplikasi yang dianggap tidak dipercayai oleh program secara lalai adalah agak luas: ia termasuk penyemak imbas paling popular, pelanggan e-mel, pelanggan pemesejan segera dan sebagainya. Sebarang proses, folder atau aplikasi boleh ditambah pada senarai, kecuali proses sistem. Sebagai contoh, explorer.exe tidak boleh ditambah.

Apabila butang ditekan letak jauh Menu dibuka, menggunakan item yang aplikasinya boleh dialih keluar daripada senarai, atau anda boleh mengecualikannya buat sementara waktu dengan menjadikannya dipercayai. Butang Betapa boleh dipercayai. membolehkan anda menjalankan contoh aplikasi daripada senarai sebagai contoh yang dipercayai. Menggunakan butang Gelongsor ke atas Entri dalam senarai boleh dialihkan. Tidak dapat memahami mengapa ini perlu dilakukan dan mengapa tiada butang Move Down (tiada petua alat atau sebutan dalam bantuan).

Peristiwa yang disebabkan oleh proses yang tidak dipercayai direkodkan dalam log. Pada tab ini anda boleh melihatnya dan, jika perlu, menggunakan penapis, biarkan dalam senarai peristiwa yang disebabkan oleh pengendalian proses tertentu. Seperti dalam kes sebelumnya, peristiwa yang berlaku semasa senarai dibuka tidak termasuk di dalamnya. Untuk melihatnya, anda perlu menutup dan membuka tetingkap.

Fail tertutup

Mana-mana aplikasi yang tidak dipercayai tidak akan dapat mengakses semua fail dan folder yang disenaraikan dalam senarai ini. Integrasi

Defence Wall HIPS mencipta sekumpulan pintasan dalam menu konteks Explorer. Dengan mengklik kanan pada mana-mana fail atau folder, anda boleh dengan cepat melakukan tindakan asas padanya.

Apabila aplikasi yang tidak dipercayai dilancarkan, status ditambahkan pada tajuknya.

Menguji

Langkah pertama ialah percubaan untuk memintas larangan menambah proses sistem pada senarai aplikasi yang tidak dipercayai. Selepas menambah kepada Aplikasi yang tidak dipercayai Folder Windows, semua aplikasi standard mula dilancarkan sebagai tidak dipercayai.

Klondike - aplikasi yang tidak dipercayai

Seperti yang anda jangkakan, Explorer, yang tidak boleh ditambahkan pada senarai yang tidak dipercayai melalui item menu Tambahkan aplikasi ke tidak dipercayai, hilang keyakinan terhadap Tembok Pertahanan HIPS. Dalam menu Mula, item Lari, Cari, Bantuan dan Sokongan berhenti berfungsi. Notepad mula mencipta fail yang tidak dipercayai, dan selepas melancarkan semula perubahan dan bersetuju dengan keperluan untuk menutup semua aplikasi yang tidak dipercayai terlebih dahulu, shell telah but semula.

Selepas shell but semula, Windows meminta untuk memasukkan CD untuk memulihkan fail. Untuk tidak memburukkan lagi keadaan, ia telah memutuskan untuk meninggalkan pemulihan fail. Senarai proses yang tidak dipercayai selepas memulakan semula Explorer ditunjukkan dalam rajah di bawah.

Sememangnya, menekan butang merah besar Tamatkan semua proses yang tidak dipercayai membawa kepada BSOD, kerana winlogon.exe dimasukkan dalam senarai yang tidak dipercayai. Semasa but semula, Windows melaporkan bahawa:

Selepas klik okey Windows masuk ke but semula kitaran dengan mesej yang sama pada setiap giliran. Untuk memulihkan, saya terpaksa boot ke mod selamat, cari tetapan Defense Wall HIPS dalam pendaftaran (program itu sendiri tidak berfungsi dalam mod ini kerana perkhidmatannya tidak dimuatkan) dan padam folder Windows dari senarai yang tidak dipercayai. Selepas ini, OS boot secara normal dalam mod biasa.

Telah diputuskan untuk menyemak perkara yang akan berlaku jika kami menambah folder tempat Defense Wall HIPS dipasang pada senarai yang tidak dipercayai.

Resipi rawatan adalah sama: alih keluar folder Defense Wall HIPS daripada senarai folder yang tidak dipercayai dengan mengedit pendaftaran.

Pada dasarnya, ini adalah ulasan kecil pada antara muka program yang boleh dihapuskan oleh pengarang tanpa sebarang masalah. Pada peringkat seterusnya, fungsi utama program telah diuji: memantau aktiviti proses dan menandakan fail yang mereka cipta sebagai tidak dipercayai.

Skrip vbs telah ditulis untuk menjalankan ujian. Ia meniru tingkah laku virus dan melakukan tindakan berikut:

• Saya memadamkan bahagian dalam pendaftaran di mana tetapan Dinding Pertahanan, senarai aplikasi yang tidak dipercayai dan log tindakan mereka disimpan.
• Saya memuat turun fail boleh laku kecil dwkill.exe dari tapak.
• Proses ini telah ditamatkan oleh defensewall.exe (konsol kawalan).
• Mencipta tugas Windows Scheduler yang melancarkan utiliti dwkill.exe di bawah akaun SYSTEM selepas pengguna log masuk.

Urutan tindakan ini ditentukan selepas kajian panjang dan komprehensif mengenai mekanisme kerja Tembok Pertahanan. Jelas sekali bahawa skrip ini tertumpu pada kerja dengan Defense Wall dan tidak mungkin digunakan oleh virus sehingga pengedaran besar-besaran produk di pasaran. Walau bagaimanapun, skrip ini mendedahkan beberapa kelemahan penting dalam kerja Tembok Pertahanan:

• Senarai aplikasi yang tidak dipercayai boleh dibersihkan dengan mudah. Selepas but semula pertama, semua fail yang dimuat turun dan dihantar melalui e-mel akan mula berjalan sebagai fail yang dipercayai.
• Senarai tindakan aplikasi yang tidak dipercayai juga boleh dipadamkan, menjadikannya mustahil untuk melancarkan semula perubahan.
• Selepas menjalankan skrip dan but semula pertama, adalah mungkin untuk melancarkan mana-mana aplikasi seperti yang dipercayai.

Di samping itu, masalah yang sangat tidak menyenangkan ditemui: apabila memindahkan fail yang tidak dipercayai dari satu folder ke folder lain, ia telah dialih keluar daripada senarai fail yang tidak dipercayai dan, dengan itu, telah dilancarkan dari folder baharu sebagai dipercayai.

Fail bantuan Tembok Pertahanan mengandungi banyak kesilapan dan kesilapan.

Di sebalik segala kekurangan yang serius, program ini patut diberi perhatian. Saya ingin percaya bahawa pengarang akan membetulkan ralat dan mengembangkan fungsi. Sebaik-baiknya, kita melihat penciptaan modul yang akan memintas semua trafik rangkaian, menentukan aplikasi yang menciptanya dan, jika ia baharu, kemudian selepas permintaan kepada pengguna, tambahkannya ke senarai dipercayai atau tidak dipercayai. Berdasarkan keputusan ujian, adalah jelas bahawa semua tetapan program harus disimpan bukan dalam registri, tetapi dalam pangkalan data Defense Wall sendiri. Perkhidmatan mesti melindungi butnya dengan menyemak kunci yang sesuai dalam pendaftaran apabila dihentikan.

Walau bagaimanapun, Defense Wall HIPS melaksanakan fungsi asasnya: aplikasi yang tidak dipercayai tidak boleh mencipta atau menukar kunci pendaftaran dan tidak boleh memadam atau menulis ganti fail. Seperti yang ditunjukkan oleh ujian, perlindungan dalam versi 1.71 program ini agak mudah.

Meneruskan perbincangan kita tentang plastik percetakan 3D, mari kita alihkan perhatian kita kepada HIPS. Apakah ciri-cirinya? Apa yang terbaik untuknya? Mengetahui jawapan kepada soalan ini, serta beberapa nuansa yang dibincangkan di bawah, boleh menambah pengetahuan anda tentang percetakan 3D, yang akhirnya akan membantu anda mencapai hasil yang optimum. Jadi apa itu HIPS?

Komposisi filamen HIPS

Polistirena berimpak tinggi (HIPS) ialah polimer termoplastik. Ia diperoleh dengan menambahkan polibutadiena kepada polistirena semasa pempolimeran. Hasil daripada pembentukan ikatan kimia, polistirena memperoleh keanjalan getah butadiena, dan filamen berkualiti tinggi, tahan lama dan elastik diperolehi.

Kelebihan HIPS sebagai bahan cetakan

Banyak ciri HIPS adalah serupa dengan ABS, PLA atau SBS, tetapi berbeza dengan lebih baik:

• Bahan tidak menyerap lembapan, bertolak ansur dengan keadaan persekitaran dengan lebih baik, dan tidak tertakluk kepada penguraian. Menyimpan lebih lama apabila dibuka tanpa pembungkusan.
• Lembut, lebih sesuai untuk pemprosesan pasca mekanikal.
• Ringan dan penyerapan air yang rendah memungkinkan, dalam keadaan tertentu, untuk mencipta objek yang tidak tenggelam dalam air.
• PINGGUL yang tidak dicat mempunyai warna putih terang, yang memberikan kelebihan estetik. Tekstur matte melicinkan secara visual lapisan dan kekasaran cetakan.
• Perkakas plastik dibuat daripadanya. Lebih penting lagi adalah hakikat bahawa ia tidak berbahaya kepada manusia dan haiwan dan tidak karsinogenik.

Penggunaan HIPS sebagai bahan cetakan utama

Setelah objek HIPS dicetak, ia boleh diampelas, disemai dan dicat untuk memberikan rupa yang diingini. Jika kita membandingkan ciri-ciri HIPS pada peringkat terakhir ini, perlu diingatkan bahawa semua prosedur yang berkaitan dengan pasca pemprosesan - penamat, pengisaran, penggilap, dll. - dilakukan dengan sangat mudah pada bahan ini. Bahagian dan objek yang terhasil, yang dicipta hanya menggunakan filamen ini, adalah kuat dan sederhana mulur dan, di atas semua, agak ringan. HIPS adalah bahan yang lebih lembut dan licin, ia lebih mudah diproses secara mekanikal, tidak seperti PLA atau ABS. Apabila menggunakan plastik HIPS, kami mengesyorkan menghidupkan tiupan muncung (penyejukan), ini akan membolehkan lapisan mengeras secara sekata, dan permukaan yang dicetak akan menjadi lebih licin.

Model dicetak dengan plastik HIPS

HIPS sebagai bahan sokongan, keterlarutan HIPS

HIPS larut dalam limonene, hidrokarbon cecair tidak berwarna dengan bau sitrus yang kuat. Oleh kerana mereka (HIPS dan limonene) tidak berinteraksi dalam apa-apa cara dengan ABS, HIPS sangat baik untuk membuat sokongan dan jauh lebih murah daripada PVA.

Menggunakan HIPS untuk mencipta bentuk yang kompleks.

Jika pencetak mempunyai dua penyemperit, cuma tambahkan kili ABS dan kili HIPS dan anda sudah bersedia untuk mencetak reka bentuk rumit yang sukar dicapai dengan bahan sokongan lain. By the way, anda boleh membeli sampel bahan ini daripada kami, sampel HIPS sepanjang 10 meter.

Ia bagus apabila mencetak dalam warna yang berbeza: semasa proses mengeluarkan sokongan dari HIPS, ini akan membantu memastikan ia telah larut sepenuhnya dan hanya objek ABS yang kekal.

Apakah yang biasanya dibuat daripada HIPS dalam pengeluaran perindustrian?

Selalunya, mainan diperbuat daripada HIPS, serta pembungkusan, bekalan rumah, dan peralatan rumah. Oleh kerana bahan itu tidak berbahaya, kutleri pakai buang, serta pinggan dan cawan sering dibuat daripadanya.

Penyemperitan Filamen HIPS (Pilihan Cetakan)

Suhu yang betul untuk bekerja dengan mana-mana filamen berbeza dari pencetak ke pencetak, tetapi lebih baik mula bereksperimen dengan 230-260° C. Jika pencetak mempunyai platform yang dipanaskan, semasa mencetak HIPS, tetapkan suhu padanya kepada 100° C - ini akan membantu anda mendapatkan objek yang lebih licin dan lebih padat. Selain itu, untuk menjadikan perkara lebih baik, cuba sapukan pita poliamida (Kapton) pada platform supaya jalur tidak bersilang.

Langkah berjaga-jaga apabila bekerja dengan HIPS

Walaupun HIPS bukan toksik, semasa penyemperitan ia mengeluarkan bahan yang boleh menyebabkan kerengsaan pernafasan dan mata, jadi pencetakan di kawasan yang mempunyai pengudaraan yang baik adalah disyorkan.

Jika platform pencetak terbuka, pastikan pengudaraan yang mencukupi dan sentiasa beroperasi dengan sangat berhati-hati. Sentuhan tanpa perlindungan dengan bahan yang dipanaskan boleh mengakibatkan kulit terbakar yang teruk.

Maklumat am

Apabila komponen PINGGUL diaktifkan, aktiviti program adalah terhad mengikut peraturan. Situasi yang peraturannya tidak dinyatakan diselesaikan bergantung pada mod HIPS, penarafan program dan syarat lain.

Lazimnya, Mod Selamat membenarkan program yang dipercayai untuk melakukan sebarang aktiviti yang tidak dilarang oleh peraturan, kecuali untuk melancarkan fail yang tidak dikenal pasti. Pelancaran program yang tidak dikenal pasti, serta sebarang tindakan program ini, dihalang oleh amaran.

Mod paranoid berhenti dengan memberi amaran kepada sebarang aktiviti mana-mana program yang tidak diperuntukkan oleh peraturan.

Dalam Mod Latihan, sebarang aktiviti mana-mana program yang tidak diperuntukkan oleh peraturan akan mencipta peraturan membenarkan baharu secara automatik.

Peraturan dibentangkan pada tab PINGGUL → Peraturan PINGGUL sebagai senarai aplikasi dan mereka yang dilantik olehnya set peraturan.

Aplikasi boleh menjadi laluan tepat ke fail, corak laluan dengan * dan? , serta kumpulan fail. Dalam laluan dan templatnya anda boleh gunakan . Kumpulan fail ialah koleksi laluan atau corak, ia dikonfigurasikan pada tab Penarafan fail → Kumpulan fail. Saya ingin menekankan bahawa aplikasi dalam peraturan HIPS hanya dikenal pasti melalui laluannya, bukan oleh cincang, dsb.

Set peraturan yang diberikan kepada aplikasi terdiri daripada dua tab: "Hak Akses" dan "Tetapan Keselamatan". Yang pertama menetapkan hak aplikasi itu sendiri, yang kedua, sebaliknya, melindunginya daripada program lain. Permohonan boleh mempunyai sama ada set peraturan sendiri, atau mana-mana set pra-jana: ia dikonfigurasikan pada tab PINGGUL → Set Peraturan.

Set peraturan yang telah ditetapkan "Aplikasi Sistem Windows" membenarkan sebarang aktiviti, set "Aplikasi Dibenarkan" membenarkan sebarang aktiviti, tetapi tidak mengawal pelancaran proses kanak-kanak; Set "Aplikasi Terpencil" melarang keras sebarang aktiviti; Set Aplikasi Terhad melarang hampir semua perkara kecuali mesej tetingkap dan memantau akses, dan tidak mengawal pelancaran proses kanak-kanak. Anda bukan sahaja boleh membuat set anda sendiri, tetapi juga menukar set yang telah ditetapkan.

Sehingga CIS 10.0.1.6223, set peraturan "Aplikasi Terpencil" HIPS telah dinamakan semula kepada "Aplikasi Berjalan dalam Bekas". Pada pendapat saya, ini adalah salah terjemahan nama "Aplikasi Terkandung", kerana pada hakikatnya peraturan HIPS tidak ada kaitan dengan Kontena (persekitaran maya). Untuk mengelakkan kekeliruan, saya syorkan menamakan semula set ini kepada "Aplikasi Terpencil", dan dalam artikel ia akan dipanggil sedemikian.

Kes khas ialah set peraturan "Pasang atau kemas kini", yang memberikan aplikasi . Program yang mempunyai keistimewaan sedemikian bebas melakukan sebarang tindakan (kecuali yang dilarang secara nyata oleh peraturan), termasuk. jalankan sebarang program dan proses anak mereka juga menerima keistimewaan pemasang. Fail boleh laku yang dicipta oleh program sedemikian dipercayai secara automatik.

Konfigurasi awal yang berbeza bagi COMODO Internet Security berbeza dalam kedua-dua set peraturan awal dan julat aktiviti program yang dikawal. Untuk perlindungan HIPS yang paling lengkap, anda mesti memilih konfigurasi pada mulanya Keselamatan Proaktif dan dari sana menjalankan konfigurasi selanjutnya.

Apabila menyekat akses program kepada pelbagai sumber, HIPS bergantung pada data bahagian PINGGUL → Objek yang dilindungi. Contohnya, fail atau direktori boleh dilindungi daripada pengubahsuaian hanya jika nama penuhnya sepadan dengan mana-mana corak pada tab Fail Dilindungi. Jadi, jika anda ingin menghalang sebarang program daripada menukar fail pada pemacu D: (tanpa mengira jenisnya), anda mesti terlebih dahulu menambah pemacu ini ke senarai yang dilindungi.

Kemudian, apabila membuat peraturan khusus, anda boleh mengubah sekatan akses kepada objek dilindungi tertentu dengan mengklik "Edit" dalam lajur "Pengecualian".

Adalah dinasihatkan untuk menggunakan HIPS dalam Safe mode dengan melumpuhkan pilihan Buat peraturan untuk aplikasi selamat, atau dalam Paranoid. Kemudian prosedur untuk menentukan akses program kepada sumber adalah seperti berikut:

Seperti yang dapat kita lihat, dalam HIPS tindakan "Tanya" menyatakan ketiadaan peraturan (tidak seperti tembok api, di mana ia mengarahkan untuk menunjukkan amaran).

Jadi, tab "Dibenarkan" peraturan paling atas yang sesuai untuk program tertentu mempunyai keutamaan tertinggi; kemudian - tab "Disekat"; maka - tindakan yang dinyatakan dalam peraturan ini, jika ia tidak jelas; kemudian - tab "Dibenarkan" peraturan seterusnya, dsb. Sekiranya tiada peraturan yang jelas, akses dibenarkan jika (i) keistimewaan pemasang berkuat kuasa, atau (ii) program "dipercayai" dan mod HIPS ialah "Secure", atau (iii) "Jangan tunjukkan amaran : Pilihan Benarkan permintaan" ditandakan. Apabila tiada syarat ini dipenuhi, akses disekat jika pilihan "Jangan tunjukkan makluman: Sekat permintaan" ditandakan atau amaran dikeluarkan jika pilihan ini dilumpuhkan.

Kes khas: jika program berjalan dalam persekitaran maya dan/atau dengan sekatan Auto-Pembendungan, maka jika tiada peraturan ia akan diberikan kebenaran (serupa dengan pilihan "Jangan tunjukkan makluman: Benarkan permintaan"). Di samping itu, dalam persekitaran maya tiada perlindungan fail atau pendaftaran sama sekali, walaupun dengan sekatan yang ditetapkan secara eksplisit.

Menguruskan hak program melalui pemberitahuan

Apabila membalas makluman HIPS, aplikasi diberikan peraturan, sama ada buat sementara atau kekal, bergantung pada pilihan "Ingat pilihan saya".

Perkara penting: peraturan diberikan kepada aplikasi yang disenaraikan di sebelah kiri amaran. Contohnya, jika anda ditanya tentang menjalankan program yang tidak diketahui oleh Explorer, maka peraturan akan diberikan secara khusus kepada Explorer. Kesilapan biasa pemula: pilih pilihan "Sekat dan tamatkan pelaksanaan" dalam amaran sedemikian (dengan itu membunuh proses Explorer), atau pilihan "Aplikasi terpencil" (menghadkan hak Penjelajah dengan teruk), atau pilihan "Pasang atau kemas kini" (dengan itu kehilangan hampir semua perlindungan). Biasanya, pilihan paling bijak dalam amaran permulaan program ialah "Benarkan" atau "Sekat Sahaja."

Pilihan "Benarkan" atau "Sekat Sahaja" dalam pelbagai makluman HIPS bermakna membenarkan atau menafikan sumber tertentu sahaja. Sebagai contoh, jika anda membenarkan aplikasi mencipta fail C:\test\A.exe, kemudian cuba mencipta fail C:\test\B.exe sekali lagi akan menghasilkan amaran. Untuk membenarkan aplikasi mencipta sebarang fail dalam direktori C:\test, anda perlu mengedit peraturan melalui tetingkap tetapan CIS. Malangnya, makluman tidak memberikan kebenaran untuk direktori, templat, kumpulan, dsb. Walau bagaimanapun, melalui makluman, anda boleh memohon kepada aplikasi mana-mana set peraturan yang dibuat sebelum ini pada tab PINGGUL → Set Peraturan.

Jika anda mendayakan pilihan "Ingat pilihan saya" semasa membalas makluman, set peraturan yang diberikan kepada aplikasi yang ditentukan akan berubah; jika tiada peraturan HIPS untuk aplikasi ini, ia akan dibuat di bahagian atas senarai. Apabila memilih pilihan benarkan atau Sekat sahaja kebenaran atau larangan akan ditambahkan pada peraturan untuk sumber tertentu (fail, antara muka COM, dll.). Apabila memilih mana-mana set peraturan peraturan baru tidak akan ditambah kepada yang lama, tetapi akan menggantikannya sepenuhnya, i.e. peraturan yang diberikan sebelum ini kepada aplikasi ini tidak akan digunakan lagi.

Jika anda melumpuhkan pilihan "Ingat Pilihan Saya" dalam makluman, kebenaran, sekatan atau set peraturan yang diberikan kepada aplikasi akan tamat tempoh apabila aplikasi ditamatkan atau lebih awal, dan tiada perubahan pada konfigurasi CIS akan berlaku. Untuk memahami logik di sebalik cara peraturan sementara ini berfungsi, adalah mudah untuk membayangkan bahawa setiap kali makluman dijawab (tanpa mengingati), entri khayalan dicipta dalam senarai peraturan HIPS. Semua entri "khayalan" diletakkan di bawah entri "sebenar" dalam senarai peraturan, tetapi entri "khayal" baharu terletak di atas entri "khayal" yang lain. Ini bermakna aplikasi yang sama boleh diberikan set peraturan yang berbeza melalui makluman beberapa kali (tanpa mengingati), dan semua set peraturan ini akan sah. Dalam kes ini, peraturan "sebenar" akan mempunyai keutamaan tertinggi, kemudian yang paling terkini daripada yang "khayalan", kemudian yang lebih awal, dsb. Tetapi sebaik sahaja sebarang peraturan "sebenar" (dengan hafalan) dicipta, semua peraturan "khayal" untuk semua aplikasi akan dimusnahkan.

Sebagai contoh, setelah menerima pemberitahuan tentang program, kami akan menetapkan set peraturan "Aplikasi Terpencil", tanpa mengingatinya. Secara lalai, kumpulan Semua Apl dibenarkan untuk mengubah suai fail sementara, jadi program ini masih akan dapat melakukan ini, walaupun set Apl Terpencil menghalangnya. Jika anda menetapkan set peraturan ini dengan mengingat, menukar fail sementara akan dilarang, kerana peraturan HIPS baharu akan dibuat di bahagian atas senarai.

Terdapat beberapa pengecualian kepada prosedur yang diterangkan apabila pilihan "Ingat pilihan saya" dilumpuhkan. Pertama, ia tidak mencipta kebenaran apl "khayalan" (iaitu, menjalankan apl yang sama sekali lagi akan mencetuskan amaran sekali lagi). Kedua, jika program dibenarkan melalui amaran untuk "menukar antara muka pengguna aplikasi lain," maka ia akan dapat menghantar mesej tetingkap kepada mana-mana aplikasi buat sementara waktu, bukan hanya yang ditentukan.

Kawalan pelancaran program

Keupayaan untuk menjalankan sebarang program dinyatakan dalam HIPS oleh peraturan untuk melancarkan program, bukan untuk yang dilancarkan. Dalam "mod Paranoid", program dibenarkan berjalan secara senyap hanya jika terdapat kebenaran yang jelas dalam peraturan. Dalam "Mod Selamat", jika tiada peraturan, permulaan dibenarkan jika kedua-dua pelancaran dan program yang dilancarkan dipercayai. Pengecualian adalah pelaksanaan program dengan keistimewaan pemasang, serta di bawah pengaruh virtualisasi dan/atau sekatan Auto-Containment.

Jadi, mari kita anggap bahawa dalam "Safe Mode" HIPS program parent.exe sedang berjalan dan cuba memulakan program child.exe. Sekiranya tiada peraturan tambahan, permulaan akan berlaku secara senyap hanya jika kedua-dua program dipercayai. Jika program child.exe tidak dikenal pasti, dan peraturan HIPS untuk program parent.exe (atau kumpulan yang mengandunginya) tidak mempunyai kebenaran untuk menjalankan program child.exe (atau kumpulan yang mengandunginya), maka tanpa mengira HIPS peraturan untuk program child.exe itu sendiri dan tanpa mengira penarafan program parent.exe, amaran akan muncul sebelum pelancaran (dan mengenai program parent.exe secara khusus).

Oleh itu, untuk membenarkan pelaksanaan program yang tidak dikenal pasti, tidak cukup untuk menetapkan peraturan membenarkan untuk program itu sendiri - proses induk, atau, sebagai alternatif, kumpulan "Semua Aplikasi", memerlukan kebenaran untuk melancarkannya.

Jika anda ingin menghentikan program daripada bermula, maka, setelah menerima pemberitahuan mengenai proses induk, anda biasanya harus melumpuhkan pilihan ingat dan pilih Sekat → Sekat Sahaja. Perhatian! Item "Sekat dan selesaikan pelaksanaan" dalam pemberitahuan tentang pelancaran program tersebut bermakna penutupan proses ibu bapa.

Keupayaan untuk menjalankan sebarang program ditentukan bukan sahaja oleh peraturan HIPS, tetapi juga oleh Auto-Containment. Pelancaran akan disekat jika sekurang-kurangnya satu daripada komponen ini memerlukannya. Jika pelancaran program dibenarkan dalam peraturan HIPS, dan peraturan Auto-Containment memerlukan program ini diasingkan, ia akan dilancarkan secara berasingan.

Adalah penting untuk mengetahui bahawa, tidak seperti Auto-Containment, dalam HIPS proses anak tidak mewarisi sekatan ibu bapa: jika anda membenarkan program yang meragukan untuk menjalankan yang selamat, maka kerosakan boleh dilakukan bagi pihak program selamat.

Penciptaan automatik peraturan HIPS dalam "Mod Pembelajaran" dan "Mod Selamat"

Dalam mod tertentu, peraturan HIPS dibuat secara automatik:

• jika "Mod Pembelajaran" didayakan dan pilihan "Jangan tunjukkan pemberitahuan" dinyahdayakan atau ditetapkan kepada mod "Sekat permintaan", maka peraturan akan dibuat yang membenarkan setiap tindakan yang dikesan bagi mana-mana aplikasi;
• Jika "Mod Selamat" didayakan, pilihan "Buat peraturan untuk aplikasi selamat" didayakan dan pilihan "Jangan tunjukkan pemberitahuan" dinyahdayakan atau ditetapkan kepada "Sekat permintaan", maka peraturan akan dibuat yang membenarkan setiap tindakan yang dikesan aplikasi yang dipercayai.

Dalam kebanyakan kes, mod ini tidak berguna dan hanya digunakan untuk ujian atau persediaan untuk beralih kepada Mod Paranoid.

Peraturan untuk program (sama ada dalam "Mod Pembelajaran" atau dipercayai dalam "Mod Selamat") dicipta seperti berikut:

Jenis peraturan baharu bergantung pada tindakan yang diminta:

• Apabila satu atur cara menjalankan yang lain, peraturan dibuat untuk yang pertama yang membenarkan atur cara tertentu dijalankan.
• Apabila program mengubah suai fail atau kunci pendaftaran yang disenaraikan pada PINGGUL → Objek yang dilindungi, jenis peraturan akan bergantung pada cara templat sumber ini ditulis.
  • Jika di hujung corak terdapat tanda | , maka peraturan akan dibuat yang membenarkan perubahan khusus pada objek yang diakses oleh program. Sebagai contoh, program mencipta fail text.txt pada desktop. Adakah ia sepadan dengan corak?:\Users\*\Desktop\*| . Ini bermakna peraturan akan dibuat yang membenarkan perubahan pada fail C:\Users\Name\Desktop\text.txt .
  • Jika tiada | pada penghujung corak , maka peraturan akan dibuat yang membenarkan menukar sebarang objek mengikut templat ini. Sebagai contoh, program mencipta fail D:\prog.exe. Dalam senarai objek yang dilindungi, fail ini sepadan dengan templat *.exe. Ini bermakna peraturan akan dibuat yang membolehkan program ini menukar mana-mana fail exe.
• Apabila program mengakses mana-mana sumber berikut, peraturan dibuat secara automatik yang membenarkannya mengakses kesemuanya secara serentak:
  • Antara muka COM selamat,
  • Cangkuk Windows dan Cangkuk Aplikasi,
  • Akses memori antara proses,
  • Aplikasi yang mengganggu,
  • pertanyaan DNS,
  • Cakera(akses terus),
  • papan kekunci,
  • Pantau.

Perlindungan proses

Dalam tetingkap dengan peraturan HIPS untuk aplikasi, anda boleh mengehadkan bukan sahaja aktiviti aplikasi itu sendiri, tetapi juga kesan program lain pada operasinya. Untuk tab ini Menyediakan perlindungan menunjukkan tindakan mana dengan aplikasi ini akan disekat, dan dalam tetingkap pengecualian (butang Ubah) - program mana yang akan dibenarkan. Tiada pemberitahuan di sini - hanya kebenaran atau larangan, tanpa mengira penilaian. Tindakan yang dilarang dengan cara ini akan disekat, tanpa mengira peraturan dan penilaian program lain.

Khususnya, dengan bantuan fungsi ini, CIS melindungi diri daripada memunggah proses dan akses memorinya. Oleh itu, walaupun HIPS tidak diperlukan, adalah dinasihatkan untuk mendayakannya sekurang-kurangnya dengan pilihan "Jangan tunjukkan makluman: Benarkan permintaan" (dalam mod "Selamat" atau "Paranoid").

Kesan sampingan pertahanan diri CIS ialah sejumlah besar entri dalam log Protection Events+ apabila menggunakan beberapa program, contohnya, ProcessExplorer. Anda boleh menyingkirkan kunci yang tidak diperlukan dengan membenarkan aplikasi individu mengakses memori dalam kumpulan COMODO Internet Security.

Saya perhatikan bahawa perlindungan terhadap gangguan aplikasi itu sendiri tidak meliputi semua cara untuk memunggah proses. Oleh itu, banyak aplikasi boleh ditamatkan melalui mesej tetingkap atau melalui akses memori. Untuk melindungi aplikasi daripada kaedah penamatan sedemikian, anda perlu menyemak peraturannya pada tab "Tetapan Perlindungan" bukan sahaja item "Gangguan aplikasi", tetapi juga yang lain.

Keistimewaan pemasang

Maksud keistimewaan pemasang

Di bawah syarat tertentu, aplikasi menerima keistimewaan pemasang, iaitu seperti berikut:

1. HIPS membenarkan aplikasi sedemikian segala-galanya yang tidak dilarang secara jelas dalam peraturan, i.e. berfungsi serupa dengan mod "Jangan tunjukkan amaran: Benarkan permintaan";
2. Auto-Containment tidak mengasingkan program yang dilancarkan oleh aplikasi ini;
3. semasa aplikasi ini berjalan, proses anaknya (dan proses anak mereka, dsb.) dijalankan dengan keistimewaan pemasang;
4. fail boleh laku yang dicipta oleh aplikasi ini (atau proses anak yang mewarisi keistimewaannya) dipercayai secara automatik.

Fail ditambahkan secara automatik pada fail dipercayai hanya apabila pilihan "Aplikasi amanah dipasang menggunakan pemasang dipercayai" didayakan pada tab . Juga, dalam beberapa kes khas, keistimewaan pemasang diberikan kepada aplikasi dalam bentuk "dipotong": tanpa , atau apabila pengguna bertindak balas dengan kebenaran (jika program tidak dikenal pasti dan mempunyai atribut pemasang), atau apabila program diberikan yang sesuai , atau apabila peraturan ini digunakan padanya, atau apabila program mewarisi keistimewaan ini daripada proses induk.

Memberi keistimewaan pemasang aplikasi secara automatik

Aplikasi secara automatik mendapat keistimewaan pemasang jika ia dipercayai dan mempunyai atribut pemasang. Anda boleh melihat sama ada aplikasi mempunyai teg pemasang dalam senarai proses aktif.

Apakah sifat aplikasi yang menjadi tanda pemasang? Dikatakan: berdasarkan eksperimen, pemasang dianggap program yang mempunyai perkataan install, setup atau kemas kini dalam nama fail atau dalam Maklumat Versi Fail (dalam FileDescription, ProductName , InternalName atau OriginalFilename medan); Fail MSI juga dianggap sebagai pemasang.

Dalam versi CIS yang lebih lama, ciri pemasang adalah berbeza; khususnya, pemasang dianggap sebagai program yang meminta hak pentadbir pada permulaan, program yang saiznya melebihi 40 MB, dsb. Oleh sebab itu, banyak program aplikasi telah tersilap diberikan pemasang keistimewaan (khususnya, pemasangan PortableApps), yang mewujudkan bahaya yang jelas. Dalam CIS 10, ancaman ini dikurangkan dengan ketara.

Menetapkan Keistimewaan Pemasang melalui Makluman Auto-Pembendungan

Dalam konfigurasi "Keselamatan Proaktif" standard, apabila anda melancarkan program tidak dikenal pasti yang mempunyai teg pemasang, amaran muncul menawarkan pilihan empat pilihan: "Sekat", "Pelancaran terpencil", "Jalankan tanpa sekatan" dengan "Percayai ini pilihan aplikasi" dan "Jalankan" dilumpuhkan. tanpa sekatan" apabila pilihan "Percayai aplikasi ini" didayakan.

Pilihan "Sekat" bermaksud melarang pelancaran. Pilihan "Pelancaran terpencil" bermakna program akan dilancarkan secara berasingan mengikut peraturan Auto-Pembendungan.

Jika anda mendayakan pilihan "Percayai aplikasi ini" dan pilih "Jalankan tanpa sekatan", program akan menjadi dipercayai dan akan dijalankan dengan keistimewaan pemasang. Pada masa yang sama, peraturan Auto-Pembendungan akan dibuat, tidak termasuk proses anak program ini daripada pengasingan. Peraturan ini biasanya tidak masuk akal dan saya syorkan untuk mengalih keluarnya.

Jika anda memilih pilihan "Jalankan tanpa sekatan" apabila pilihan "Percayai aplikasi ini" dilumpuhkan, program akan dilancarkan buat sementara waktu dengan keistimewaan pemasang "dipotong", tanpa mempercayai fail yang dibuat. Itu. mata , dan , tetapi tidak .

Secara umumnya, amaran sedemikian berlaku jika syarat berikut dipenuhi:

• Komponen Auto-Bendungan didayakan,
• pada tab Bendung → Tetapan Bendung pilihan "Kesan program yang memerlukan keistimewaan yang tinggi" didayakan,
• Pilihan "Jangan tunjukkan pemberitahuan apabila meminta keistimewaan yang tinggi" dilumpuhkan di sana,
• program yang akan dilancarkan mesti, mengikut peraturan Auto-Containment, dilancarkan secara maya dan/atau dengan sekatan,
• Program yang dilancarkan mempunyai atribut pemasang atau meminta hak pentadbir semasa dimulakan.

Seperti yang anda boleh lihat, untuk memaparkan amaran, program yang dilancarkan tidak semestinya tidak dikenal pasti - ia hanya memerlukan peraturan Auto-Containment mengarahkannya untuk diasingkan. Di samping itu, program ini mungkin meminta hak pentadbir pada permulaan, tetapi bukan pemasang.

Jika anda mendayakan pilihan "Jangan tunjukkan makluman untuk permintaan keistimewaan yang tinggi", anda boleh memilih daripada menu pilihan untuk mengasingkan (disyorkan) secara automatik atau menyekat pemasang yang tidak dikenal pasti tanpa memberi amaran. Terdapat juga pilihan "Lari tanpa sekatan" dan "Lari tanpa sekatan dan amanah" - sudah tentu, memilihnya sangat berbahaya.

Menetapkan keistimewaan pemasang melalui makluman dan peraturan HIPS

Keistimewaan pemasang boleh diberikan kepada program secara eksplisit melalui HIPS: ia sepadan dengan peraturan "Pasang atau kemas kini".

Apabila amaran HIPS berlaku mengenai aktiviti aplikasi, anda boleh memilih Proses sebagai → Pemasangan atau kemas kini, dengan atau tanpa hafalan.

Jika anda menyemak pilihan ingat dan pilih pilihan "Pasang atau kemas kini", peraturan HIPS yang sepadan akan dibuat dan aplikasi akan menerima keistimewaan pemasang. Jika anda memilih pilihan ini tanpa pilihan ingat, peraturan tidak akan dibuat dan aplikasi akan menerima versi keistimewaan pemasang "dipenggal", tanpa mempercayai fail yang dibuat (melancarkan pemasang yang tidak dikenal pasti buat sementara waktu tanpa sekatan Auto-Pembendung).

Melalui tetingkap konfigurasi CIS, anda boleh pra-tetapkan peraturan "Pasang atau Kemas Kini" kepada aplikasi. Jelas sekali, dalam kes ini, aplikasi akan menerima keistimewaan pemasang tanpa pemberitahuan dan sepenuhnya.

Mempercayai fail yang dibuat dengan keistimewaan pemasang

Seperti yang telah disebutkan, fail boleh laku yang dibuat oleh pemasang dipercayai dipercayai secara automatik jika pilihan "Aplikasi amanah dipasang menggunakan pemasang dipercayai" pada tab didayakan Penarafan fail → Sediakan penarafan fail. Ia juga mengatakan bahawa maklumat tentang penciptaan fail oleh pemasang yang dipercayai dilog masuk ke pangkalan data, walaupun pilihan ini dilumpuhkan.

Berdasarkan eksperimen, apabila pilihan DPUPDU dilumpuhkan, maklumat tentang penciptaan fail oleh pemasang yang dipercayai secara langsung, dan bukan oleh mana-mana program yang mempunyai keistimewaan pemasang, dimasukkan ke dalam pangkalan data CIS. Itu. Jika fail dicipta oleh proses anak pemasang yang dipercayai atau oleh program yang telah mendapat keistimewaan pemasang berdasarkan peraturan HIPS, maka fail itu tidak dianggap telah dibuat oleh pemasang yang dipercayai. Tetapi jika pilihan DPUPDU didayakan, maka fail yang dicipta oleh mana-mana program yang telah menerima keistimewaan pemasang ditandakan dalam pangkalan data sebagai dicipta oleh pemasang yang dipercayai.

Apabila menentukan sama ada fail dicipta di bawah keistimewaan pemasang, CIS membezakan antara mencipta dan menyalin fail. Jadi, jika program dengan keistimewaan pemasang melakukan salinan biasa fail, maka fail itu belum lagi dipercayai. Tetapi jika, di bawah pengaruh keistimewaan pemasang, fail diekstrak daripada arkib, sebagai contoh, CIS akan mempercayai fail ini dan semua yang serupa (dengan pilihan DPUPDU didayakan).

Pada tahap tertentu, keistimewaan pemasang berfungsi dalam persekitaran maya: jika pemasang dipercayai berjalan secara maya, tetapi mencipta fail dalam persekitaran sebenar (dalam kawasan kongsi), maka fail ini ditandakan dalam pangkalan data sebagai dicipta oleh pemasang yang dipercayai. Situasi yang sama timbul apabila bekerja dalam persekitaran sebenar dengan sekatan Auto-Pembendungan. Pada pendapat saya, ini adalah kecacatan, dan mungkin berbahaya.

Walaupun pilihan DPUPDU meningkatkan kebolehgunaan CIS, terdapat beberapa merit dalam melumpuhkannya. Khususnya, apabila pilihan ini didayakan, CIS boleh mempercayai program yang mungkin tidak diingini yang dipasang bersama aplikasi jinak.

Ia berlaku bahawa pemasang aplikasi, walaupun ia dipercayai, mencipta dan melancarkan program yang tidak dikenal pasti semasa operasinya. Biasanya CIS tidak menghalang mereka daripada berjalan kerana mereka mewarisi keistimewaan pemasang. Walau bagaimanapun, seperti yang dinyatakan di atas, keistimewaan yang diwarisi tidak selalu berkuat kuasa (atas sebab keselamatan), dan kadangkala perlindungan proaktif mungkin dicetuskan semasa proses pemasangan. Jika ini hanya muncul sebagai amaran HIPS, maka anda hanya perlu membalasnya untuk meneruskan pemasangan. Tetapi jika HIPS dikonfigurasikan untuk menyekat tanpa pemberitahuan, atau jika Auto-Containment digunakan, maka terdapat risiko bahawa aplikasi tidak akan dipasang dengan betul. Risiko ini amat tinggi jika pilihan "Aplikasi Amanah yang dipasang melalui pemasang dipercayai" atau "Kesan program yang memerlukan keistimewaan tinggi" dilumpuhkan.

Untuk memasang aplikasi tanpa gangguan daripada CIS, saya cadangkan melancarkan pemasang melalui item menu konteks khas. Untuk melakukan ini, kami akan menggunakan program mudah yang menjalankan fail yang dinyatakan dalam argumen baris arahannya. Anda perlu memuat turun arkib dengan program (kata laluan cis), letakkan program di mana-mana tempat yang mudah, tambahkannya ke senarai yang dipercayai dan jalankannya - anda akan diminta untuk menambah item baharu pada menu konteks Explorer (ia boleh dialih keluar dengan melancarkannya semula). Program ini ditulis dalam AutoIt3, folder sumber dan penukar disertakan dalam folder sumber: jika ragu-ragu, anda boleh menjana program serupa dengan menyemak kod dan tandatangan penukarnya.

Kemudian anda perlu menetapkan peraturan "Pasang dan Kemas Kini" HIPS kepada program ini, serta peraturan Auto-Containment:

• pilih tindakan "Abaikan",
• dalam kriteria menunjukkan lokasi program,
• Biarkan pilihan "Jangan gunakan tindakan yang dipilih pada proses kanak-kanak" dilumpuhkan.

Sekarang, untuk pemasangan mana-mana aplikasi selamat berjalan dengan lancar, cukup untuk membuka menu konteks pada pemasang, sambil menahan kekunci Shift, dan pilih "COMODO: jalankan sebagai pemasang". Akibatnya, walaupun apabila pemasang itu sendiri keluar, proses anaknya akan terus berjalan dengan keistimewaan pemasang. Keistimewaan ini akan dialih keluar selepas menutup tetingkap khas dengan teks "Klik Ok apabila pemasangan selesai." Namun begitu, proses ini akan kekal dikecualikan daripada kawalan Auto-Pembendungan.

Prinsip operasi HIPS (Host-based Intrusion Prevention System): penerangan terperinci. Tetapan HIPS dan Auto-Kotak Pasir Am dalam Comodo Internet Security 8. Viruscope

PINGGUL

Mod HIPS

Apabila HIPS didayakan, aktiviti program dihadkan mengikut peraturan. Peraturan yang tersedia pada mulanya menetapkan kebenaran untuk beberapa program sistem, dan dalam kes lain memerlukan bertanya kepada pengguna. Pengguna boleh menambah peraturannya sendiri melalui antara muka tab Peraturan HIPS, atau ia akan dibuat melalui responsnya kepada makluman, atau dibuat secara automatik apabila "Mod Pembelajaran" didayakan. Anda boleh melumpuhkan makluman dengan menyatakan bahawa aktiviti harus sentiasa dibenarkan atau aktiviti harus sentiasa dinafikan jika tiada peraturan.

Paparan amaran program bergantung pada program dan mod HIPSnya. Dalam "Mod Selamat", makluman hanya akan dikeluarkan berkenaan program yang tidak dikenal pasti, manakala program yang dipercayai akan diberi kebenaran secara senyap (jika tiada peraturan larangan) untuk mengambil sebarang tindakan kecuali melancarkan aplikasi yang tidak dikenal pasti. Dalam Mod Paranoid, makluman akan muncul untuk semua program, tanpa mengira reputasi.

Dalam mod PC Bersih, makluman hanya muncul untuk program baru yang tidak dikenal pasti, i.e. yang sebelum ini tidak berada pada cakera, dan yang "lama" dianggap sebagai dipercayai dalam "Mod Selamat". Mod "PC Bersih" berfungsi seperti berikut: dari saat mod ini dihidupkan, penciptaan program baru dipantau, i.e. fail boleh laku. Jika program baharu kurang daripada 40 MB dan tidak mempunyai reputasi "dipercayai", maka ia dimasukkan sebagai "tidak dikenali". Hanya program daripada senarai "tidak dikenal pasti" akan mempunyai hak terhad. Selebihnya program, lebih kecil daripada 40 MB, akan dianggap sebagai dipercayai: mereka akan dianggap sedemikian oleh HIPS, Auto-Sandbox dan firewall.

Mod PC bersih agak bermasalah dan saya tidak mengesyorkan menggunakannya. Khususnya, jika dalam mod ini anda meletakkan program yang tidak diketahui baru dalam direktori dan menukar namanya, maka program itu akan dianggap "lama", i.e. akan mendapat permit. Walau bagaimanapun, anda boleh melaksanakan analog yang berfungsi dengan betul bagi mod "PC Bersih" dalam "Mod Selamat" dengan menambahkan semua fail boleh laku kepada yang dipercayai mengikut cara yang dicadangkan dalam .

Cara "Mod Selamat" berfungsi dengan pilihan "Buat peraturan untuk aplikasi selamat" didayakan, serta "Mod Pembelajaran". Bekerja dalam mod "PC Bersih" adalah serupa dengan "Selamat", tetapi berbeza dengan fail tidak dikenal pasti yang berada pada cakera sebelum menghidupkan mod ini akan diproses sama seperti yang dipercayai ("mereka akan dipercayai" bukan sahaja oleh HIPS, tetapi juga oleh Auto-Sandbox dan firewall ).

Saya akan menetapkan kes khas: jika program dilaksanakan dalam persekitaran maya dan/atau dengan sekatan Auto-Sandbox, maka jika tiada peraturan membenarkan atau menafikan, kebenaran akan diberikan (sama seperti pilihan "Jangan tunjukkan amaran : Benarkan permintaan”). Dalam persekitaran maya, tidak akan ada perlindungan fail dan pendaftaran sama sekali, walaupun dengan sekatan yang ditetapkan secara eksplisit. Tetapi, sudah tentu, persekitaran maya dan/atau Auto-Sandbox akan ditindih pada program ini dan proses anaknya.

Menguruskan hak program melalui pemberitahuan

Jika anda memilih Benarkan atau Sekat Sahaja dalam makluman HIPS, kebenaran atau sekatan itu hanya akan digunakan pada sumber khusus tersebut. Sebagai contoh, jika anda membenarkan aplikasi mencipta fail C:\test\A.exe, kemudian cuba mencipta fail C:\test\B.exe sekali lagi akan menghasilkan amaran. Untuk membenarkan aplikasi mencipta sebarang fail dalam direktori C:\test, anda perlu mengedit peraturan melalui tetingkap tetapan CIS. Malangnya, makluman tidak memberikan kebenaran untuk direktori, templat, kumpulan, dsb.

Satu pengecualian telah diperhatikan: jika program dibenarkan melalui amaran untuk "menukar antara muka pengguna aplikasi lain", peraturan akan dibuat yang membolehkan program itu menghantar mesej tetingkap kepada mana-mana aplikasi, bukan hanya yang ditentukan.

Walau bagaimanapun, melalui makluman, anda boleh menggunakan dasar yang telah dibuat pada aplikasi tersebut. Dasar ini dibuat dalam tab HIPS > Set Peraturan. Dasar pratetap "Aplikasi Sistem Windows" membenarkan sebarang aktiviti, dasar "Aplikasi Dibenarkan" membenarkan sebarang aktiviti, tetapi tidak mengawal pelancaran proses kanak-kanak; Dasar Aplikasi Terpencil melarang keras sebarang aktiviti; Dasar Aplikasi Terhad melumpuhkan hampir semua perkara kecuali mesej tetingkap dan monitor, dan tidak mengawal pelancaran proses kanak-kanak. Anda bukan sahaja boleh membuat dasar anda sendiri, tetapi juga menukar dasar yang dipratetap.

Kebenaran, sekatan dan dasar yang diberikan kepada aplikasi melalui makluman mempunyai kesan berbeza bergantung pada sama ada pilihan "Ingat pilihan saya" didayakan dalam makluman. Jika anda mendayakan pilihan ini dan memilih pilihan "Benarkan" atau "Sekat Sahaja", set peraturan yang diberikan kepada aplikasi ini akan berubah: ia akan ditambahkan untuk membenarkan atau menyekat sumber tertentu (fail, antara muka, dsb.). Jika anda mendayakan pilihan "Ingat pilihan saya" dan pilih mana-mana set peraturan— peraturan baharu tidak akan ditambah kepada yang lama, tetapi akan menggantikannya sepenuhnya; mereka. peraturan yang diberikan sebelum ini kepada aplikasi ini tidak akan digunakan lagi. Jika tiada peraturan HIPS untuk aplikasi ini, ia akan dibuat di bahagian atas senarai.

Jika anda melumpuhkan pilihan "Ingat pilihan saya" dalam makluman, kebenaran, sekatan atau dasar yang diberikan kepada aplikasi akan tamat tempoh apabila aplikasi ditamatkan atau lebih awal lagi, dan tiada perubahan pada peraturan akan berlaku. Untuk memahami logik bagaimana peraturan sementara ini berfungsi, mudah untuk membayangkan bahawa setiap kali makluman dijawab (tanpa mengingati), entri "hantu" dicipta dalam senarai peraturan HIPS. Semua entri "phantom" terletak di bawah entri "real" dalam senarai peraturan, tetapi entri "phantom" baharu terletak di atas entri "phantom" yang lain. Ini bermakna bahawa aplikasi yang sama boleh diberikan dasar yang berbeza melalui makluman beberapa kali (tanpa mengingati), dan semua dasar ini akan berkuat kuasa. Dalam kes ini, peraturan "sebenar" akan mempunyai keutamaan tertinggi, kemudian yang paling terkini daripada yang "hantu", kemudian yang lebih awal, dsb. Tetapi sebaik sahaja sebarang peraturan "sebenar" (dengan hafalan) dicipta, semua peraturan "hantu" untuk semua aplikasi akan dimusnahkan.

Sebagai contoh, mari kita tetapkan dasar "Aplikasi terpencil" kepada beberapa program, tanpa mengingatinya. Secara lalai, kumpulan Semua Aplikasi dibenarkan untuk mengubah suai fail sementara, jadi program ini masih boleh berbuat demikian walaupun dasar Aplikasi Terpencil menghalangnya. Jika anda menetapkan dasar ini dengan mengingati, menukar fail sementara akan dilarang, kerana peraturan HIPS baharu akan dibuat di bahagian atas senarai.

Kawalan pelancaran program

Keupayaan untuk menjalankan sebarang program dinyatakan dalam HIPS oleh peraturan untuk melancarkan program, bukan untuk yang dilancarkan. Dalam "mod Paranoid", menjalankan program dibenarkan secara senyap hanya jika terdapat kebenaran yang jelas dalam peraturan (untuk ). Dalam "Mod Selamat", jika tiada peraturan, permulaan dibenarkan jika kedua-dua pelancaran dan program yang dilancarkan mempunyai reputasi "dipercayai".

Jadi, mari kita anggap bahawa dalam "Safe Mode" HIPS program parent.exe sedang berjalan dan cuba memulakan program child.exe. Sekiranya tiada peraturan tambahan, permulaan akan berlaku secara senyap hanya jika kedua-dua program dipercayai. Jika program child.exe tidak dikenal pasti, dan peraturan HIPS untuk program parent.exe (atau kumpulan yang mengandunginya) tidak mempunyai kebenaran untuk menjalankan program child.exe (atau kumpulan yang mengandunginya), maka tanpa mengira HIPS peraturan untuk program child.exe itu sendiri dan tanpa mengira penarafan program parent.exe, amaran akan muncul sebelum pelancaran (dan mengenai program parent.exe secara khusus).

Oleh itu, untuk membenarkan pelaksanaan program yang tidak dikenal pasti, tidak cukup untuk menetapkan peraturan membenarkannya sendiri - proses induk, atau, sebagai alternatif, kumpulan "Semua aplikasi", memerlukan kebenaran untuk melancarkannya.

Jika anda ingin menghentikan program daripada bermula, maka, setelah menerima pemberitahuan mengenai proses induk, anda harus melumpuhkan pilihan mengingat dan pilih "Sekat" > "Sekat sahaja".

Perhatian! Item "Sekat dan selesaikan pelaksanaan" dalam pemberitahuan tentang pelancaran program tersebut bermakna penutupan proses ibu bapa. Selain itu, memilih mana-mana dasar (iaitu, satu set peraturan) dalam pemberitahuan ini akan menetapkannya secara khusus kepada proses induk. Sehubungan itu, mendayakan pilihan "Ingat pilihan saya" dalam makluman sedemikian akan menghasilkan penciptaan/pengubahsuaian peraturan HIPS untuk proses induk. Kesilapan biasa yang dilakukan oleh pengguna ialah memilih dasar dalam pemberitahuan tentang program yang dilancarkan oleh Explorer. Tindakan yang betul adalah dengan membenarkan pelancaran sahaja, dan pilih dasar dalam pemberitahuan berikutnya tentang aktiviti program itu sendiri.

Adalah penting untuk mengetahui bahawa, tidak seperti Auto-Sandbox, dalam HIPS proses anak tidak mewarisi sekatan ibu bapa: membenarkan program yang meragukan untuk menjalankan program yang mempunyai kebenaran akan menjejaskan keselamatan.

Keupayaan untuk menjalankan sebarang program ditentukan bukan sahaja oleh peraturan HIPS, tetapi juga oleh . Pelancaran akan disekat jika sekurang-kurangnya satu daripada komponen ini memerlukannya. Jika pelancaran dibenarkan dalam peraturan HIPS, dan peraturan Auto-Sandbox memerlukan program ini diasingkan, ia akan dilancarkan secara berasingan.

Terdapat pengecualian tertentu kepada prosedur yang diterangkan. Pengecualian pertama melibatkan program yang sudah dikotak pasir. Proses kanak-kanak program ini akan diasingkan dengan cara yang sama, tidak tertakluk kepada peraturan Auto-Kotak Pasir yang berbeza. Tiada pemberitahuan HIPS tentang pelancaran mereka: penyekatan akan berlaku hanya jika terdapat peraturan larangan HIPS yang jelas. Dalam erti kata lain, pengendalian HIPS untuk program sedemikian adalah serupa dengan mendayakan pilihan "Jangan tunjukkan makluman: Benarkan permintaan".

Pengecualian lain ialah program yang mempunyai keistimewaan pemasang. Proses anak mereka tidak mematuhi peraturan Auto-Sandbox (ini adalah tingkah laku) dan tidak menaikkan amaran HIPS. Mereka hanya tertakluk kepada larangan eksplisit dalam peraturan HIPS, seperti pilihan yang didayakan "Jangan tunjukkan makluman: Benarkan permintaan" (tingkah laku ini tidak boleh dikonfigurasikan).

Pengecualian ketiga ialah program yang mempunyai peraturan tindakan “Abaikan” dalam Auto-Sandbox dengan pilihan “ ” dilumpuhkan. Program sedemikian hanya dikecualikan daripada kawalan Auto-Sandbox bersama-sama dengan proses anak mereka. Peraturan HIPS terpakai kepada mereka seperti biasa.

Penciptaan automatik peraturan HIPS dalam "Mod Pembelajaran" dan "Mod Selamat"

Dalam mod tertentu, peraturan HIPS dibuat secara automatik:

• jika "Mod Pembelajaran" didayakan dan pilihan "Jangan tunjukkan pemberitahuan" dinyahdayakan atau ditetapkan kepada mod "Sekat permintaan", maka aktiviti semua aplikasi akan dipantau dan peraturan akan dibuat yang membenarkan setiap tindakan mereka yang dikesan;
• Jika "Mod Selamat" didayakan, pilihan "Buat peraturan untuk aplikasi selamat" didayakan dan pilihan "Jangan tunjukkan pemberitahuan" dinyahdayakan atau ditetapkan kepada "Sekat permintaan", maka peraturan akan dibuat yang membenarkan setiap tindakan yang dikesan aplikasi yang dipercayai.

Dalam kebanyakan kes, mod ini tidak berguna dan hanya digunakan untuk ujian atau persediaan untuk beralih kepada Mod Paranoid.

Peraturan untuk program (sama ada dalam "Mod Pembelajaran" atau dipercayai dalam "Mod Selamat") dicipta seperti berikut:

Jenis peraturan baharu bergantung pada tindakan yang diminta:

• Apabila satu atur cara menjalankan yang lain, peraturan dibuat untuk yang pertama yang membenarkan atur cara tertentu dijalankan.
• Apabila program mengubah suai fail atau kunci pendaftaran yang disenaraikan pada tab HIPS > Protected Objects, jenis peraturan akan bergantung pada cara templat sumber ditulis.
  • Jika di hujung corak terdapat tanda | , maka peraturan akan dibuat yang membenarkan perubahan khusus pada objek yang diakses oleh program. Sebagai contoh, program mencipta fail text.txt pada desktop. Ia sepadan dengan corak " ?:\Users\*\Desktop\*| " Ini bermakna peraturan akan dibuat yang membenarkan perubahan pada fail C:\Users\Name\Desktop\text.txt .
  • Jika tiada | pada penghujung corak , maka peraturan akan dibuat yang membenarkan menukar sebarang objek mengikut templat ini. Sebagai contoh, program mencipta fail D:\prog.exe. Dalam senarai objek yang dilindungi, fail ini sepadan dengan templat *.exe. Ini bermakna peraturan akan dibuat yang membolehkan program ini menukar mana-mana fail exe.
• Apabila program mengakses mana-mana sumber berikut, peraturan dibuat secara automatik yang membenarkannya mengakses kesemuanya secara serentak:
  • "Antara muka COM yang dilindungi"
  • "Cangkuk Windows dan Cangkuk Aplikasi"
  • "Akses memori antara proses"
  • "Gangguan Aplikasi"
  • "Pertanyaan DNS"
  • "Disk" (akses langsung),
  • "Papan kekunci",
  • "Pantau".

Biasanya, prosedur operasi sebenar HIPS bertepatan dengan yang diterangkan, tetapi pelbagai penyelewengan berlaku. Sebagai contoh, kadangkala peraturan HIPS dicipta secara automatik walaupun untuk program yang dijalankan dengan keistimewaan pemasang; ini diperhatikan apabila Auto-Sandbox dilumpuhkan. Terdapat juga situasi di mana peraturan untuk program, yang dibuat dalam "Mod Pembelajaran," tidak merekodkan akses kepada semua objek fail yang diminta olehnya dalam "Mod Paranoid."

Mengenal pasti aplikasi mengikut laluan mereka

Peraturan eksplisit hanya mengambil kira laluan ke program. Integritinya, atau lebih tepatnya, penilaiannya, disemak hanya jika tiada peraturan dalam "Mod Selamat". Daripada laluan unik, anda boleh menggunakan templat dan pembolehubah persekitaran dengan cara yang sama, serta kumpulan fail itu sendiri.

Sebelum ini, kadangkala diperhatikan bahawa selepas menamakan semula atau memindahkan program, HIPS merasakan ia berada di tempat yang sama. Ini dinyatakan dalam fakta bahawa untuk program ini peraturan telah berkuat kuasa, di mana ia ditulis di sepanjang laluan lama, dan peraturan dengan laluan baru tidak terpakai. Masalah telah diselesaikan dengan but semula.

Disebabkan fakta bahawa peraturan HIPS adalah berasaskan laluan, pilihan "Buat peraturan untuk aplikasi selamat" adalah berbahaya. Contohnya, jika ia didayakan dan Explorer menjalankan program yang dipercayai (ditandatangani) C:\myDownloads\test.exe, maka "Mod Selamat" HIPS akan membuat peraturan secara automatik; dan pada masa lain sesuatu yang lain akan muncul sebagai ganti test.exe. Oleh itu, saya syorkan untuk melumpuhkan pilihan ini.

Perlindungan proses

Dalam tetingkap dengan peraturan HIPS untuk aplikasi, anda boleh mengehadkan bukan sahaja aktiviti aplikasi itu sendiri, tetapi juga kesan program lain pada operasinya. Untuk melakukan ini, dalam tab "Tetapan Perlindungan", pilih tindakan dengan aplikasi ini akan disekat, dan dalam tetingkap pengecualian (butang "Tukar") - program mana yang akan dibenarkan berbuat demikian. Tiada pemberitahuan di sini - hanya kebenaran atau larangan, tanpa mengira penilaian. Tindakan yang dilarang dengan cara ini akan disekat, tanpa mengira peraturan dan penilaian program lain.

Khususnya, dengan bantuan fungsi ini, CIS melindungi diri daripada memunggah proses dan akses memorinya. Oleh itu, walaupun HIPS tidak diperlukan, adalah dinasihatkan untuk mendayakannya sekurang-kurangnya dengan pilihan "Jangan tunjukkan makluman: Benarkan permintaan" (dalam mod "Selamat" atau "Paranoid").

Kesan sampingan pertahanan diri CIS ialah sejumlah besar entri dalam log Protection Events+ apabila menggunakan beberapa program, contohnya, ProcessExplorer. Anda boleh menghapuskan kunci yang tidak perlu dengan membenarkan aplikasi individu mengakses memori CIS.

Saya perhatikan bahawa perlindungan terhadap gangguan aplikasi itu sendiri tidak meliputi semua cara untuk memunggah proses. Oleh itu, banyak aplikasi (tetapi bukan proses CIS) boleh ditamatkan melalui mesej tetingkap (contohnya, oleh System Explorer) atau melalui akses memori. Untuk melindungi aplikasi daripada kaedah penamatan sedemikian, anda perlu menyemak peraturannya pada tab "Tetapan Perlindungan" bukan sahaja item "Gangguan Aplikasi", tetapi juga item "Mesej Tetingkap" dan "Akses Memori Antara Proses".

Kaedah gangguan proses Process Hacker juga boleh memunggah CIS. Untuk melarang penggunaan kaedah ini, anda boleh menukar peraturan HIPS untuk kumpulan "Semua aplikasi": dalam item "Antara muka COM selamat", klik "Edit" dan tambah baris LocalSecurityAuthority. Pulihkan ke tab "Disekat". Walau bagaimanapun, adalah tidak disyorkan untuk membuat larangan ini, kerana ia akan menimbulkan masalah apabila mengemas kini Windows.

Keistimewaan pemasang

Maksud keistimewaan pemasang

Di bawah syarat tertentu, aplikasi menerima keistimewaan pemasang, iaitu seperti berikut:

1. HIPS membenarkan aplikasi sedemikian segala-galanya yang tidak dilarang secara jelas dalam peraturan, i.e. berfungsi serupa dengan mod "Jangan tunjukkan amaran: Benarkan permintaan";
2. Auto-Sandbox tidak mengasingkan program yang dilancarkan oleh aplikasi ini;
3. semasa aplikasi ini berjalan, proses anaknya (serta proses anak mereka, dsb.) dijalankan dengan keistimewaan pemasang;
4. fail boleh laku yang dibuat oleh aplikasi ini (atau proses anak yang mewarisi keistimewaannya) akan ditambahkan secara automatik pada senarai yang dipercayai (kecuali skrip dan fail yang lebih besar daripada 40 MB).

Fail ditambahkan secara automatik pada fail dipercayai hanya apabila pilihan "Aplikasi amanah yang dipasang menggunakan pemasang dipercayai" didayakan pada tab "Penilaian fail" > "Tetapan penilaian fail". Juga, dalam beberapa kes khas, keistimewaan pemasang diberikan kepada aplikasi dalam bentuk "dipotong": tanpa , walaupun terdapat pilihan ini.

Akhir sekali, ambil perhatian bahawa apabila aplikasi pemasang keluar, proses anaknya akan kehilangan keistimewaan yang diwarisi dan HIPS akan mengawalnya seperti biasa. Dan proses anak mereka selanjutnya akan berada di bawah kawalan Auto-Sandbox.

Katakan pemasang "A" memulakan proses "B" dan "B" memulakan proses "C". Biasanya, ini akan menyebabkan proses "C" mendapat keistimewaan pemasang dan mengekalkannya selagi program "A" sedang berjalan, walaupun selepas proses "B" telah ditamatkan. Tetapi selepas program "A" ditamatkan, proses "C" akan kehilangan keistimewaan ini.

Berbanding dengan keistimewaan pemasang, warisan adalah lebih "dipercayai": ia terus mempengaruhi proses kanak-kanak walaupun selepas semua proses induk telah ditamatkan. (Walau bagaimanapun, pepijat telah diperhatikan: pewarisan peraturan ini ditamatkan jika amaran HIPS tidak dijawab selama 2 minit sebelum memulakan proses anak.)

Program mendapat keistimewaan pemasang dengan cara yang berbeza: sama ada apabila , atau bila (jika program tidak dikenal pasti dan mempunyai atribut pemasang), atau bila , atau bila , atau apabila program mewarisi keistimewaan ini daripada proses induk. Program ini hanya boleh diberikan keistimewaan pemasang apabila dijalankan dalam persekitaran langsung tanpa sekatan Auto-Sandbox. Jika program itu dilancarkan secara berasingan, ia tidak menerima keistimewaan ini, walaupun terdapat sebarang tanda dan peraturan.

Memberi keistimewaan pemasang aplikasi secara automatik

Aplikasi secara automatik mendapat keistimewaan pemasang jika ia dipercayai dan mempunyai . Status ini diberikan kepada aplikasi yang meminta hak pentadbir semasa permulaan dan beberapa yang lain.

Dalam versi CIS sebelumnya, program telah diberikan keistimewaan pemasang secara automatik hanya apabila sekatan perlindungan proaktif bergantung pada penilaian program. Jika program telah dikecualikan daripada Auto-Sandbox dan menetapkan dasar HIPS yang ditakrifkan sepenuhnya (seperti Aplikasi Sistem), maka ia tidak diberikan keistimewaan pemasang. Dalam CIS 8, keistimewaan pemasang diberikan walaupun semasa HIPS dan Auto-Sandbox dilumpuhkan. Satu-satunya situasi yang diperhatikan apabila program mempunyai status pemasang yang dipercayai adalah jika sekatannya dalam HIPS tidak bergantung pada penilaian dan peraturan Auto-Sandbox mengecualikannya daripada pengasingan ibu bapa proses bersama anak-anaknya.

Menetapkan keistimewaan pemasang melalui makluman dan peraturan HIPS

Keistimewaan pemasang boleh diberikan secara eksplisit kepada program melalui HIPS: ia diberikan kepada dasar Pasang atau Kemas Kini.

Apabila amaran HIPS berlaku mengenai aktiviti aplikasi, anda boleh memilih dasar yang diingini daripada tetingkap amaran, dengan atau tanpa mengingati.

Jika anda menyemak pilihan ingat dan memilih dasar "Pasang atau kemas kini", peraturan HIPS yang sepadan akan dibuat dan aplikasi akan menerima keistimewaan pemasang. Jika anda memilih dasar ini tanpa pilihan ingat, maka peraturan tidak akan dibuat dan aplikasi akan menerima versi keistimewaan pemasang "dipenggal": tanpa menambah fail yang dibuat secara automatik kepada fail yang dipercayai (melancarkan "pemasang tidak dikenal pasti" buat sementara waktu tanpa Auto -Sekatan kotak pasir).

Melalui tetingkap konfigurasi CIS, anda boleh pratetapkan dasar Pasang atau Kemas kini aplikasi dalam senarai peraturan HIPS. Jelas sekali, dalam kes ini, aplikasi akan menerima keistimewaan pemasang tanpa pemberitahuan dan sepenuhnya.

Ciri am dan parameter perlindungan proaktif

Mari lihat pilihan yang mempengaruhi operasi perlindungan proaktif secara keseluruhan: kedua-dua HIPS dan Auto-Kotak Pasir.

Pelbagai pilihan perlindungan proaktif

Pilihan Dayakan Mod Perlindungan Dipertingkat pada tab Konfigurasi HIPS direka untuk menghalang perlindungan proaktif daripada dipintas pada versi Windows 64-bit dan mesti diperiksa pada sistem sedemikian. Tetapi pada masa yang sama, ia termasuk sokongan untuk virtualisasi perkakasan, yang mengancam konflik dengan mesin maya.

Pilihan "Suaikan mod pengendalian apabila sumber sistem rendah" diperlukan hanya jika RAM tidak mencukupi. Apabila didayakan, CIS menggunakan teknik penjimatan memori untuk mengelakkan tugasnya ranap. Walau bagaimanapun, ini mengurangkan produktiviti.

Pilihan "Sekat permintaan yang tidak diketahui jika aplikasi tidak berjalan" bertujuan hanya untuk sistem yang dijangkiti dan tidak disyorkan untuk penggunaan berterusan, kerana ia menghalang aplikasi selamat daripada bermula dengan betul. Jika pilihan ini didayakan, maka sehingga GUI CIS dimuatkan, semua program, tanpa mengira ratingnya, akan disekat daripada sebarang aktiviti selain daripada yang dibenarkan secara jelas dalam peraturan HIPS. Dalam erti kata lain, sebelum memuatkan GUI, tingkah laku HIPS akan serupa dengan "Mod Paranoid" dengan pilihan "Jangan tunjukkan makluman: Sekat permintaan". Tidak akan ada sekatan jika HIPS dilumpuhkan atau didayakan dengan pilihan "Jangan tunjukkan makluman: Benarkan pertanyaan".

Selain itu, parameter umum perlindungan proaktif termasuk pilihan "Aplikasi amanah yang dipasang menggunakan pemasang dipercayai" pada tab "Menetapkan penilaian fail", mengenainya.

Pilihan lain yang mempengaruhi operasi perlindungan proaktif, walaupun terletak di bahagian yang berbeza, ialah "Saiz fail maksimum" pada tab "Pemantauan anti-virus". Jika fail tidak ditandatangani oleh pembekal yang dipercayai dan saiznya melebihi saiz yang ditentukan, maka fail ini akan dianggap sebagai tidak dikenali, walaupun anda menambahkannya secara manual pada senarai yang dipercayai. Saiz lalai ialah 40 MB, ia boleh ditingkatkan tetapi tidak dikurangkan. Jika fail ditandatangani oleh pembekal yang dipercayai, sekatan ini tidak terpakai.

Parameter yang ditetapkan dalam bahagian HIPS > Protected Objects adalah penting bukan sahaja untuk HIPS, tetapi juga untuk Auto-Sandbox. Jadi, jika aplikasi sedang berjalan, maka betul-betul fail dan kekunci pendaftaran yang disenaraikan pada tab sepadan bahagian ini akan dilindungi. Untuk aplikasi yang berjalan dalam persekitaran maya, tetapan dalam bahagian ini juga penting: kandungan direktori yang disenaraikan pada tab "Folder dengan data dilindungi" akan disembunyikan.

Objek yang disertakan dalam senarai "HIPS" > "Objek Dilindungi" > "Fail Tersekat" dinafikan sebarang akses, termasuk menulis dan membaca. Senarai ini mengandungi laluan dan corak laluan fail. Mengunci hanya berfungsi apabila HIPS didayakan.

Saya akan menyebut satu kes khas: mod "PC Bersih". Secara rasmi, mod ini merujuk kepada HIPS, tetapi pada hakikatnya ia menentukan operasi semua perlindungan proaktif. Jika anda mendayakan mod ini, hanya fail yang kemudiannya muncul pada cakera akan dianggap "tidak dikenali". Fail yang terdapat pada cakera sebelum mod ini didayakan akan menerima hak yang dipercayai: kedua-dua HIPS, Auto-Kotak Pasir dan tembok api akan melihat fail "lama" ini seolah-olah ia termasuk dalam senarai yang dipercayai. , bahawa mod "PC Bersih" mempunyai masalah tertentu dan tidak disyorkan untuk digunakan.

Ciri perlindungan fail

Seperti yang telah disebutkan, hanya fail yang disertakan dalam senarai "HIPS" > "Objek yang dilindungi" > "Fail yang dilindungi" tertakluk kepada perlindungan menggunakan HIPS atau Auto-Sandbox (jika tiada virtualisasi). Anda boleh menggunakan kad bebas (* dan ?) dan pembolehubah persekitaran (%temp%, %windir%, dsb.) untuk menentukan fail ini, sama seperti .

Saya ingin perhatikan keistimewaan menggunakan templat apabila melindungi direktori. Biasanya, jika anda menentukan direktori melalui antara muka CIS, ia akan ditulis sebagai templat: D:\Docs\* . Jenis templat ini sepadan dengan fail dan folder yang terletak dalam direktori D:\Docs yang dipilih, serta dalam subdirektorinya. Menambah templat ini pada senarai fail yang dilindungi bermakna melindungi fail dan folder yang sepadan dengannya daripada pengubahsuaian dan pengubahsuaian. Walau bagaimanapun, direktori Dokumen yang dipilih itu sendiri tidak dilindungi daripada menamakan semula. Jika anda menamakan semula, kandungannya tidak akan dilindungi lagi. Untuk melindungi direktori daripada dinamakan semula, anda harus menulisnya tanpa garis miring dan asterisk pada penghujungnya: D:\Docs. Oleh itu, untuk melindungi sepenuhnya direktori dan kandungannya, dua baris harus ditambah pada senarai yang dilindungi: D:\Docs\* dan D:\Docs . (Pilihan dengan satu baris mungkin - tinggalkan asterisk pada penghujungnya, tetapi tanpa garis miring: D:\Docs*. Tetapi corak sedemikian akan melindungi direktori D:\Docs, D:\Docs2, dsb.) serentak.)

Dalam senarai HIPS > Protected Items > Protected Files, banyak templat mempunyai | . Penggunaan tanda ini menjejaskan sekatan yang dikenakan oleh Auto-Sandbox. Jika mana-mana program berjalan dalam Auto-Sandbox dengan sekatan tanpa virtualisasi, maka ia akan dilarang daripada mencipta, memadam atau mengubah suai fail yang ditentukan oleh corak dengan | di penghujungnya. Fail yang ditentukan oleh corak tanpa | pada akhirnya, juga akan dilindungi daripada perubahan, tetapi program yang dihadkan oleh Auto-Sandbox dibenarkan untuk mencipta fail sedemikian, serta memadam fail yang dibuat olehnya (tetapi tidak mengubah suai). Sebagai contoh, secara lalai, program yang berjalan dengan tahap sekatan Separa Terhad dibenarkan untuk mencipta fail boleh laku dalam direktori %PROGRAMFILES%, tetapi tidak dibenarkan membuat fail boleh laku dalam direktori permulaan. Biar saya tekankan bahawa simbol | Ia adalah Auto-Sandbox dalam mod tanpa virtualisasi yang menjejaskan pengehadan. Apabila dilindungi menggunakan HIPS, penciptaan, pemadaman dan pengubahsuaian fail adalah dilarang, tanpa mengira kehadiran | dalam templat mereka.

Terdapat masalah dengan menentukan laluan pada peranti boleh tanggal. Secara rasmi, anda boleh membuat peraturan HIPS, Auto-Sandbox atau komponen lain menggunakan laluan ke peranti boleh tanggal seperti H:\Docs\* , tetapi peraturan sedemikian tidak akan berfungsi: CIS tidak menerima huruf pemacu boleh tanggal. Walau bagaimanapun, pada media boleh tanggal, peraturan yang tidak terikat pada huruf pemacu akan berfungsi, sebagai contoh, melindungi fail exe. Sebaliknya, masih boleh membuat peraturan Kotak Pasir Auto yang akan dilaksanakan khusus untuk program yang terletak pada media boleh alih keluar. Contoh peraturan sedemikian diberikan.

Seperti peranti boleh tanggal, CIS tidak berfungsi dengan betul dengan huruf pemacu rangkaian: data pada pemacu rangkaian Y: mungkin tidak sepadan dengan corak Y:\* , malah ?:\* . Daripada templat dengan huruf pemacu rangkaian, anda boleh menggunakan templat seperti \\network_resource_name* - percubaan telah menunjukkan bahawa ia berfungsi dengan betul. Khususnya, untuk melindungi data pada Yandex.Disk, yang disambungkan sebagai pemacu rangkaian melalui protokol WebDAV, anda boleh menambah baris \\webdav.yandex* pada senarai "Objek yang dilindungi" > "Fail yang dilindungi".

Ia juga harus dikatakan bahawa CIS menganggap bukan sahaja fail fizikal sebagai "fail", tetapi juga pelbagai objek sistem, contohnya, peranti fizikal atau maya. Di satu pihak, ini memberikan fleksibiliti konfigurasi. Sebaliknya, ingat itu. Oleh itu, objek sedemikian tidak akan dilindungi daripada program yang dijalankan secara maya walaupun terdapat larangan ketat dalam peraturan HIPS.

Ciri perlindungan pendaftaran

Seperti fail, hanya kekunci pendaftaran yang disenaraikan dalam senarai HIPS > Objek Dilindungi > Kekunci Pendaftaran dilindungi menggunakan HIPS dan Auto-Sandbox.

Apabila menetapkan kunci pendaftaran, anda boleh menulis corak laluan pendaftaran menggunakan * dan? .

Pertimbangkan, sebagai contoh, rentetan *\Software\Microsoft\Windows\CurrentVersion\Run* . * pada permulaannya bermakna ia meliputi kedua-dua kunci pendaftaran sistem HKEY_LOCAL_MACHINE dan kunci HKEY_CURRENT_USER setiap pengguna secara individu. Sila ambil perhatian bahawa * di penghujung baris ini tidak dipisahkan dengan garis miring. Ini bermakna baris itu meliputi kedua-dua subseksyen: Run dan RunOnce. Maksud baris khusus ini adalah untuk melindungi jenis autoload yang berbeza secara serentak: kedua-dua autoload umum dan autoload pengguna; kekal dan sekali.

Kumpulan pendaftaran yang diprapasang dalam CIS menggunakan nama kunci yang disingkatkan: HKLM, HKCU dan HKUS. Selain itu, apabila menentukan laluan pendaftaran melalui antara muka CIS, singkatan ini digantikan secara automatik. Walau bagaimanapun, pada hakikatnya, peraturan HIPS yang menyingkat kunci pendaftaran mungkin tidak berfungsi. Oleh itu, anda harus sentiasa menyatakan nama penuh kunci pendaftaran: contohnya, bukan HKCU\SOFTWARE\Policies\* , tetapi HKEY_CURRENT_USER\SOFTWARE\Policies\* . Anda juga perlu membetulkan laluan dalam kumpulan yang dipratentukan pada tab Kumpulan HIPS > Kumpulan Pendaftaran:

• gantikan HKLM dengan HKEY_LOCAL_MACHINE
• gantikan HKCU dengan HKEY_CURRENT_USER
• gantikan HKUS dengan HKEY_USERS

Daripada pemerhatian saya, CIS tidak memahami dengan betul singkatan pendaftaran akar dalam kes di mana laluan yang ditentukan ialah pautan dan bukan lokasi "sebenar" dalam pendaftaran. Contoh laluan pautan tersebut ialah HKLM\SYSTEM\CurrentControlSet\* , HKCU\* .

Pilihan yang mungkin untuk menentukan bahagian HKEY_CURRENT_USER ialah templat HKEY_USERS*. Anda boleh menambah sebahagian daripada ID pengguna pada templat ini. Sebagai contoh, baris HKEY_USERS*1002\SOFTWARE\Policies\* menentukan cawangan SOFTWARE\Policies bagi bahagian HKEY_CURRENT_USER untuk satu pengguna tertentu. Teknik ini boleh digunakan untuk menghalang pengguna terhad daripada menukar permulaan, perkaitan dan parameter lain.

Untuk penciptaan peraturan yang mudah dan visual, disyorkan untuk menggunakan kumpulan pendaftaran:

• buka tab "HIPS" > "Kumpulan HIPS" > "Kumpulan Pendaftaran" dan buat kumpulan baharu melalui menu konteks;
• tambah kunci pendaftaran pada kumpulan ini dan edit laluan jika perlu;
• buka tab "HIPS" > "Objek yang dilindungi" > "Kunci pendaftaran" dan tambahkan kumpulan baharu pada senarai;
• pada tab "Peraturan HIPS", tetapkan kebenaran dan sekatan yang diperlukan menggunakan kumpulan.

Baca perlindungan

Anda boleh melindungi data bukan sahaja daripada perubahan, tetapi juga, sedikit sebanyak, daripada dibaca oleh aplikasi tertentu. Untuk melakukan ini, gunakan tab "HIPS" > "Objek yang dilindungi" > "Folder dengan data yang dilindungi." Direktori yang ditambahkan pada senarai pada tab ini dilindungi seperti berikut:

• program yang berjalan hampir menganggap direktori ini kosong;
• program yang berjalan dalam persekitaran sebenar dengan sekatan Auto-Sandbox adalah dilarang daripada menyemak imbas kandungan direktori ini;
• program yang mempunyai sumber Cakera disekat menggunakan HIPS dilarang daripada melihat kandungan direktori ini (tetapi masih boleh membuka fail yang terkandung di dalamnya).

Saya ingin menekankan bahawa apabila virtualisasi digunakan, folder yang dilindungi akan dilihat oleh aplikasi terpencil sebagai kosong, dan failnya sebagai tidak wujud. Jika program ini dihadkan hanya oleh HIPS, maka ia akan dapat membuka fail dengan "mengetahui" laluan mereka.

Melalui antara muka CIS, anda boleh menambah pada senarai "Folder dengan data yang dilindungi" hanya direktori yang boleh dilihat dalam Explorer. Jika anda perlu melindungi data dalam direktori tersembunyi, anda harus membenarkan sementara fail dan folder tersembunyi ditunjukkan dalam Penjelajah (contohnya, melalui Panel Kawalan).

Antara muka CIS membenarkan anda menambah hanya laluan direktori yang tidak jelas pada senarai "Folder Data Dilindungi", tetapi bukan corak seperti *\ReadProtected\* . Percubaan untuk menambah templat pada senarai ini dengan mengedit fail konfigurasi boleh membawa kepada BSOD.

Anda harus menambah direktori yang terletak hanya pada pemacu tempatan pada senarai "Folder dengan data yang dilindungi". Secara rasmi, anda boleh menambah media boleh tanggal atau cakera yang disulitkan maya ke senarai ini, tetapi perlindungan untuk mereka, sebagai peraturan, tidak berfungsi.

Perlindungan ini boleh dilangkau sepenuhnya oleh aplikasi yang dijalankan sebagai pentadbir. Aplikasi sedemikian akan dapat melihat kandungan direktori yang dilindungi dan membaca data di dalamnya, walaupun ia disekat daripada mengakses cakera, walaupun ia berjalan dalam persekitaran maya, dan walaupun ia dikotak pasir dalam Kotak Pasir Auto sebagai "Separa Terhad" atau "Meragukan". Saya amat mengesyorkan agar UAC didayakan.

Perlindungan memori proses

CIS mampu menghalang beberapa proses daripada mengubah ingatan orang lain. Oleh itu, program yang dijalankan secara maya dan/atau dengan sekatan Auto-Sandbox adalah dilarang daripada menukar memori proses yang berjalan dalam persekitaran sebenar. Sekatan tambahan pada pengubahsuaian memori antara proses dinyatakan dalam peraturan HIPS.

CIS melindungi memori proses daripada pengubahsuaian, tetapi bukan daripada membaca. Walaupun anda menyekat perisian hasad daripada akses memori antara proses, dan walaupun anda menjalankannya secara maya, ia akan dapat membaca data sensitif daripada memori proses yang berjalan dalam persekitaran sebenar. Saya perhatikan bahawa masalah ini bukan sahaja mempengaruhi persekitaran maya Comodo Sandbox, tetapi juga Sandboxie.

Pada masa yang sama, perlindungan terhadap pengubahsuaian memori antara proses menghalang penciptaan pembuangan memori. Nampaknya, penggantungan proses yang diperlukan untuk mencipta tempat pembuangan yang dilarang, tetapi bukan bacaan memori itu sendiri.

Analisis baris arahan

Sesetengah jenis aplikasi tidak dilaksanakan secara bebas, tetapi melalui program penterjemah. Sebagai contoh, pelaksanaan skrip kelawar dijalankan oleh jurubahasa sistem cmd.exe, pelaksanaan skrip vbs oleh jurubahasa sistem wscript.exe, pelaksanaan aplikasi jar oleh program javaw.exe, yang merupakan sebahagian daripada Java mesin maya, dsb. Apabila anda menjalankan skrip (atau aplikasi serupa), ia sebenarnya menjalankan program penterjemah yang berkaitan, menerima laluan skrip sebagai argumen baris arahan.

CIS memantau pelancaran penterjemah tertentu dan menggunakan kepada mereka sekatan yang dimiliki oleh fail yang dinyatakan dalam argumen baris arahan. Terima kasih kepada ini, beberapa jenis skrip dianggap oleh CIS sebagai aplikasi bebas: aktivitinya dihadkan oleh peraturan HIPS atau amaran pencetus, dan Auto-Sandbox mengasingkan kerja skrip yang tidak dipercayai. (Sesetengah ciri Auto-Sandbox yang berfungsi dengan skrip diterangkan dalam artikel yang sepadan: kemustahilan atau.) Skrip yang mereka laksanakan juga dipaparkan sebagai ganti jurubahasa.

Dalam cara yang diterangkan, pelancaran dan aktiviti pelbagai jenis aplikasi dikawal: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, * .jar, dsb. Ia dikawal dengan cara yang sama dengan fail perpustakaan apabila ia dilaksanakan oleh program sistem rundll32.exe.

Tingkah laku ini ditetapkan oleh pilihan "Lakukan analisis heuristik baris arahan untuk aplikasi tertentu" pada tab "Konfigurasi HIPS", yang didayakan secara lalai. Jika anda melumpuhkannya, maka skrip dan aplikasi serupa akan dilaksanakan dengan hak yang sama seperti yang dimiliki oleh jurubahasa mereka.

Terdapat pepijat dalam CIS 7: pelancaran skrip dengan laluan panjang tidak dikawal. Pepijat telah diperbaiki dalam CIS 8.0. Selain itu, dalam semua versi dari 5.10 hingga 8.1, terdapat kerentanan penghuraian baris arahan yang serius yang memungkinkan untuk menjalankan satu program dengan hak yang lain. Kerentanan ini hampir dihapuskan dalam CIS 8.2.

Pilihan perlindungan suntikan Shellcode

Pada tab "Konfigurasi HIPS" terdapat pilihan "Kesan suntikan kod shell". Seperti namanya, mendayakannya bertujuan untuk mengelakkan serangan limpahan penimbal.

Walau bagaimanapun, pilihan "Kesan suntikan kod shell" masih menjejaskan operasi CIS. Atau sebaliknya, senarai pengecualian untuk pilihan ini mempunyai kesan, tidak kira sama ada ia sendiri didayakan. Ciri berikut diperhatikan dalam pengendalian aplikasi yang ditambahkan pada senarai pengecualian "perlindungan kod shell":

Pada masa yang sama, HIPS memantau aplikasi yang dikecualikan daripada "perlindungan kod shell" untuk melancarkan program, mengakses memori proses lain, menghantar mesej tetingkap, menukar fail dan pendaftaran, mengakses papan kekunci dan mengakses cakera. Selain itu, jika aplikasi ini dijalankan secara maya (sama ada secara manual atau berdasarkan peraturan Auto-Sandbox), perubahan fail dan pendaftaran tidak boleh menjejaskan persekitaran sebenar.

Nampaknya, pelaksanaan perpustakaan guard(32|64).dll yang bertanggungjawab untuk fungsi CIS yang tidak berfungsi untuk aplikasi yang dikecualikan daripada "perlindungan kod shell".

Kadangkala menambahkan atur cara pada pengecualian dalam pilihan "Kesan suntikan kod shell" akan menyelesaikan beberapa konflik. Oleh itu, biasanya disyorkan untuk menambah direktori program VMware Player/Workstation, program Alkohol, program dan direktori kotak pasirnya kepada pengecualian ini. Terdapat juga konflik antara CIS versi 8.2.0.4674 dan penyemak imbas Google Chrome 45.0.2454.85, yang telah diselesaikan dengan menambahkan fail chrome.exe kepada pengecualian untuk pilihan ini.

Viruscope

Makluman Viruscope

Sebagai tambahan kepada alat perlindungan proaktif utama - HIPS dan Auto-Sandbox - terdapat komponen Viruscope yang direka untuk pengesanan dinamik aktiviti proses yang mencurigakan. Ia mesti mengesan tingkah laku berbahaya tidak dikenali atur cara dan mengeluarkan amaran meminta anda melancarkan semula perubahan yang dibuat oleh atur cara tertentu dan proses anaknya serta memadamkan atur cara itu sendiri.

Jika pilihan "Jangan tunjukkan makluman" didayakan pada tab "Viruscope", maka program akan dinyahpasang dan perubahan akan digulung semula secara automatik (begitu juga, jika anda tidak membalas makluman dalam masa 2 minit).

Berguling kembali berubah secara manual

Melengkapkan program dan melancarkan semula perubahan yang mereka buat boleh dilakukan bukan sahaja apabila aktiviti yang mencurigakan dikesan, tetapi juga secara manual. Untuk melakukan ini, lancarkan pengurus tugas KillSwitch, panggil menu konteks pada proses yang dikehendaki dan pilih "Tamatkan pokok proses dan kembalikan perubahan yang dibuat." Fail program tidak dipadamkan. Item menu konteks KillSwitch ini tersedia hanya apabila Viruscope didayakan.

Satu lagi cara untuk menamatkan program secara manual dan melancarkan semula perubahan yang mereka buat adalah melalui HIPS dan amaran firewall. Apabila Viruscope didayakan, pilihan tambahan muncul dalam makluman ini: "Sekat, selesaikan pelaksanaan dan buang perubahan." Apabila anda memilih item ini, atur cara yang dinyatakan dalam makluman dan semua proses anak akan tamat dan perubahan yang telah dibuat akan dibatalkan; fail program tidak akan dipadamkan.

Laporan aktiviti

Apabila Viruscope didayakan, item baharu muncul dalam menu konteks yang dipanggil dari tetingkap CIS utama: "Tunjukkan aktiviti". Mengklik padanya akan membuka tetingkap dengan laporan mengenai aktiviti program yang dipilih dan proses anaknya.

Juga, apabila Viruscope didayakan, butang "Tunjukkan aktiviti" muncul dalam makluman pelbagai komponen CIS. Mengklik padanya juga membuka laporan mengenai aktiviti program yang dinyatakan dalam amaran.

Ia mesti dikatakan bahawa membentangkan laporan aktiviti dalam tetingkap CIS adalah jauh dari mudah. Walau bagaimanapun, anda boleh menggunakan menu konteks untuk mengeksport laporan ini ke fail XML dan mengkajinya secara berasingan.

Anda juga boleh melihat laporan aktiviti melalui pengurus tugas KillSwitch: dalam tetingkap sifat proses, dipanggil melalui menu konteks, terdapat tab "Aktiviti Proses". Walau bagaimanapun, KillSwitch membentangkan laporan ini lebih teruk daripada CIS, dan tiada fungsi untuk mengeksport ke fail.

Mengehadkan kawalan Viruscope kepada program kotak pasir sahaja

Secara lalai, dalam konfigurasi "Keselamatan Proaktif" pada tab "Viruscope", pilihan "Gunakan Viruscope" didayakan dan pilihan "Gunakan tindakan Viruscope hanya pada aplikasi dalam Kotak Pasir" dilumpuhkan. Dalam konfigurasi ini, semua proses dalam persekitaran sebenar dan maya dipantau. Kerja Viruscope khusus untuk mod ini diterangkan di atas.

Jika anda menandai pilihan "Gunakan tindakan Viruscope hanya pada aplikasi dalam Kotak Pasir", maka aktiviti hanya program yang dijalankan dalam persekitaran maya atau dihadkan oleh Kotak Pasir Auto akan dipantau. Untuk program yang berjalan dalam persekitaran sebenar tanpa sekatan Auto-Kotak Pasir, aktiviti tidak akan direkodkan dan, dengan itu, tiada laporan akan diberikan mengenainya.

Walau bagaimanapun, selepas mendayakan pilihan ini, isyarat HIPS dan firewall masih akan mengandungi pilihan "Sekat, tamatkan pelaksanaan dan buang perubahan", dan dalam menu konteks KillSwitch akan terdapat pilihan "Tamatkan pepohon proses dan kembalikan perubahan yang dibuat". Malah, memilih item ini tidak akan melancarkan semula perubahan, tetapi hanya menamatkan program yang dipilih dan proses anaknya.

Pengurusan pengecam

Tab "Viruscope" memaparkan fail berdasarkan data yang aktiviti aplikasi tertentu dianggap mencurigakan. Fail ini menentukan corak tingkah laku yang harus mencetuskan amaran Viruscope. Jika anda menetapkan status fail sedemikian kepada dilumpuhkan, maka tingkah laku aplikasi yang sepadan tidak akan membawa kepada pemberitahuan dan sekatan Viruscope; Aktiviti program pemantauan akan diteruskan.

Had penggunaan dan masalah Viruscope

Viruscope tidak membenarkan anda melancarkan tindakan seperti memadam fail dari cakera. Selain itu, perubahan yang dibuat semasa kitaran sebelumnya bagi proses yang mencurigakan tidak boleh ditarik balik. Menggulung semula tindakan proses yang telah tersilap dikenal pasti sebagai berbahaya boleh menyebabkan kehilangan data (risiko ini berlaku dalam mod "Jangan tunjukkan amaran").

Dalam versi CIS 7, terdapat masalah serius - apabila Viruscope didayakan, ranap yang tidak dapat diramalkan berlaku dalam aplikasi selamat. Kegagalan ini berlaku tanpa adanya sebarang pemberitahuan atau entri dalam log CIS, menjadikannya sukar untuk mencari puncanya. Nampaknya, kegagalan itu disebabkan oleh pemerhatian proses itu sendiri, dan bukan oleh pengesanan tingkah laku yang mencurigakan.

Dalam CIS 8, konflik yang diketahui sebelum ini tidak lagi berlaku. Masalah itu mungkin telah diselesaikan. Walau bagaimanapun, disebabkan keterukan dan kesukaran pengesanannya, saya masih mengesyorkan agar tidak menggunakan Viruscope. Dengan mengambil kira semua batasan, manfaat perlindungan Viruscope adalah kecil.

Untuk menggunakan Viruscope dengan selamat, anda boleh mendayakannya dengan pilihan "Gunakan tindakan Viruscope hanya pada aplikasi dalam Kotak Pasir." Tetapi dalam kes ini, tujuan Viruscope tidak akan menjadi perlindungan, tetapi penyelidikan ke dalam pengendalian aplikasi yang berjalan dalam persekitaran maya.

Sila dayakan JavaScript untuk melihat