Wat betekent HIPS in algemene zin?

Dit staat voor "Host Inbraakpreventiesysteem" ( H ost I inbraak P preventie S systeem). In wezen is het een programma dat de gebruiker waarschuwt wanneer een kwaadaardig programma, zoals een virus, probeert uit te voeren op de computer van de gebruiker, of wanneer een ongeautoriseerde gebruiker, zoals een hacker, toegang heeft gekregen tot de computer van de gebruiker.

Oorsprong en achtergrond

Een paar jaar geleden was het classificeren van malware relatief eenvoudig. Het virus was een virus, er waren andere soorten, maar ze waren heel verschillend! Tegenwoordig zijn de ‘bugs’ veranderd en zijn de bepalende grenzen ertussen vager geworden. Niet alleen zijn er meer bedreigingen geweest in de vorm van Trojaanse paarden, wormen en rootkits, maar nu worden ook vaak verschillende kwaadaardige producten gecombineerd. Dit is de reden waarom malware nu vaak gezamenlijk 'malware' wordt genoemd en toepassingen die zijn ontworpen om deze te bestrijden vaak 'breedspectrum'-software worden genoemd.

In het verleden vertrouwden detectieprogramma's voornamelijk op malwarehandtekeningen om malware te identificeren. Deze methode is weliswaar betrouwbaar, maar is slechts zo goed als de frequentie van updates. Er is een extra complicatie doordat veel van de huidige malware voortdurend verandert. Daarbij veranderen ook hun handtekeningen. Om dit tegen te gaan zijn er HIPS-programma's ontwikkeld die schadelijke software kunnen 'herkennen' aan de hand van het gedrag ervan in plaats van aan de hand van de handtekeningen. Dit "gedrag" kan een poging zijn om een ​​andere applicatie te besturen, een Windows-service te starten of een registersleutel te wijzigen.

Illustratie van EUobserver.com

Dit lijkt een beetje op het betrappen van een crimineel op zijn gedrag in plaats van op zijn vingerafdrukken. Als hij zich als een dief gedraagt, is hij hoogstwaarschijnlijk een dief. Hetzelfde geldt voor een computerprogramma: als het zich gedraagt ​​alsof het kwaadaardig is, is het waarschijnlijk malware.

Het probleem hier is dat volkomen legitieme programma's soms een beetje verdacht kunnen handelen, en dit kan ertoe leiden dat HIPS een legitiem programma ten onrechte als malware markeert. Deze zogenaamde valse alarmen vormen een reëel probleem voor HIPS-programma's. Dit is de reden waarom de beste HIPS-programma's programma's zijn die gebruik maken van een gecombineerde kenmerkende gedragsmatige aanpak. Maar daarover later meer.

Wat doet een HIPS-programma eigenlijk?

In het algemeen probeert een HIPS-programma de integriteit van het systeem waarop het is geïnstalleerd te behouden door te voorkomen dat niet-goedgekeurde bronnen wijzigingen aan dat systeem aanbrengen. Dit gebeurt doorgaans door een pop-up met een beveiligingswaarschuwing weer te geven waarin de gebruiker wordt gevraagd of een bepaalde wijziging moet worden toegestaan.

Comodo: HIPS-waarschuwingspop-up

Dit systeem is slechts zo goed als de antwoorden van de gebruiker op pop-upvragen. Zelfs als het HIPS-programma de dreiging correct identificeert, kan de gebruiker onbedoeld de onjuiste actie goedkeuren en kan de pc nog steeds geïnfecteerd raken.

Correct gedrag kan ook verkeerd worden geïnterpreteerd als schadelijk. Deze zogenaamde "valse alarmen" vormen een reëel probleem bij HIPS-producten, hoewel ze gelukkig minder vaak voorkomen omdat HIPS-programma's geavanceerder zijn geworden.

Het voordeel hiervan is dat je sommige HIPS-software kunt gebruiken om de rechten van legitieme applicaties te beheren, hoewel dit alleen aan te raden is voor gevorderde gebruikers. Ik zal dit later in meer detail uitleggen en waarom je ze zou moeten gebruiken. Een andere manier om naar HIPS te kijken is door het te gebruiken als een firewall, waarmee applicaties en services worden beheerd in plaats van alleen internettoegang.

producttype

Moderne malware is zo geavanceerd geworden dat beveiligingsprogramma's niet langer alleen kunnen vertrouwen op op handtekeningen gebaseerde detectie. Veel applicaties gebruiken nu een combinatie van verschillende methoden om malwarebedreigingen te identificeren en te blokkeren. Als gevolg hiervan gebruiken verschillende soorten beschermende producten nu HIPS. Tegenwoordig is het helemaal niet ongebruikelijk om HIPS te zien als onderdeel van een antivirus- of antispywareprogramma, hoewel HIPS veruit het meest voorkomt als onderdeel van een firewall. Sterker nog, de meeste moderne firewalls voegen nu HIPS-beschermingselementen toe aan hun IP-filtermogelijkheden.

Comodo Internet Security Uitgebreide antivirus

Om de efficiëntie te verbeteren, gebruiken HIPS-programma's verschillende detectiemethoden. Naast handtekeningherkenning zoeken HIPS-programma's ook naar gedrag dat consistent is met malware. Dit betekent dat ze tot doel hebben acties of gebeurtenissen te identificeren waarvan bekend is dat ze typisch gedrag van malware zijn.

Sommige programma's voor gedragsanalyse zijn meer geautomatiseerd dan andere, en hoewel dit misschien een goed idee lijkt, kan dit in de praktijk tot complicaties leiden. Soms kunnen de omstandigheden ervoor zorgen dat een volkomen legitieme applicatieactiviteit verdacht is, waardoor deze wordt beëindigd. Je weet het misschien niet eens totdat iets niet meer werkt! Dit is redelijk veilig en alleen maar vervelend zolang het proces omkeerbaar is, maar soms kan het tot instabiliteit in het systeem leiden. Hoewel dergelijke gebeurtenissen zeldzaam zijn, kan de impact ervan ernstig zijn. Het is dus raadzaam om hiermee rekening te houden bij het nemen van beslissingen.

Installatie en configuratie

Het HIPS-programma moet worden geïnstalleerd met de standaardinstellingen en worden gebruikt totdat het een vereiste leerperiode heeft gehad of totdat u gewend raakt aan de functionaliteit ervan. Je kunt de gevoeligheidsniveaus altijd later aanpassen en extra regels toevoegen als je denkt dat dit nodig is. Applicaties met een standaard “leerperiode” zijn niet voor niets op deze manier ontworpen. Het kan verleidelijk zijn om uw training in te korten, maar dit kan ook uw effectiviteit verminderen. Fabrikanten leveren meestal een PDF-handleiding mee, en het is nooit een slecht idee om deze vóór de installatie te lezen.

ESET NOD32 Antivirus: HIPS instellen

Eerder noemde ik de mogelijkheid om een ​​HIPS-programma te gebruiken om het gebruik van legale applicaties te controleren. We doen dit al in onze firewalls door het poortgebruik te beperken. U kunt op deze manier HIPS-software gebruiken om de toegang tot systeemcomponenten en services te blokkeren of beperken. Over het algemeen geldt dat hoe meer u Windows beperkt, hoe veiliger het zal zijn. Ik heb ergens gelezen dat het veiligste Windows-systeem Linux heet! Maar dat is een ander probleem. Soms zorgen legitieme programma's, wanneer ze geïnstalleerd zijn, voor een toegangsniveau tot het systeem dat veel hoger ligt dan wat ze eigenlijk zouden moeten doen als onderdeel van hun normale functies. Het beperken van applicaties tot "leesrechten" (vanaf de harde schijf), tenzij ze standaard "schrijfrechten" vereisen, is één manier om het risico te verminderen. Hiervoor kunt u bijvoorbeeld de module-instelling "Protection+" in Comodo Internet Security gebruiken.

Wanneer een potentiële dreiging wordt geïdentificeerd

De meeste HIPS-programma's waarschuwen gebruikers voor potentiële bedreigingen met een interactief pop-upvenster wanneer er iets gebeurt. Sommige programma's automatiseren dit proces en rapporteren het (misschien!) later. Het belangrijkste is dat u bij het beantwoorden niet “geautomatiseerd” wordt. Geen enkele beveiligingsapp heeft enig nut als u blindelings op "Ja" klikt om elke vraag te beantwoorden. Slechts een paar seconden nadenken voordat u een beslissing neemt, kan later uren werk besparen (om nog maar te zwijgen van gegevensverlies). Mocht een melding vals alarm blijken te zijn, dan kun je deze soms opslaan als ‘uitzondering’ om een ​​dergelijke melding in de toekomst te voorkomen. Het wordt ook aanbevolen dat fabrikanten op de hoogte worden gesteld van valse alarmen, zodat ze deze in toekomstige versies kunnen corrigeren.

Wat als u het niet zeker weet?

De tarieven variëren afhankelijk van wat u leest, maar tot 90% van alle malware komt van internet, dus u ontvangt de meeste pop-upbeveiligingswaarschuwingen terwijl u online bent. De aanbevolen actie is om deze gebeurtenis te stoppen en op Google te zoeken naar informatie over de weergegeven bestanden. De locatie van de gedetecteerde bedreiging kan net zo belangrijk zijn als de bestandsnaam. Bovendien kan "Ispy.exe" legitieme software zijn, maar "ispy.exe" kan schadelijk zijn. De rapportage van HijackThis zou hierbij kunnen helpen, maar de resultaten van de geautomatiseerde service zijn mogelijk niet helemaal duidelijk. Over het algemeen laat u enige schade toe door een gebeurtenis die zich voordoet te blokkeren of te isoleren totdat u leert wat u eraan kunt doen. Dit gebeurt alleen als je iets verwijdert en niet weet dat dit tot desastreuze gevolgen kan leiden!

De trend van vandaag is om aanbevelingen van de community op te nemen in pop-upmeldingen. Deze systemen proberen u te helpen accuraat op beveiligingsmeldingen te reageren door u te vertellen hoe anderen in soortgelijke gevallen hebben gereageerd.

In theorie is dit een aantrekkelijk idee, maar in de praktijk kunnen de resultaten teleurstellend zijn. Als bijvoorbeeld 10 mensen eerder een bepaalde melding hebben gezien en negen van hen de verkeerde keuze hebben gemaakt, dan volgt u hun voorbeeld als u een aanbeveling ziet met een beoordeling van 90% om het programma te blokkeren! Ik noem dit het ‘kuddesyndroom’. Naarmate het aantal gebruikers toeneemt, moet ook de betrouwbaarheid van de aanbevelingen toenemen, maar dit is niet altijd het geval, dus enige voorzichtigheid is geboden. Je kunt altijd Googlen voor een andere mening.

Meerdere verdedigingen of een ‘gelaagde aanpak’?

Een paar jaar geleden bood het gebruik van afzonderlijke beveiligingssuites niet het prestatieniveau dat vergelijkbaar was met het gebruik van meerdere afzonderlijke beveiligingstoepassingen om 'gelaagde' bescherming te bereiken. De laatste tijd hebben fabrikanten echter zwaar geïnvesteerd in de ontwikkeling van kits en dit is nu terug te zien in hun producten. Sommige bevatten echter nog steeds minstens één zwak onderdeel, en als het een firewall is, moet je voor iets anders kiezen. De algemene consensus is dat een combinatie van individuele elementen nog steeds hoge prestaties en een betere algehele betrouwbaarheid zal opleveren. Wat ze over het algemeen doen, is natuurlijk meer keuze en meer flexibiliteit bieden. Comodo was de eerste serieuze suite die echt gratis was, maar nu is Outpost ( site opmerking: helaas is dit product niet recentelijk ontwikkeld) en ZoneAlarm brengen ook gratis kits uit. Ze bieden allemaal een serieus alternatief voor betaalde software.

Gratis ZoneAlarm Gratis antivirus + firewall

Een auto is zo goed als zijn bestuurder, en hetzelfde geldt voor software. Er bestaat niet zoiets als een 'instellen en vergeten'-ontladingsbeveiligingsprogramma. Probeer iets te kiezen dat je begrijpt en dat je graag gebruikt. Het is alsof je Sunbelt-Kerio- en Comodo-firewalls vergelijkt. Ja, als je met je voeten op de grond wilt blijven, biedt Comodo misschien een betere bescherming, maar het is ook moeilijker te begrijpen. Als u denkt dat Kerio gemakkelijker is om mee te werken, zult u het waarschijnlijk effectief gebruiken, en uiteindelijk zou het een betere keuze zijn (alleen tot Windows XP. Gebruikers van Windows 7 en hoger kunnen TinyWall proberen). Gebruik de resultaten van verschillende tests als leidraad, maar alleen voor dit doel. Geen enkele test kan ooit uw computer, uw programma en uw surfgedrag vervangen.

Keuzecriteria

Ik heb toepassingen voor mezelf altijd op de volgende manier gekozen. Het kan natuurlijk zijn dat jij er anders over denkt!

Heb ik het nodig?

Veel mensen betwisten het nut van bepaalde software als ze bezwaar maken tegen wat het kan bereiken. Als uw firewall al een goede HIPS-component heeft (zoals Comodo, Privatefirewall of Online Armor) dan kan dit voldoende zijn. Programma's zoals Malware Defender gebruiken echter verschillende technieken die onder bepaalde omstandigheden extra bescherming kunnen bieden. Alleen jij kunt beslissen of dit voor jou nodig is. Deskundigen raden nog steeds af om meer dan één beveiligingssoftware van hetzelfde type te gebruiken.

Zal ik dat kunnengebruik het?

Het installeren van een HIPS-programma brengt veel werk met zich mee op het gebied van het instellen en beheren van waarschuwingen. Over het algemeen kan wat HIPS-programma's vinden enigszins dubbelzinnig zijn, dus u moet bereid zijn de resultaten ervan te testen. Alleen met gemiddelde kennis zou je dit een probleem vinden bij het interpreteren van de resultaten.

Zal het helpen?

Op HIPS gebaseerde methoden zijn alleen effectief als de gebruiker correct reageert op de pop-upwaarschuwingen die HIPS weergeeft. Het is onwaarschijnlijk dat nieuwkomers en onverschillige gebruikers dergelijke antwoorden kunnen geven.

Vlijtige en ervaren gebruikers hebben een plaats voor HIPS-software in het pc-beveiligingslandschap, omdat HIPS een andere benadering hanteert dan traditionele handtekeningsoftware. HIPS kan alleen of in combinatie met een firewall worden gebruikt en draagt ​​bij aan uw detectiemogelijkheden.

Zal het mijn systeem verpesten?

Beveiligingsprogramma's moeten, vanwege hun aard, het heiligdom van uw pc binnendringen om effectief te zijn. Als je register er al uitziet als een bord spaghetti, als je ‘spookmappen’ in je programmabestanden hebt, als je blauwe schermen, Windows-foutmeldingen en ongevraagde pagina’s in Internet Explorer hebt, dan zal het installeren van een HIPS-programma alleen maar tot problemen leiden . Zelfs op een schone machine kan het nemen van de verkeerde beslissing tot onomkeerbare instabiliteit leiden. Hoewel u in principe dezelfde schade kunt aanrichten als u in een programma voor het opschonen van het register werkt.

Kan ik meer dan één applicatie gebruiken?

Ik zie het voordeel niet van het samen gebruiken van twee HIPS-programma's. Deskundigen raden nog steeds af om meer dan één actieve beveiligingsapplicatie van hetzelfde type te gebruiken. Het risico op conflicten weegt zwaarder dan alle mogelijke voordelen.

Conclusie

Voordat gebruikers HIPS overwegen, kunnen ze overwegen de beveiliging van hun browser te verbeteren door IE eerst te vervangen door Chrome, Firefox of Opera en sandboxing te gebruiken. Mensen die een standaardfirewall gebruiken, kunnen Malware Defender gebruiken voor extra bescherming. En gebruikers van CIS of Online Armor krijgen hier geen enkel voordeel van. Systeembelasting en gebruik van bronnen zijn iets waarmee rekening moet worden gehouden, hoewel dit vooral belangrijk is bij het gebruik van oudere machines. Er is eigenlijk geen definitief antwoord anders dan te zeggen dat er te veel uitzonderingen op de regels zijn, te veel! Over het algemeen draait het allemaal om balans. De grootste bedreiging voor mijn computer zal altijd mezelf zijn!

Een typefout gevonden? Markeer en druk op Ctrl + Enter

Elke dag verschijnen er nieuwe virussen, spyware en modules die advertenties weergeven. Werken zonder antivirus lijkt op zelfmoord: klonk de vraag eerder als “Wordt u besmet of niet?”, nu klinkt het als “Hoe snel raakt u besmet?” Hoe actiever een gebruiker tijd doorbrengt op internet, bestanden downloadt en dubieuze sites bezoekt, hoe groter de kans dat hij de computer infecteert. Vooral bestanden ontvangen van uitwisselingsnetwerken zijn gevaarlijk. Het zijn deze netwerken, samen met spam, die worden gebruikt om nieuwe virussen te verspreiden. En in dit geval geven antivirussen het op: er staan ​​nog geen handtekeningen in hun databases, ze geven gedownloade bestanden door als “schoon”. Pas nadat een dergelijk bestand is uitgevoerd, kan de gebruiker, op basis van indirecte tekenen (plotseling veel uitgaand verkeer verschijnen, vreemde berichten op het scherm, verminderde computerprestaties, een actief programma dat niet de functies uitvoert waarvoor het zogenaamd is gemaakt, enzovoort), vermoed dat de computer is geïnfecteerd. De meeste gebruikers zullen niets merken, en het uitvoeren van antivirusmonitoring zal een vals gevoel van veiligheid creëren. Slechts een paar uur, en soms dagen, nadat de beschrijving van het nieuwe virus aan de antivirusdatabases is toegevoegd, nadat het antivirusprogramma updates heeft gedownload en geïnstalleerd, kan het nieuwe virus worden gedetecteerd. En pas daarna begint de computerbehandeling. En gedurende deze dagen of uren verspreidde de computer een nieuw virus met de snelheid van een internetverbinding, stuurde spam uit, werd gebruikt om aanvallen op servers uit te voeren, met andere woorden, er was een zombie die zich bij het leger van dezelfde zombies voegde , waardoor er weer een druppel chaos op het netwerk komt.

In dit stadium van de ontwikkeling van computertechnologie naderen we het inzicht dat de huidige virusdetectietechnologieën, het gebruik van antivirusdatabases met handtekeningen, niet effectief zijn. Bij de huidige snelheid van de bestandsdistributie op internet (uitwisselingsnetwerken, spam) zullen antivirusprogramma's altijd een inhaalslag moeten maken.

Vrij recentelijk heeft de auteur van dit artikel de computer handmatig gereinigd van een nieuw virus dat niet werd gedetecteerd door de antivirus die op de computer van de gebruiker was geïnstalleerd. Om voor de hand liggende redenen zal ik de antivirusfabrikant, een zeer bekend en succesvol bedrijf over de hele wereld, niet noemen. Nadat de virusbibliotheek was ontdekt, werd deze gescand door alle beschikbare antivirusprogramma's met de nieuwste beschrijvingsdatabases. Niemand, met uitzondering van Dr.Web, heeft iets gevaarlijks gevonden in de bibliotheek. Het virus verzamelde echter met succes informatie over de adressen van de door de gebruiker bezochte sites, zijn logins en wachtwoorden die op deze sites waren ingevoerd, en stuurde de verzamelde informatie vervolgens naar de auteur van het virus. Afgaande op het infectiemechanisme werd de computer geïnfecteerd bij het bezoeken van een site en was de bron van het virus zeer waarschijnlijk een banner die op een van de pagina's werd weergegeven (een onderzoek naar de browsegeschiedenis in de browser bracht geen enkele misdaad in de browser aan het licht). lijst).

Nog deprimerender is de infectie van een computer met een virus dat e-mailadressen van het Microsoft.com-domein spamt, een luisterpoort opent en de auteur het IP-adres en de poort van een kant-en-klare proxyserver meedeelt. Voordat de poort werd geopend, vernietigde het virus letterlijk de firewall die in Windows XP SP2 was ingebouwd, waardoor alle informatie over zijn service in het register werd verwijderd. Nadat de virusbibliotheek was ontdekt, werd deze gescand door een aantal van de meest populaire antivirusprogramma's. Alleen Dr.Web en Kaspersky Anti-Virus hebben het als een virus geïdentificeerd. Twee bekende en populaire westerse antivirussen detecteren dit bestand nog steeds niet, ondanks het feit dat, afgaande op informatie van zoekmachines, de eerste rapporten over dit virus vier maanden geleden op internet verschenen.

Er zijn een groot aantal van dergelijke voorbeelden. Tegenwoordig bestaat het besef dat antivirussen in hun huidige vorm geen toekomst hebben. Dit is een doodlopende weg. Het tijdsverschil tussen het verschijnen van nieuwe virussen en de toevoeging van hun handtekeningen aan antivirusdatabases zal alleen maar groter worden, wat onvermijdelijk zal leiden tot nieuwe golven van virusepidemieën. De onzorgvuldige houding van westerse antivirusbedrijven ten aanzien van het zoeken naar nieuwe virussen en het toevoegen van hun beschrijvingen aan databases leidt tot een vals gevoel van veiligheid bij de gebruiker. Als gevolg hiervan kan de schade van een dergelijke “ontspanning” van de gebruiker ontstaan O groter dan helemaal zonder antivirus werken, waarbij de gebruiker honderd keer zal nadenken of hij onder een account met beheerdersrechten moet werken en of hij bijlagen moet openen van een brief van een onbekende afzender die aanbiedt een bijgevoegd bestand uit te voeren.

Naast de virussen zelf verspreiden zich nog diverse andere soorten kwaadaardige software actief: spyware – die informatie over de gebruiker verzamelt en verzendt, adware – die zelfstandig browservensters met advertenties opent, enzovoort. Deze software is niet geclassificeerd als een virus omdat het uw computer of gegevens niet rechtstreeks schaadt. Wanneer de gebruiker echter geïnfecteerd raakt, ervaart hij ongemak en wordt hij gedwongen om, naast de antivirus, een ander type software te installeren om spyware en adware te bestrijden. Dit type software heeft, net als een antivirusprogramma, een eigen database met beschrijvingen van kwaadaardige objecten die het in het systeem zoekt en vernietigt.

Precies dezelfde situatie wordt waargenomen in de strijd tegen spam. Terwijl vroeger feitelijk de enige manier om dit te bestrijden “zwarte lijsten” van servers of zelfs hele subnetten van waaruit spam werd verzonden, waren, zijn tegenwoordig steeds meer beheerders ervan overtuigd dat de technologie van “zwarte lijsten” verouderd raakt. Het is te traag, niet flexibel en vergt veel inspanning van de lijstbeheerder om de relevantie te behouden. Heel vaak worden, vanwege twee of drie spammers die inbeltoegang voor mailings hebben gekocht, hele subnetten van providers op de zwarte lijst gezet, waarna e-mail van gebruikers uit deze subnetten als spam wordt gemarkeerd en door de ontvangers wordt gefilterd. Als gevolg hiervan zien we een toenemende toename van intelligente systemen voor het evalueren van de inhoud van e-mails. Systemen die een brief kunnen ‘lezen’, inclusief serviceheaders, voeren een reeks controles uit en trekken een conclusie: het is spam of niet. Het is veilig om te zeggen dat deze antispamtechnologie over een paar jaar het gebruik van zwarte lijsten volledig zal vervangen.

We zijn stilletjes de oorlog aan het verliezen: nieuwe en nieuwe bedreigingen verschijnen, en in plaats van het verbeteren en creëren van nieuwe technologieën om deze te bestrijden, wordt de methode voor het beschrijven en verspreiden van beschrijvingsdatabases uitgeroeid.

Gelukkig worden de eerste stappen gezet om de situatie te corrigeren en ontstaat er een nieuwe klasse programma's voor uitgebreide computerbescherming, zowel tegen virussen als tegen verschillende soorten adware-spyware, die geen gebruik maken van beschrijvingsdatabases. Net als antispam is dit een soort intelligent algoritme dat de acties van actieve applicaties controleert. Als sommige acties gevaarlijk lijken voor het algoritme, blokkeert het deze. Er kan lang gediscussieerd worden over een te grote onafhankelijkheid van dergelijke programma's, maar er is geen alternatief. Laat het beter zijn om een ​​paar false positives te hebben dan tientallen megabytes aan verkeer voor het updaten van antivirusdatabases en 2-3 applicaties die constant in het geheugen staan, de prestaties van bestandsbewerkingen verminderen en aanzienlijke systeembronnen vereisen.

In deze review maken we kennis met een van de vertegenwoordigers van een nieuwe klasse proactieve computerbeveiligingsprogramma's: Defense Wall HIPS. Een niet-standaard aanpak voor het bestrijden van malware, installatiegemak en onopvallende bediening onderscheiden dit product van de massa andere. Er worden geen beschrijvingsdatabases gedownload. In plaats daarvan bepaalt de gebruiker zelfstandig de applicaties waarmee een geïnfecteerd bestand op de computer kan worden ontvangen. Tot de niet-vertrouwde toepassingen behoren standaard populaire e-mailclients, browsers en enkele systeemhulpprogramma's (ftp.exe). Er wordt dus een lijst gemaakt van alle “deuren” waardoor een geïnfecteerd bestand kan binnendringen.

Elk bestand dat via een niet-vertrouwde applicatie van het netwerk wordt ontvangen, wordt door Defense Wall HIPS als niet-vertrouwd gemarkeerd. Na het starten van een dergelijk bestand worden alle acties die de actieve applicatie op het systeem onderneemt, geregistreerd, dat wil zeggen dat de gebruiker altijd de mogelijkheid heeft om bijvoorbeeld een lijst met registersleutels te bekijken die door de actieve applicatie zijn gemaakt en deze te verwijderen ze met één klik op de knop.

Programma website
De distributiegrootte is 1,2 megabyte.
Prijs verdedigingsmuur HIPS 500 roebel Installatie

Installatie van Defense Wall HIPS wordt uitgevoerd door een wizard. Tijdens de werking ervan moet u akkoord gaan met de voorwaarden van de licentieovereenkomst, de map selecteren waarin u het programma wilt installeren en de bedieningsmodus selecteren tussen expert en normaal. De computer moet opnieuw worden opgestart om de installatie te voltooien.

De verschillen tussen de expertbedieningsmodus en de normale bedieningsmodus zijn aanzienlijk: in de normale bedieningsmodus worden alle bestanden die door een niet-vertrouwde applicatie zijn gemaakt automatisch toegevoegd aan de lijst met niet-vertrouwde bestanden. In de expertmodus worden er automatisch geen bestanden toegevoegd aan de lijst met niet-vertrouwde bestanden - dit moet handmatig door de gebruiker worden gedaan. Het wordt aanbevolen om in de normale modus te werken.

Na het opnieuw opstarten wordt het productregistratievenster weergegeven.

Als het programma is gekocht, kunt u om het te registreren de sleutel invoeren die u van de ontwikkelaar heeft ontvangen. In de demomodus werkt het programma 30 dagen zonder de functionaliteit te beperken

Het programma voegt een pictogram toe aan de lade, waarmee u de bedieningsmodi kunt wijzigen en het hoofdvenster kunt openen.

Reinigingscentrum

Het Cleanup Center biedt snelle toegang tot het bekijken van sporen van niet-vertrouwde applicaties.

Met behulp van de knop Sporen op de schijf en in het register U kunt een lijst bekijken met alle wijzigingen die zijn aangebracht door niet-vertrouwde applicaties.

Deze schermafbeelding toont de registersleutels die FAR heeft gemaakt en het text.txt-bestand dat is gemaakt vanaf de opdrachtregel. Rechts van de lijst staan ​​knoppen waarmee u wijzigingen kunt beheren. Helaas blijkt uit de namen helemaal niet welke actie het programma zal uitvoeren na het indrukken van de knop. Het doel van de knoppen wordt min of meer duidelijk na het lezen van de tooltips die boven de knoppen verschijnen als je de muisaanwijzer erboven houdt. Het is onmogelijk om het helpsysteem op te roepen voor de elementen van dit venster: er is geen Help-knop op het formulier, noch een knop in de venstertitel.

De eerste knop is Wegdoen- verwijdert een regel uit de lijst. Wijzigingen die door het proces worden aangebracht (registersleutels, bestanden) worden niet verwijderd.

Knop Verwijderen Hiermee kunt u een vastgelegde wijziging ongedaan maken: een registersleutel, map of bestand verwijderen dat door de toepassing is gemaakt.

Knop Terugrollen Hiermee kunt u meerdere vastgelegde wijzigingen in één keer ongedaan maken. Om dit te doen, moet u een item selecteren en op de knop drukken. Alle wijzigingen, van de eerste tot de geselecteerde, worden geannuleerd (registersleutels, bestanden en mappen worden verwijderd).

Verwijder alles Hiermee kunt u de lijst wissen.

Wanneer u een rollback uitvoert, vraagt ​​Defense Wall HIPS u om de uitgevoerde actie te bevestigen.

Er zijn geen knoppen in dit verzoek Verwijder alles En Annuleer het terugdraaien. Als er een poging is gedaan om bijvoorbeeld 50 wijzigingen terug te draaien, dan zal een dergelijk verzoek 50 keer moeten worden beantwoord.

Lijstitems hebben geen contextmenu met de rechtermuisknop. In plaats van te dubbelklikken om de Register-editor te openen en de gemaakte sleutel te bekijken of Explorer te starten, moet u ze handmatig starten en naar het bestand of de sleutel zoeken.

De changelog wordt niet automatisch bijgewerkt. Als een niet-vertrouwde toepassing een sleutel in het register aanmaakt terwijl de lijst geopend is, wordt het nieuwe item in de lijst pas weergegeven nadat de lijst is gesloten en geopend.

Als u objecten wilt verwijderen die door een niet-vertrouwde toepassing zijn gemaakt, moet u alle niet-vertrouwde toepassingen sluiten. Als de browser, de uitwisselingsnetwerkclient en FAR bijvoorbeeld open zijn (en ze allemaal zijn opgenomen in de lijst met niet-vertrouwde applicaties), dan moet u, om de door FAR gemaakte registersleutel te verwijderen, beide client en de browser.

Met de tweede knop op het tabblad Opruimcentrum kunt u lijsten bekijken met vertrouwde en niet-vertrouwde processen die in het systeem worden uitgevoerd.

Er is in dit venster geen optie om een ​​proces van de vertrouwde naar de niet-vertrouwde lijst te verplaatsen. Bovendien kunt u elk proces dat in het systeem wordt uitgevoerd, beëindigen.

Het is onwaarschijnlijk dat een ongetrainde gebruiker blij zal zijn met een dergelijk scherm. Om nog maar te zwijgen van het feit dat op het moment dat winlogon.exe wordt beëindigd, de gebruiker mogelijk enkele bestanden open heeft staan ​​waar hij al een hele tijd aan heeft gewerkt, maar geen tijd had om de wijzigingen op te slaan.

Derde knop in Cleanup Center groot formaat en rode kleur. Het resultaat van het indrukken komt overeen met de kleuring - ongeacht hoeveel en wat voor soort niet-vertrouwde processen (browser, e-mailclient) worden gestart - ze zullen allemaal worden voltooid zonder enige waarschuwing en zonder gegevens op te slaan.

Niet-vertrouwde toevoegen of verwijderen

Deze lijst bevat alle niet-vertrouwde applicaties die op de computer zijn gedetecteerd tijdens de installatie van Defense Wall HIPS. De lijst met applicaties die standaard door het programma als niet-vertrouwd worden beschouwd, is vrij breed: het omvat de meest populaire browsers, e-mailclients, instant messaging-clients, enzovoort. Alle processen, mappen of applicaties kunnen aan de lijst worden toegevoegd, met uitzondering van systeemprocessen. Explorer.exe kan bijvoorbeeld niet worden toegevoegd.

Wanneer de knop wordt ingedrukt Wegdoen Er wordt een menu geopend met de items waarvan de applicatie uit de lijst kan worden verwijderd, of u kunt deze tijdelijk uitsluiten door hem vertrouwd te maken. Knop Hoe betrouwbaar. Hiermee kunt u een applicatie-exemplaar uit de lijst uitvoeren als een vertrouwd exemplaar. Met behulp van de knop Schuif omhoog Items in de lijst kunnen worden verplaatst. Het was niet mogelijk te begrijpen waarom dit gedaan zou moeten worden en waarom er geen knop Omlaag is (er zijn geen tooltips of vermeldingen in de help).

Gebeurtenissen veroorzaakt door niet-vertrouwde processen worden vastgelegd in het logboek. Op dit tabblad kunt u deze bekijken en, indien nodig, met behulp van een filter gebeurtenissen in de lijst achterlaten die zijn veroorzaakt door de werking van een bepaald proces. Net als in het vorige geval worden gebeurtenissen die plaatsvinden terwijl de lijst open is, er niet in opgenomen. Om ze te zien, moet je het venster sluiten en openen.

Gesloten bestanden

Elke niet-vertrouwde applicatie heeft geen toegang tot alle bestanden en mappen die in deze lijst worden vermeld. Integratie

Defense Wall HIPS creëert een groep snelkoppelingen in het Explorer-contextmenu. Door met de rechtermuisknop op een bestand of map te klikken, kunt u er snel basisacties op uitvoeren.

Wanneer niet-vertrouwde applicaties worden gestart, wordt een status aan hun titel toegevoegd.

Testen

De eerste stap was een poging om het verbod op het toevoegen van systeemprocessen aan de lijst met niet-vertrouwde applicaties te omzeilen. Na het toevoegen aan Niet-vertrouwde applicaties Windows-mappen, alle standaardapplicaties begonnen als niet-vertrouwd te starten.

Klondike - niet-vertrouwde applicatie

Zoals je zou verwachten, Explorer, die niet via een menu-item aan de lijst met niet-vertrouwde gebruikers kan worden toegevoegd Toepassing toevoegen aan niet-vertrouwd, verloor het vertrouwen in Defense Wall HIPS. In het Start-menu werkten de items Uitvoeren, Zoeken, Help en Ondersteuning niet meer. Kladblok begon niet-vertrouwde bestanden te maken, en nadat de wijzigingen waren teruggedraaid en akkoord was gegaan met de vereiste om eerst alle niet-vertrouwde applicaties te sluiten, werd de shell opnieuw opgestart.

Nadat de shell opnieuw was opgestart, vroeg Windows om een ​​cd te plaatsen om de bestanden te herstellen. Om de situatie niet te verergeren, werd besloten het bestandsherstel stop te zetten. De lijst met niet-vertrouwde processen na het opnieuw opstarten van Explorer wordt weergegeven in de onderstaande afbeelding.

Uiteraard met een druk op de grote rode knop Beëindig alle niet-vertrouwde processen leidde tot een BSOD, omdat winlogon.exe in de niet-vertrouwde lijst stond. Tijdens het opnieuw opstarten meldde Windows het volgende:

Na het klikken OK Windows werd cyclisch opnieuw opgestart met bij elke beurt hetzelfde bericht. Om te herstellen moest ik opstarten in de veilige modus, de Defense Wall HIPS-instellingen in het register zoeken (het programma zelf werkt niet in deze modus omdat de service niet wordt geladen) en de Windows-map verwijderen uit de lijst met niet-vertrouwde bestanden. Hierna startte het besturingssysteem normaal op in de normale modus.

Er werd besloten om te controleren wat er zou gebeuren als we de map waarin Defense Wall HIPS was geïnstalleerd aan de lijst met niet-vertrouwde gebruikers zouden toevoegen.

Het behandelingsrecept is hetzelfde: verwijder de Defense Wall HIPS-map uit de lijst met niet-vertrouwde mappen door het register te bewerken.

In wezen zijn dit kleine opmerkingen over de programma-interface die zonder problemen door de auteur kunnen worden geëlimineerd. In de volgende fase werd de hoofdfunctie van het programma getest: het monitoren van de activiteit van processen en het markeren van de bestanden die ze creëren als niet-vertrouwd.

Om de test uit te voeren is een vbs-script geschreven. Het imiteerde het gedrag van het virus en voerde de volgende acties uit:

• Ik heb de sectie in het register verwijderd waar de Defense Wall-instellingen, de lijst met niet-vertrouwde applicaties en het logboek van hun acties zijn opgeslagen.
• Ik heb een klein uitvoerbaar bestand dwkill.exe van de site gedownload.
• Het proces werd beëindigd door defensewall.exe (controleconsole).
• Er is een Windows Scheduler-taak gemaakt die het hulpprogramma dwkill.exe startte onder het SYSTEM-account nadat de gebruiker zich had aangemeld.

Deze reeks acties werd bepaald na een lange en uitgebreide studie van de werkingsmechanismen van de verdedigingsmuur. Het is duidelijk dat dit script gericht is op het werken met Defense Wall en dat het onwaarschijnlijk is dat het door virussen zal worden gebruikt totdat het product op grote schaal op de markt wordt verspreid. Dit script bracht echter verschillende belangrijke tekortkomingen in het werk van Defense Wall aan het licht:

• De lijst met niet-vertrouwde applicaties kan eenvoudig worden gewist. Na de eerste keer opnieuw opstarten worden alle eerder gedownloade en per e-mail verzonden bestanden als vertrouwde bestanden uitgevoerd.
• De lijst met acties van niet-vertrouwde applicaties kan ook worden verwijderd, waardoor het onmogelijk wordt om wijzigingen ongedaan te maken.
• Na het uitvoeren van het script en de eerste herstart is het mogelijk om elke applicatie als vertrouwd te starten.

Bovendien werd een zeer onaangenaam probleem ontdekt: bij het verplaatsen van een niet-vertrouwd bestand van de ene map naar de andere, werd het uit de lijst met niet-vertrouwde bestanden verwijderd en dienovereenkomstig als vertrouwd vanuit de nieuwe map gestart.

Het helpbestand van de Defense Wall bevat veel typefouten en fouten.

Ondanks alle ernstige tekortkomingen verdient het programma aandacht. Ik zou graag willen geloven dat de auteur fouten zal corrigeren en de functionaliteit zal uitbreiden. Idealiter zien we de creatie van een module die al het netwerkverkeer onderschept, de applicatie bepaalt die het aanmaakt en, als deze nieuw is, deze na een verzoek aan de gebruiker toevoegt aan de lijst met vertrouwd of niet-vertrouwd. Op basis van de testresultaten is het duidelijk dat alle programma-instellingen niet in het register moeten worden opgeslagen, maar in de eigen database van Defense Wall. De service moet het opstarten beschermen door te controleren op de juiste sleutels in het register wanneer deze wordt gestopt.

Defense Wall HIPS vervult echter zijn basisfuncties: een niet-vertrouwde applicatie kan geen registersleutels maken of wijzigen, en kan geen bestanden verwijderen of overschrijven. Zoals uit tests is gebleken, is deze bescherming in versie 1.71 van het programma vrij eenvoudig.

Laten we, terwijl we onze discussie over 3D-printen van kunststoffen voortzetten, onze aandacht richten op HIPS. Wat zijn de kenmerken ervan? Waar is het het beste voor? Het kennen van de antwoorden op deze vragen, evenals enkele van de hieronder besproken nuances, kan bijdragen aan uw arsenaal aan kennis over 3D-printen, wat u uiteindelijk zal helpen optimale resultaten te bereiken. Dus wat is HEUPEN?

HIPS-filamentsamenstelling

Slagvast polystyreen (HIPS) is een thermoplastisch polymeer. Het wordt verkregen door tijdens de polymerisatie polybutadieen aan polystyreen toe te voegen. Door de vorming van chemische bindingen verkrijgt polystyreen de elasticiteit van butadieenrubber en wordt een hoogwaardig, duurzaam en elastisch filament verkregen.

Voordelen van HIPS als printmateriaal

Veel van de kenmerken van HIPS zijn vergelijkbaar met die van ABS, PLA of SBS, maar verschillen ten goede:

• Het materiaal neemt geen vocht op, verdraagt ​​de omgevingsomstandigheden beter en is niet onderhevig aan ontbinding. Langer houdbaar indien geopend zonder verpakking.
• Zacht, beter vatbaar voor mechanische nabewerking.
• Lichtheid en lage wateropname maken het onder bepaalde omstandigheden mogelijk om een ​​object te creëren dat niet in water zinkt.
• Ongeverfd HIPS heeft een helderwitte kleur, wat het esthetische voordelen geeft. De matte textuur maakt de lagen en ruwheid van de print visueel glad.
• Er worden plastic gebruiksvoorwerpen van gemaakt. Nog belangrijker is het feit dat het onschadelijk is voor mens en dier en niet kankerverwekkend is.

Toepassing van HIPS als belangrijkste printmateriaal

Nadat het HIPS-object is afgedrukt, kan het worden geschuurd, geprimed en geverfd om het de gewenste uitstraling te geven. Als we de kenmerken van HIPS in dit laatste stadium vergelijken, moet worden opgemerkt dat alle procedures die verband houden met de nabewerking - afwerking, slijpen, polijsten, enz. - uiterst gemakkelijk op dit materiaal worden uitgevoerd. De resulterende onderdelen en objecten, die uitsluitend met dit filament zijn gemaakt, zijn sterk en matig taai en vooral vrij licht van gewicht. HIPS is een zachter en gladder materiaal, het is makkelijker mechanisch te verwerken, in tegenstelling tot PLA of ABS. Bij gebruik van HIPS-kunststof raden wij aan om de spuitmond aan te zetten (koeling), hierdoor kunnen de lagen gelijkmatig uitharden en wordt het bedrukte oppervlak gladder.

Modellen zijn bedrukt met HIPS-plastic

HIPS als steunmateriaal, HIPS-oplosbaarheid

HIPS is oplosbaar in limoneen, een kleurloze vloeibare koolwaterstof met een sterke citrusgeur. Omdat ze (HIPS en limoneen) op geen enkele manier interageren met ABS, is HIPS uitstekend geschikt voor het maken van ondersteuningen en is het veel goedkoper dan PVA.

HIPS gebruiken om complexe vormen te creëren.

Als de printer twee extruders heeft, voegt u eenvoudigweg een ABS-spoel en een HIPS-spoel toe en u bent klaar om ingewikkelde ontwerpen te printen die moeilijk te realiseren zijn met ander ondersteuningsmateriaal. Van dit materiaal kunt u overigens bij ons een monster aanschaffen, een HIPS-monster van 10 meter lang.

Het is goed bij het afdrukken in verschillende kleuren: tijdens het verwijderen van de steunen van de HIPS zorgt dit ervoor dat ze volledig zijn opgelost en dat alleen het ABS-object overblijft.

Wat wordt er gewoonlijk van HIPS gemaakt in de industriële productie?

Heel vaak wordt speelgoed gemaakt van HIPS, evenals verpakkingen, huishoudelijke artikelen en huishoudelijke apparaten. Omdat het materiaal onschadelijk is, worden er vaak wegwerpbestek, maar ook borden en kopjes van gemaakt.

HIPS-filamentextrusie (afdrukopties)

De juiste temperatuur voor het werken met filamenten varieert van printer tot printer, maar het is beter om te experimenteren met 230-260° C. Als de printer een verwarmd platform heeft, stel dan bij het printen van HIPS de temperatuur daarop in op 100° C. zal u helpen gladdere en stevigere objecten te krijgen. Om het allemaal nog beter te maken, kunt u proberen polyamide (Kapton) tape op het platform aan te brengen, zodat de strepen elkaar niet kruisen.

Voorzorgsmaatregelen bij het werken met HIPS

Hoewel HIPS niet giftig is, komen er tijdens de extrusie stoffen vrij die irritatie van de luchtwegen en de ogen kunnen veroorzaken. Daarom wordt het afdrukken in een goed geventileerde ruimte aanbevolen.

Als het printerplatform open is, zorg dan voor voldoende ventilatie en werk altijd uiterst voorzichtig. Onbeschermd contact met verwarmde stoffen kan ernstige brandwonden veroorzaken.

Algemene informatie

Wanneer een onderdeel HEUPEN ingeschakeld, is de programma-activiteit beperkt in overeenstemming met de regels. Situaties waarvoor de regel niet is gespecificeerd, worden opgelost afhankelijk van de HIPS-modus, programmabeoordeling en andere omstandigheden.

Doorgaans staat de Veilige modus toe dat vertrouwde programma's elke activiteit uitvoeren die niet door de regels verboden is, behalve het starten van niet-geïdentificeerde bestanden. De lancering van niet-geïdentificeerde programma's, evenals elke actie van deze programma's, wordt voorkomen door waarschuwingen.

De paranoïde modus stopt met waarschuwingen voor elke activiteit van programma's die niet in de regels is voorzien.

In de Trainingsmodus zal elke activiteit van een programma waarin de regels niet voorzien automatisch nieuwe regels creëren.

De regels worden weergegeven op het tabblad HIPS → HIPS-regels als lijst toepassingen en degenen die door hem zijn benoemd regelsets.

Toepassingen kunnen exacte paden naar bestanden zijn, padpatronen met * en? , evenals groepen bestanden. In paden en hun sjablonen kunt u . Bestandsgroepen zijn verzamelingen paden of patronen, ze worden op het tabblad geconfigureerd Bestandsbeoordeling → Bestandsgroepen. Ik zou willen benadrukken dat toepassingen in HIPS-regels alleen worden geïdentificeerd aan de hand van hun paden, en niet aan de hand van hashes, enz.

De set regels die aan een applicatie is toegewezen, bestaat uit twee tabbladen: “Toegangsrechten” en “Beveiligingsinstellingen”. De eerste bepaalt de rechten van de applicatie zelf, de tweede beschermt deze juist tegen andere programma's. De applicatie kan beide hebben eigen set regels, of een van de vooraf gegenereerde sets: ze worden geconfigureerd op het tabblad HIPS → Regelsets.

De vooraf gedefinieerde set regels “Windows Systeemapplicatie” staat elke activiteit toe, de set “Toegestane applicatie” staat elke activiteit toe, maar reguleert niet de lancering van onderliggende processen; De set “Geïsoleerde applicatie” verbiedt ten strengste elke activiteit; De Restricted Application-set verbiedt bijna alles behalve vensterberichten en monitortoegang, en regelt niet de lancering van onderliggende processen. U kunt niet alleen uw eigen sets maken, maar ook de vooraf ingestelde sets wijzigen.

Vanaf CIS 10.0.1.6223 is de HIPS-regelset voor "geïsoleerde applicaties" hernoemd naar "Applicatie uitgevoerd in een container". Naar mijn mening is dit een verkeerde vertaling van de naam “Contained Application”, aangezien de HIPS-regels in werkelijkheid niets te maken hebben met de Container (virtuele omgeving). Om verwarring te voorkomen, raad ik aan om deze set terug te hernoemen naar "Geïsoleerde applicatie", en in het artikel zal het zo worden genoemd.

Een speciaal geval is de regelset ‘Installeren of bijwerken’, die toepassingen . Programma's met dergelijke privileges kunnen vrijelijk alle acties uitvoeren (behalve de acties die uitdrukkelijk door de regels verboden zijn), incl. alle programma's uitvoeren, en hun onderliggende processen krijgen ook installatierechten. Uitvoerbare bestanden die door dergelijke programma's zijn gemaakt, worden automatisch vertrouwd.

Verschillende initiële configuraties van COMODO Internet Security verschillen zowel in de initiële set regels als in het gecontroleerde bereik van programma-activiteiten. Voor de meest complete HIPS-bescherming moet u in eerste instantie een configuratie selecteren Proactieve beveiliging en van daaruit verdere configuratie uitvoeren.

Bij het beperken van programmatoegang tot verschillende bronnen vertrouwt HIPS op sectiegegevens HEUPEN → Beschermde objecten. Een bestand of map kan bijvoorbeeld alleen tegen wijziging worden beschermd als de volledige naam ervan overeenkomt met een van de patronen op het tabblad Beveiligde bestanden. Als u dus wilt voorkomen dat een programma bestanden op station D: wijzigt (ongeacht het type), moet u dit station eerst toevoegen aan de lijst met beveiligde stations.

Wanneer u vervolgens specifieke regels maakt, kunt u de toegangsbeperkingen voor bepaalde beschermde objecten variëren door op 'Bewerken' in de kolom 'Uitzonderingen' te klikken.

Het is het meest aan te raden om HIPS te gebruiken Veilige modus door de optie uit te schakelen Maak regels voor veilige applicaties, of binnen Paranoïde. De procedure voor het bepalen van programmatoegang tot een bron is dan als volgt:

Zoals we kunnen zien, drukt de “Ask”-actie in HIPS de afwezigheid van een regel uit (in tegenstelling tot een firewall, waar deze de opdracht geeft een waarschuwing weer te geven).

Het tabblad “Toegestaan” van de bovenste regel die geschikt is voor een bepaald programma heeft dus de hoogste prioriteit; vervolgens - het tabblad “Geblokkeerd”; vervolgens - de actie gespecificeerd in deze regel, als deze ondubbelzinnig is; vervolgens - het tabblad “Toegestaan” van de volgende regel, enz. Bij afwezigheid van een expliciete regel is toegang toegestaan ​​als (i) de privileges van het installatieprogramma van kracht zijn, of (ii) het programma "vertrouwd" is en de HIPS-modus "Beveiligd" is, of (iii) de melding "Laat geen waarschuwingen zien" : Verzoeken toestaan" optie is aangevinkt. Als aan geen van deze voorwaarden wordt voldaan, wordt de toegang geblokkeerd als de optie "Geen waarschuwingen weergeven: verzoeken blokkeren" is aangevinkt, of wordt er een waarschuwing gegeven als deze optie is uitgeschakeld.

Speciaal geval: als het programma in een virtuele omgeving en/of met Auto-Containment-beperkingen draait, krijgt het bij afwezigheid van een regel toestemming (vergelijkbaar met de optie "Laat geen waarschuwingen zien: verzoeken toestaan"). Bovendien is er in een virtuele omgeving helemaal geen bestands- of registerbescherming, zelfs niet met expliciet ingestelde beperkingen.

Programmarechten beheren via meldingen

Bij het reageren op HIPS-waarschuwingen krijgen applicaties tijdelijk of permanent regels toegewezen, afhankelijk van de optie ‘Onthoud mijn keuzes’.

Een belangrijk punt: de regels zijn toegewezen aan de applicatie die aan de linkerkant van de alert staat. Als u bijvoorbeeld door Explorer wordt gevraagd of u een onbekend programma wilt uitvoeren, worden de regels specifiek aan de Explorer toegewezen. Typische beginnersfouten: selecteer de optie “Blokkeren en beëindigen van de uitvoering” in een dergelijke waarschuwing (waardoor het Explorer-proces wordt beëindigd), of de optie “Geïsoleerde applicatie” (waardoor de rechten van de Explorer ernstig worden beperkt), of de optie “Installeren of bijwerken” (waardoor bijna alle bescherming verliezen). Normaal gesproken is de slimste keuze bij het opstarten van een programma 'Toestaan' of 'Alleen blokkeren'.

De opties "Toestaan" of "Alleen blokkeren" in verschillende HIPS-waarschuwingen betekenen dat alleen de specifieke bron wordt toegestaan ​​of geweigerd. Als u bijvoorbeeld toestaat dat een toepassing het bestand C:\test\A.exe maakt, zal een poging om het bestand C:\test\B.exe te maken opnieuw resulteren in een waarschuwing. Om een ​​applicatie toe te staan ​​bestanden in de map C:\test te maken, moet u de regel bewerken via het CIS-instellingenvenster. Helaas bieden de waarschuwingen geen machtigingen voor mappen, sjablonen, groepen, enz. Via een waarschuwing kunt u echter elke set regels die eerder op het tabblad is gemaakt, op de toepassing toepassen HIPS → Regelsets.

Als u de optie “Onthoud mijn keuze” inschakelt bij het reageren op een waarschuwing, verandert de set regels die aan de opgegeven applicatie is toegewezen; als er geen HIPS-regel voor deze toepassing bestaat, wordt deze bovenaan de lijst aangemaakt. Bij het kiezen van een optie Toestaan of Alleen blokkeren toestemming of verbod wordt toegevoegd aan de regels voor precies een specifieke bron (bestand, COM-interface, enz.). Bij het kiezen van een aantal regels nieuwe regels zullen niet aan de oude worden toegevoegd, maar deze volledig vervangen, d.w.z. de regels die eerder aan deze applicatie waren toegewezen, zijn niet langer van toepassing.

Als u de optie "Onthoud mijn keuzes" in een waarschuwing uitschakelt, vervallen de machtigingen, beperkingen of regelsets die aan een applicatie zijn toegewezen wanneer de applicatie wordt beëindigd of eerder, en zullen er geen wijzigingen in de CIS-configuratie plaatsvinden. Om de logica achter de werking van deze tijdelijke regels te begrijpen, is het handig om je voor te stellen dat elke keer dat er op een waarschuwing wordt gereageerd (zonder dat je het onthoudt), er een denkbeeldige vermelding in de HIPS-regellijst wordt aangemaakt. Alle "denkbeeldige" vermeldingen worden onder "echte" vermeldingen in de lijst met regels geplaatst, maar nieuwe "denkbeeldige" vermeldingen bevinden zich boven andere "denkbeeldige" vermeldingen. Dit betekent dat aan dezelfde applicatie meerdere keren verschillende sets regels kunnen worden toegewezen via waarschuwingen (zonder dit te onthouden), en dat al deze sets regels geldig zullen zijn. In dit geval zullen de “echte” regels de hoogste prioriteit hebben, daarna de meest recente van de “denkbeeldige” regels, dan de eerdere, enz. Maar zodra er een ‘echte’ regel (met memorisatie) wordt gecreëerd, zullen alle ‘denkbeeldige’ regels voor alle toepassingen worden vernietigd.

Als we bijvoorbeeld een melding over een programma hebben ontvangen, zullen we deze de reeks regels 'Geïsoleerde applicatie' toewijzen, zonder deze te onthouden. Standaard mag de groep Alle apps tijdelijke bestanden wijzigen, dus dit programma kan dit nog steeds doen, ook al verhindert de geïsoleerde app-set dit. Als u deze set regels met onthouden toewijst, is het wijzigen van tijdelijke bestanden verboden, omdat er bovenaan de lijst een nieuwe HIPS-regel wordt aangemaakt.

Er zijn enkele uitzonderingen op de beschreven procedure wanneer de optie “Onthoud mijn selectie” is uitgeschakeld. Ten eerste worden er geen "denkbeeldige" app-machtigingen aangemaakt (dat wil zeggen dat als u dezelfde app opnieuw uitvoert, de waarschuwing opnieuw wordt geactiveerd). Ten tweede: als een programma via een waarschuwing de gebruikersinterface van een ander programma mag wijzigen, kan het tijdelijk vensterberichten naar alle toepassingen sturen, niet alleen naar het opgegeven programma.

Programmastartcontrole

De mogelijkheid om elk programma uit te voeren wordt in HIPS gespecificeerd door een regel voor lancering programma, niet voor het programma dat wordt gelanceerd. In de “Paranoid-modus” mogen programma’s alleen stil worden uitgevoerd als er expliciete toestemming in de regels staat. In de “Veilige modus” is het opstarten, bij afwezigheid van een regel, toegestaan ​​als zowel het startende als het gestarte programma vertrouwd worden. Uitzonderingen zijn de uitvoering van programma's met installatiebevoegdheden, maar ook onder invloed van virtualisatie- en/of Auto-Containment-beperkingen.

Laten we er dus van uitgaan dat in de "Veilige modus" HIPS het programma parent.exe actief is en probeert het programma child.exe te starten. Als er geen aanvullende regels zijn, zal het opstarten alleen stil plaatsvinden als beide programma's worden vertrouwd. Als het programma child.exe niet is geïdentificeerd en de HIPS-regels voor het programma parent.exe (of de groep die het programma bevat) geen toestemming hebben om het programma child.exe (of de groep die het bevat) uit te voeren, dan ongeacht de HIPS regels voor het programma child.exe zelf en ongeacht de beoordeling van het programma parent.exe, zal er vóór het starten een waarschuwing verschijnen (en specifiek met betrekking tot het programma parent.exe).

Om de uitvoering van een niet-geïdentificeerd programma mogelijk te maken, is het dus niet voldoende om er zelf toestemmingsregels voor in te stellen: het bovenliggende proces, of als alternatief de groep "Alle toepassingen", heeft toestemming nodig om het te starten.

Als u wilt voorkomen dat het programma start, moet u, nadat u een melding over het bovenliggende proces heeft ontvangen, meestal de onthoudoptie uitschakelen en selecteren Blokkeren → Alleen blokkeren. Aandacht! Het item 'Uitvoering blokkeren en voltooien' in de melding over de lancering van het programma betekent afsluiten ouderproces.

De mogelijkheid om elk programma uit te voeren wordt niet alleen bepaald door HIPS-regels, maar ook door Auto-Containment. De lancering wordt geblokkeerd als ten minste één van deze componenten dit vereist. Als de lancering van een programma is toegestaan ​​in de HIPS-regels, en de Auto-Containment-regels vereisen dat dit programma wordt geïsoleerd, zal het afzonderlijk worden gelanceerd.

Het is belangrijk om te weten dat, in tegenstelling tot Auto-Containment, bij HIPS het kindproces niet de beperkingen van de ouder overneemt: als je toestaat dat een dubieus programma een veilig programma uitvoert, kan er schade worden aangericht namens het veilige programma.

Automatische creatie van HIPS-regels in “Leermodus” en “Veilige modus”

In bepaalde modi worden HIPS-regels automatisch gemaakt:

• als de “Leermodus” is ingeschakeld en de optie “Geen meldingen weergeven” is uitgeschakeld of is ingesteld op de modus “Verzoeken blokkeren”, worden er regels gemaakt die elke gedetecteerde actie van elke applicatie toestaan;
• Als “Veilige modus” is ingeschakeld, de optie “Regels maken voor beveiligde applicaties” is ingeschakeld en de optie “Geen meldingen weergeven” is uitgeschakeld of is ingesteld op “Verzoeken blokkeren”, worden er regels gemaakt die elke gedetecteerde actie van vertrouwde applicaties.

In de meeste gevallen zijn deze modi niet nuttig en worden ze alleen gebruikt voor het testen of ter voorbereiding op het overschakelen naar de paranoïde modus.

Regels voor een programma (in de “Leermodus” of vertrouwd in de “Veilige modus”) worden als volgt gemaakt:

Het type nieuwe regel is afhankelijk van de gevraagde actie:

• Wanneer het ene programma een ander programma uitvoert, wordt er voor het eerste een regel gemaakt die toestaat dat het specifieke programma wordt uitgevoerd.
• Wanneer een programma een bestand of registersleutel wijzigt die vermeld staat op de HEUPEN → Beschermde objecten, zal het type regel afhangen van hoe de sjabloon van deze bron is geschreven.
  • Als er aan het einde van het patroon een teken | , dan wordt er een regel gemaakt die wijzigingen toestaat die specifiek betrekking hebben op het object waartoe het programma toegang heeft gehad. Het programma maakt bijvoorbeeld een text.txt-bestand op het bureaublad. Komt het overeen met het patroon?:\Users\*\Desktop\*| . Dit betekent dat er een regel wordt aangemaakt die wijzigingen in het bestand C:\Users\Name\Desktop\text.txt toestaat.
  • Als er geen | aan het einde van het patroon staat , dan wordt er een regel gemaakt die het mogelijk maakt om elk object volgens deze sjabloon te wijzigen. Het programma maakt bijvoorbeeld het bestand D:\prog.exe aan. In de lijst met beveiligde objecten komt dit bestand overeen met de *.exe-sjabloon. Dit betekent dat er een regel wordt aangemaakt waarmee dit programma alle exe-bestanden kan wijzigen.
• Wanneer een programma toegang krijgt tot een van de volgende bronnen, worden er automatisch regels gemaakt waarmee het programma tegelijkertijd toegang heeft tot alle bronnen:
  • Veilige COM-interfaces,
  • Windows-hooks en applicatiehooks,
  • Geheugentoegang tussen processen,
  • Applicaties onderbreken,
  • DNS-query's,
  • Schijf(directe toegang),
  • Toetsenbord,
  • Monitor.

Procesbescherming

In het venster met HIPS-regels voor een applicatie kunt u niet alleen de eigen activiteit van de applicatie beperken, maar ook de impact van andere programma's op de werking ervan. Voor dit tabblad Beveiliging instellen geeft aan welke acties met deze applicatie worden geblokkeerd, en in het uitzonderingenvenster (knop Wijziging) - welke programma's zijn toegestaan. Er zijn hier geen meldingen - alleen toestemming of verbod, ongeacht de beoordeling. Een op deze manier verboden actie wordt geblokkeerd, ongeacht de regels en beoordelingen van andere programma's.

Met behulp van deze functie beschermt CIS zichzelf in het bijzonder tegen het ontladen van zijn processen en geheugentoegang. Daarom is het raadzaam om, zelfs wanneer HIPS niet nodig is, dit in ieder geval in te schakelen met de optie “Geen waarschuwingen tonen: verzoeken toestaan” (in de “Veilige” of “Paranoïde” modus).

Een neveneffect van CIS-zelfverdediging is een groot aantal vermeldingen in het Protection Events+-logboek bij het gebruik van sommige programma's, bijvoorbeeld ProcessExplorer. U kunt onnodige vergrendelingen verwijderen door individuele toepassingen toegang te geven tot het geheugen in de COMODO Internet Security-groep.

Ik merk op dat de bescherming tegen applicatieonderbreking op zichzelf niet alle manieren omvat om een ​​proces te ontladen. Veel applicaties kunnen dus worden beëindigd via vensterberichten of via geheugentoegang. Om een ​​applicatie tegen dergelijke beëindigingsmethoden te beschermen, moet u de regels ervan op het tabblad "Beschermingsinstellingen" niet alleen controleren op het item "Onderbreking van applicaties", maar ook op andere.

Installateursrechten

De betekenis van installateursrechten

Onder bepaalde omstandigheden krijgt de applicatie installatierechten, die als volgt zijn:

1. HIPS staat een dergelijke toepassing alles toe wat niet expliciet in de regels verboden is, d.w.z. werkt vergelijkbaar met de modus “Geen waarschuwingen weergeven: verzoeken toestaan”;
2. Auto-Containment isoleert geen programma's die door deze applicatie worden gestart;
3. terwijl deze applicatie actief is, worden de onderliggende processen (en hun onderliggende processen, enz.) uitgevoerd met installatiebevoegdheden;
4. uitvoerbare bestanden die deze toepassing maakt (of onderliggende processen die de rechten ervan overnemen) worden automatisch vertrouwd.

Bestanden worden alleen automatisch aan vertrouwde bestanden toegevoegd als de optie 'Vertrouw toepassingen geïnstalleerd met vertrouwde installatieprogramma's' op het tabblad is ingeschakeld . Ook worden in bepaalde speciale gevallen installatiebevoegdheden aan toepassingen gegeven in een “ingekorte” vorm: zonder , of wanneer de gebruiker reageert met toestemming (als het programma niet geïdentificeerd is en een installatieattribuut heeft), of wanneer aan het programma de juiste , of wanneer deze regel erop wordt toegepast, of wanneer het programma deze rechten overneemt van het bovenliggende proces.

Het automatisch toekennen van rechten aan een applicatie-installatieprogramma

Een toepassing krijgt automatisch installatiebevoegdheden als deze wordt vertrouwd en het installatieprogrammakenmerk heeft. In de lijst met actieve processen kunt u zien of een toepassing een installateurstag heeft.

Welke eigenschappen van de applicatie zijn het kenmerk van een installatieprogramma? Er werd gezegd: afgaande op de experimenten worden installatieprogramma's beschouwd als programma's met het woord installeren, instellen of updaten in de bestandsnaam of in de bestandsversie-info (in de bestandsbeschrijving, ProductName , InternalName of OriginalFilename veld); MSI-bestanden worden ook als installatieprogramma's beschouwd.

In oudere versies van CIS waren de kenmerken van het installatieprogramma anders: installatieprogramma's werden met name beschouwd als programma's die bij het opstarten om beheerdersrechten vroegen, programma's waarvan de grootte groter was dan 40 MB, enz. Hierdoor kregen veel toepassingsprogramma's ten onrechte installatieprogramma's toegewezen. privileges (in het bijzonder PortableApps-assembly), wat een duidelijk gevaar vormde. In CIS 10 is deze dreiging aanzienlijk verminderd.

Installateurrechten toewijzen via automatische inperkingswaarschuwingen

Wanneer u in de standaard "Proactieve Beveiliging"-configuratie een niet-geïdentificeerd programma start dat de installer-tag heeft, verschijnt er een waarschuwing met een keuze uit vier opties: "Blokkeren", "Geïsoleerd starten", "Uitvoeren zonder beperkingen" met de melding "Vertrouw dit applicatie" en de optie "Uitvoeren" uitgeschakeld. zonder beperkingen" wanneer de optie "Deze applicatie vertrouwen" is ingeschakeld.

De optie “Blokkeren” betekent dat de lancering wordt verboden. De optie "Geïsoleerde lancering" betekent dat het programma geïsoleerd wordt gelanceerd in overeenstemming met de Auto-Containment-regels.

Als u de optie “Vertrouw deze applicatie” inschakelt en “Uitvoeren zonder beperkingen” selecteert, wordt het programma vertrouwd en wordt het uitgevoerd met installatierechten. Tegelijkertijd wordt er een Auto-Containment-regel gemaakt, waardoor onderliggende processen van dit programma worden uitgesloten van isolatie. Deze regel is meestal niet logisch en ik raad aan deze te verwijderen.

Als u de optie “Uitvoeren zonder beperkingen” selecteert terwijl de optie “Deze applicatie vertrouwen” is uitgeschakeld, wordt het programma tijdelijk gestart met “ingekorte” installatierechten, zonder vertrouwen in de bestanden die worden aangemaakt. Die. punten , en , maar niet .

Over het algemeen vindt een dergelijke waarschuwing plaats als aan de volgende voorwaarden wordt voldaan:

• Auto-Containment-component is ingeschakeld,
• op het tabblad Insluiting → Insluitingsinstellingen de optie "Detecteer programma's waarvoor verhoogde rechten nodig zijn" is ingeschakeld,
• De optie “Geen meldingen tonen bij het aanvragen van verhoogde rechten” is daar uitgeschakeld,
• het gelanceerde programma moet volgens de Auto-Containment-regels virtueel en/of met beperkingen worden gelanceerd,
• Het programma dat wordt gestart heeft een installatieattribuut of vraagt ​​bij het opstarten om beheerdersrechten.

Zoals u kunt zien, hoeft het gelanceerde programma niet ongeïdentificeerd te zijn om een ​​waarschuwing weer te geven; het is alleen vereist dat de Auto-Containment-regels instrueren dat het wordt geïsoleerd. Bovendien kan het programma bij het opstarten beheerdersrechten vragen, maar geen installatieprogramma zijn.

Als u de optie 'Geen waarschuwingen tonen voor verzoeken om verhoogde rechten' inschakelt, kunt u in het optiemenu kiezen om automatisch ongeïdentificeerde installatieprogramma's te isoleren (aanbevolen) of te blokkeren zonder waarschuwing. Er zijn ook opties "Run zonder beperkingen" en "Run zonder beperkingen en vertrouwen" - het kiezen ervan is natuurlijk erg gevaarlijk.

Installateurrechten toewijzen via HIPS-waarschuwingen en regels

Installateursrechten kunnen expliciet via HIPS aan een programma worden toegewezen: ze komen overeen met de regel "Installeren of updaten".

Wanneer er een HIPS-waarschuwing optreedt over de activiteit van een applicatie, kunt u selecteren Verwerken als → Installatie of update, met of zonder memorisatie.

Als u de onthoudoptie aanvinkt en de optie “Installeren of bijwerken” selecteert, wordt de bijbehorende HIPS-regel aangemaakt en krijgt de applicatie installatierechten. Als u deze optie selecteert zonder de onthoudoptie, wordt de regel niet gemaakt en ontvangt de toepassing een “ingekorte” versie van de installatierechten, zonder de gemaakte bestanden te vertrouwen (tijdelijk een niet-geïdentificeerd installatieprogramma starten zonder beperkingen voor automatische insluiting).

Via het CIS-configuratievenster kunt u een applicatie vooraf een HIPS-regel “Installeren of bijwerken” toewijzen. Het is duidelijk dat de applicatie in dit geval installatierechten krijgt zonder voorafgaande kennisgeving en volledig.

Bestanden vertrouwen die zijn gemaakt met installatiebevoegdheden

Zoals eerder vermeld, worden uitvoerbare bestanden die door vertrouwde installatieprogramma's zijn gemaakt, automatisch vertrouwd als de optie "Vertrouw toepassingen die zijn geïnstalleerd met vertrouwde installatieprogramma's" op het tabblad is ingeschakeld Bestandsbeoordeling → Bestandsbeoordeling instellen. Er staat ook dat informatie over het maken van bestanden door vertrouwde installatieprogramma's in de database wordt geregistreerd, zelfs als deze optie is uitgeschakeld.

Afgaande op de experimenten wordt, wanneer de DPUPDU-optie is uitgeschakeld, informatie over het maken van bestanden door direct vertrouwde installatieprogramma's, en niet door programma's met installatiebevoegdheden, ingevoerd in de CIS-database. Die. Als een bestand is gemaakt door een onderliggend proces van een vertrouwd installatieprogramma of door een programma dat installatierechten heeft verkregen op basis van HIPS-regels, wordt het bestand niet geacht te zijn gemaakt door een vertrouwd installatieprogramma. Maar als de DPUPDU-optie is ingeschakeld, worden bestanden die zijn gemaakt door programma's die op de een of andere manier installatiebevoegdheden hebben gekregen, in de database gemarkeerd als gemaakt door vertrouwde installatieprogramma's.

Bij het bepalen of een bestand is gemaakt onder installatiebevoegdheden, maakt CIS onderscheid tussen het maken en kopiëren van een bestand. Dus als een programma met installatiebevoegdheden een normale kopie van een bestand uitvoert, wordt het bestand nog niet vertrouwd. Maar als, onder invloed van de privileges van het installatieprogramma, een bestand bijvoorbeeld uit een archief wordt geëxtraheerd, zal CIS dit bestand en alle identieke bestanden vertrouwen (met de DPUPDU-optie ingeschakeld).

Tot op zekere hoogte werken de privileges van het installatieprogramma in de virtuele omgeving: als het vertrouwde installatieprogramma virtueel draait, maar bestanden aanmaakt in de echte omgeving (in het gedeelde gebied), dan worden deze bestanden in de database gemarkeerd als aangemaakt door het vertrouwde installatieprogramma. Een soortgelijke situatie doet zich voor bij het werken in een echte omgeving met Auto-Containment-beperkingen. Naar mijn mening is dit een fout en een potentieel gevaarlijke fout.

Hoewel de DPUPDU-optie de bruikbaarheid van CIS verbetert, zit er enige waarde in het uitschakelen ervan. Wanneer deze optie is ingeschakeld, kan CIS potentieel ongewenste programma's vertrouwen die naast goedaardige applicaties worden geïnstalleerd.

Het komt voor dat het installatieprogramma van een applicatie, zelfs als deze wordt vertrouwd, tijdens de werking ervan niet-geïdentificeerde programma's maakt en start. Doorgaans verhindert CIS niet dat ze worden uitgevoerd, omdat ze de rechten van het installatieprogramma overnemen. Zoals hierboven vermeld, zijn overgenomen rechten echter niet altijd van kracht (om veiligheidsredenen) en soms kan proactieve bescherming worden geactiveerd tijdens het installatieproces. Als dit alleen als HIPS-waarschuwing verschijnt, hoeft u er alleen maar op te reageren om door te gaan met de installatie. Maar als HIPS is geconfigureerd om zonder kennisgeving te blokkeren, of als Auto-Containment wordt gebruikt, bestaat het risico dat de applicatie niet correct wordt geïnstalleerd. Dit risico is vooral groot als de opties 'Vertrouw applicaties geïnstalleerd via vertrouwde installatieprogramma's' of 'Detecteer programma's waarvoor verhoogde rechten nodig zijn' zijn uitgeschakeld.

Om applicaties te installeren zonder tussenkomst van CIS, raad ik aan om installatieprogramma's te starten via een speciaal contextmenu-item. Om dit te doen, zullen we een eenvoudig programma gebruiken dat het bestand uitvoert dat is opgegeven in de opdrachtregelargumenten. U moet het archief downloaden met het programma (wachtwoord cis), het programma op een geschikte plaats plaatsen, het aan de vertrouwde lijst toevoegen en het uitvoeren - u wordt gevraagd een nieuw item toe te voegen aan het contextmenu van de Verkenner (dit kan worden verwijderd door het opnieuw te starten). Het programma is geschreven in AutoIt3, de bronmap en de converter zijn opgenomen in de bronmap: bij twijfel kunt u een soortgelijk programma genereren door de code en de handtekening van de converter te controleren.

Vervolgens moet u de HIPS-regel ‘Installeren en bijwerken’ aan dit programma toewijzen, evenals de regel voor automatische insluiting:

• selecteer de actie “Negeren”,
• geef in de criteria de locatie van het programma aan,
• Laat de optie “De geselecteerde actie niet toepassen op onderliggende processen” uitgeschakeld.

Om de installatie van een veilige applicatie soepel te laten verlopen, is het voldoende om het contextmenu van het installatieprogramma te openen, terwijl u de Shift-toets ingedrukt houdt, en "COMODO: uitvoeren als installatieprogramma" te selecteren. Als gevolg hiervan blijven de onderliggende processen, zelfs als het installatieprogramma zelf afsluit, met installatiebevoegdheden draaien. Deze privileges worden verwijderd na het sluiten van het speciale venster met de tekst “Klik op Ok wanneer de installatie is voltooid.” Maar zelfs dan zullen deze processen uitgesloten blijven van de controle van Auto-Containment.

Werkingsprincipe van HIPS (Host-based Inbraakpreventiesysteem): gedetailleerde beschrijving. Algemene HIPS- en Auto-Sandbox-instellingen in Comodo Internet Security 8. Viruscope

HEUPEN

HIPS-modi

Wanneer HIPS is ingeschakeld, wordt de programma-activiteit beperkt volgens de regels. De in eerste instantie beschikbare regels stellen machtigingen in voor sommige systeemprogramma's, en vereisen in andere gevallen dat dit aan de gebruiker wordt gevraagd. De gebruiker kan zijn eigen regels toevoegen via de interface van het tabblad HIPS-regels, of ze worden aangemaakt via zijn reacties op waarschuwingen, of automatisch aangemaakt wanneer de “Leermodus” is ingeschakeld. U kunt waarschuwingen uitschakelen door op te geven dat activiteit altijd moet worden toegestaan ​​of dat activiteit altijd moet worden geweigerd als er geen regel is.

De weergave van programmawaarschuwingen is afhankelijk van het programma en de HIPS-modus ervan. In de “Veilige Modus” worden alleen waarschuwingen gegeven over niet-geïdentificeerde programma's, terwijl vertrouwde programma's stilzwijgend toestemming krijgen (bij afwezigheid van een verbodsregel) om enige actie te ondernemen, behalve het starten van een niet-geïdentificeerde applicatie. In de paranoïde modus verschijnen waarschuwingen voor alle programma's, ongeacht de reputatie.

In de Clean PC-modus verschijnen er alleen waarschuwingen voor nieuwe, niet-geïdentificeerde programma's, d.w.z. die nog niet eerder op de schijf stonden, en de “oude” worden in de “Veilige modus” als vertrouwd beschouwd. De modus "Clean PC" werkt als volgt: vanaf het moment dat deze modus is ingeschakeld, wordt het maken van nieuwe programma's gecontroleerd, d.w.z. uitvoerbare bestanden. Als het nieuwe programma minder dan 40 MB groot is en geen ‘vertrouwde’ reputatie heeft, wordt het ingevoerd als ‘niet geïdentificeerd’. Alleen programma's uit de "niet-geïdentificeerde" lijst hebben beperkte rechten. De rest van de programma's, kleiner dan 40 MB, zal als vertrouwd worden ervaren: ze zullen als zodanig worden waargenomen door HIPS, Auto-Sandbox en de firewall.

De schone pc-modus is behoorlijk problematisch en ik raad het gebruik ervan niet aan. In het bijzonder als u in deze modus een nieuw, onbekend programma in een map plaatst en de naam ervan wijzigt, wordt het programma als “oud” beschouwd, dat wil zeggen: vergunningen zal krijgen. U kunt echter een correct werkende analoog van de “Clean PC” -modus in de “Veilige modus” implementeren door alle uitvoerbare bestanden toe te voegen aan de vertrouwde bestanden op de manier die wordt voorgesteld in .

Hoe de “Veilige modus” werkt met de optie “Regels maken voor veilige toepassingen” ingeschakeld, evenals de “Leermodus”. Het werken in de modus "Clean PC" is vergelijkbaar met "Veilig", maar verschilt daarin dat niet-geïdentificeerde bestanden die op de schijf stonden voordat deze modus werd ingeschakeld, op dezelfde manier worden verwerkt als vertrouwde bestanden ("ze worden vertrouwd", niet alleen door HIPS, maar ook door Auto-Sandbox en de firewall).

Ik zal een speciaal geval specificeren: als het programma wordt uitgevoerd in een virtuele omgeving en/of met Auto-Sandbox-beperkingen, dan wordt er bij het ontbreken van een toestaan- of weigeren-regel toestemming gegeven (vergelijkbaar met de optie “Geen waarschuwingen tonen : Verzoeken toestaan”). In een virtuele omgeving is er helemaal geen bescherming van bestanden en het register, zelfs niet met expliciet ingestelde beperkingen. Maar uiteraard wordt er een virtuele omgeving en/of Auto-Sandbox over dit programma en zijn onderliggende processen heen gelegd.

Programmarechten beheren via meldingen

Als u Alleen toestaan ​​of Blokkeren selecteert in een HIPS-waarschuwing, is die toestemming of blokkering alleen van toepassing op die specifieke bron. Als u bijvoorbeeld toestaat dat een toepassing het bestand C:\test\A.exe maakt, zal een poging om het bestand C:\test\B.exe te maken opnieuw resulteren in een waarschuwing. Om een ​​applicatie toe te staan ​​bestanden in de map C:\test te maken, moet u de regel bewerken via het CIS-instellingenvenster. Helaas bieden de waarschuwingen geen machtigingen voor mappen, sjablonen, groepen, enz.

Er is één uitzondering opgemerkt: als een programma via een waarschuwing de gebruikersinterface van een ander programma mag wijzigen, wordt er een regel gemaakt die dat programma toestaat vensterberichten naar alle toepassingen te sturen, niet alleen naar het opgegeven programma.

Via een waarschuwing kunt u echter een vooraf gemaakt beleid op de toepassing toepassen. Dit beleid wordt gemaakt op het tabblad HIPS > Regelsets. Het vooraf ingestelde “Windows System Application”-beleid staat elke activiteit toe, het “Allowed Application”-beleid staat elke activiteit toe, maar reguleert niet de lancering van onderliggende processen; Het beleid voor geïsoleerde applicaties verbiedt ten strengste elke activiteit; Het Restricted Application-beleid schakelt vrijwel alles uit, behalve vensterberichten en de monitor, en reguleert niet het starten van onderliggende processen. U kunt niet alleen uw eigen beleid maken, maar ook vooraf ingestelde beleid wijzigen.

Machtigingen, beperkingen en beleid die via waarschuwingen aan een applicatie worden toegewezen, hebben verschillende effecten, afhankelijk van of de optie "Onthoud mijn keuzes" is ingeschakeld in de waarschuwing. Als u deze optie inschakelt en de optie “Toestaan” of “Alleen blokkeren” selecteert, verandert de set regels die aan deze applicatie is toegewezen: deze wordt toegevoegd om precies een specifieke bron (bestand, interface, enz.) toe te staan ​​of te blokkeren. Als u de optie "Onthoud mijn keuze" inschakelt en er een selecteert aantal regels— er zullen geen nieuwe regels aan de oude worden toegevoegd, maar deze volledig vervangen; die. de regels die eerder aan deze applicatie waren toegewezen, zijn niet langer van toepassing. Als er geen HIPS-regel voor deze toepassing bestaat, wordt deze bovenaan de lijst aangemaakt.

Als u de optie ‘Onthoud mijn keuzes’ in een waarschuwing uitschakelt, vervallen de machtigingen, beperkingen of beleidsregels die aan een applicatie zijn toegewezen wanneer de applicatie wordt beëindigd of zelfs eerder, en zullen er geen wijzigingen in de regels plaatsvinden. Om de logica van hoe deze tijdelijke regels werken te begrijpen, is het handig om je voor te stellen dat elke keer dat er op een waarschuwing wordt gereageerd (zonder dat je het onthoudt), er een ‘fantoom’-item wordt aangemaakt in de lijst met HIPS-regels. Alle "fantoom"-items bevinden zich onder de "echte" items in de lijst met regels, maar nieuwe "fantoom"-items bevinden zich boven andere "fantoom"-items. Dit betekent dat aan dezelfde applicatie meerdere keren verschillende beleidsregels kunnen worden toegewezen via waarschuwingen (zonder dit te onthouden), en dat al deze beleidsregels van kracht zullen zijn. In dit geval zullen de “echte” regels de hoogste prioriteit hebben, daarna de meest recente van de “fantoomregels”, dan de eerdere, enz. Maar zodra er een “echte” regel (met memorisatie) wordt gecreëerd, zullen alle “fantoom”-regels voor alle toepassingen worden vernietigd.

Laten we bijvoorbeeld het beleid ‘Geïsoleerde applicaties’ aan een programma toewijzen, zonder het te onthouden. Standaard mag de groep Alle toepassingen tijdelijke bestanden wijzigen, dus dit programma kan dit nog steeds doen, ook al verhindert het beleid voor geïsoleerde toepassingen dit. Als u dit beleid toewijst met onthouden, is het wijzigen van tijdelijke bestanden verboden, omdat er bovenaan de lijst een nieuwe HIPS-regel wordt aangemaakt.

Programmastartcontrole

De mogelijkheid om elk programma uit te voeren wordt in HIPS gespecificeerd door een regel voor lancering programma, niet voor het programma dat wordt gelanceerd. In de “Paranoid-modus” is het stilzwijgend uitvoeren van programma’s alleen toegestaan ​​als er expliciete toestemming in de regels staat (voor ). In de “Veilige modus” is het opstarten, bij gebrek aan een regel, toegestaan ​​als zowel het startende als het gelanceerde programma een “vertrouwde” reputatie hebben.

Laten we er dus van uitgaan dat in de "Veilige modus" HIPS het programma parent.exe actief is en probeert het programma child.exe te starten. Als er geen aanvullende regels zijn, zal het opstarten alleen stil plaatsvinden als beide programma's worden vertrouwd. Als het programma child.exe niet is geïdentificeerd en de HIPS-regels voor het programma parent.exe (of de groep die het programma bevat) geen toestemming hebben om het programma child.exe (of de groep die het bevat) uit te voeren, dan ongeacht de HIPS regels voor het programma child.exe zelf en ongeacht de beoordeling van het programma parent.exe, zal er vóór het starten een waarschuwing verschijnen (en specifiek met betrekking tot het programma parent.exe).

Om de uitvoering van een niet-geïdentificeerd programma mogelijk te maken, is het dus niet voldoende om er zelf toestemmingsregels voor in te stellen: het bovenliggende proces, of, als alternatief, de groep "Alle toepassingen", heeft toestemming nodig om het te starten.

Als u wilt voorkomen dat het programma start, moet u, nadat u een melding over het bovenliggende proces heeft ontvangen, de onthoudoptie uitschakelen en “Blokkeren” > “Alleen blokkeren” selecteren.

Aandacht! Het item 'Uitvoering blokkeren en voltooien' in de melding over de lancering van het programma betekent afsluiten ouderproces. Als u in deze melding een beleid (d.w.z. een set regels) selecteert, wordt dit specifiek aan het bovenliggende proces toegewezen. Dienovereenkomstig zal het inschakelen van de optie "Onthoud mijn selectie" in een dergelijke waarschuwing resulteren in het maken/wijzigen van een HIPS-regel voor het bovenliggende proces. Een typische fout die gebruikers maken, is het kiezen van een beleid in de melding over het programma dat door Explorer wordt gestart. De juiste handelwijze is om eerst alleen de lancering toe te staan ​​en het beleid te selecteren in de daaropvolgende melding over de eigen activiteit van het programma.

Het is belangrijk om te weten dat, in tegenstelling tot Auto-Sandbox, in HIPS het onderliggende proces de beperkingen van het bovenliggende proces niet overneemt: als een dubieus programma een programma met machtigingen uitvoert, komt de veiligheid in gevaar.

De mogelijkheid om elk programma uit te voeren wordt niet alleen bepaald door HIPS-regels, maar ook door . De lancering wordt geblokkeerd als ten minste één van deze componenten dit vereist. Als het starten is toegestaan ​​volgens de HIPS-regels, en de Auto-Sandbox-regels vereisen dat dit programma wordt geïsoleerd, zal het afzonderlijk worden gestart.

Er zijn bepaalde uitzonderingen op de beschreven procedure. De eerste uitzondering betreft programma's die al in een sandbox zijn geplaatst. De onderliggende processen van deze programma's worden op dezelfde manier geïsoleerd en zijn niet onderworpen aan verschillende Auto-Sandbox-regels. Er zullen geen HIPS-meldingen zijn over de lancering ervan: blokkering zal alleen plaatsvinden als er een expliciete verbodsregel voor HIPS is. Met andere woorden, de werking van HIPS voor dergelijke programma's is vergelijkbaar met het inschakelen van de optie "Geen waarschuwingen weergeven: verzoeken toestaan".

Een andere uitzondering vormen programma's die installatierechten hebben. Hun onderliggende processen houden zich niet aan de Auto-Sandbox-regels (dit is gedrag) en genereren geen HIPS-waarschuwingen. Ze zijn alleen onderworpen aan expliciete verboden in de HIPS-regels, zoals de ingeschakelde optie "Geen waarschuwingen weergeven: verzoeken toestaan" (dit gedrag kan niet worden geconfigureerd).

De derde uitzondering zijn programma's die de actieregel “Negeren” hebben in Auto-Sandbox met de optie “ ” uitgeschakeld. Dergelijke programma's worden eenvoudigweg uitgesloten van de controle van Auto-Sandbox, samen met hun onderliggende processen. Op hen zijn zoals gebruikelijk de HIPS-regels van toepassing.

Automatische creatie van HIPS-regels in “Leermodus” en “Veilige modus”

In bepaalde modi worden HIPS-regels automatisch gemaakt:

• als de “Leermodus” is ingeschakeld en de optie “Geen meldingen weergeven” is uitgeschakeld of is ingesteld op de modus “Verzoeken blokkeren”, wordt de activiteit van alle applicaties gemonitord en worden er regels gemaakt die elk van hun gedetecteerde acties toestaan;
• Als “Veilige modus” is ingeschakeld, de optie “Regels maken voor beveiligde applicaties” is ingeschakeld en de optie “Geen meldingen weergeven” is uitgeschakeld of is ingesteld op “Verzoeken blokkeren”, worden er regels gemaakt die elke gedetecteerde actie van vertrouwde applicaties.

In de meeste gevallen zijn deze modi niet nuttig en worden ze alleen gebruikt voor het testen of ter voorbereiding op het overschakelen naar de paranoïde modus.

Regels voor een programma (in de “Leermodus” of vertrouwd in de “Veilige modus”) worden als volgt gemaakt:

Het type nieuwe regel is afhankelijk van de gevraagde actie:

• Wanneer het ene programma een ander programma uitvoert, wordt er voor het eerste een regel gemaakt die toestaat dat het specifieke programma wordt uitgevoerd.
• Wanneer een programma een bestand of registersleutel wijzigt die wordt vermeld op het tabblad HIPS > Beschermde objecten, hangt het type regel af van de manier waarop de bronsjabloon is geschreven.
  • Als er aan het einde van het patroon een teken | , dan wordt er een regel gemaakt die wijzigingen toestaat die specifiek betrekking hebben op het object waartoe het programma toegang heeft gehad. Het programma maakt bijvoorbeeld een text.txt-bestand op het bureaublad. Het komt overeen met het patroon " ?:\Users\*\Desktop\*| " Dit betekent dat er een regel wordt aangemaakt die wijzigingen in het bestand C:\Users\Name\Desktop\text.txt toestaat.
  • Als er geen | aan het einde van het patroon staat , dan wordt er een regel gemaakt die het mogelijk maakt om elk object volgens deze sjabloon te wijzigen. Het programma maakt bijvoorbeeld het bestand D:\prog.exe aan. In de lijst met beveiligde objecten komt dit bestand overeen met de *.exe-sjabloon. Dit betekent dat er een regel wordt aangemaakt waarmee dit programma alle exe-bestanden kan wijzigen.
• Wanneer een programma toegang krijgt tot een van de volgende bronnen, worden er automatisch regels gemaakt waarmee het programma tegelijkertijd toegang heeft tot alle bronnen:
  • "Beveiligde COM-interfaces"
  • "Windows-hooks en applicatiehooks"
  • "Interprocesgeheugentoegang"
  • "Applicatieonderbreking"
  • "DNS-query's"
  • "Schijf" (directe toegang),
  • "Toetsenbord",
  • "Monitor".

Doorgaans valt de feitelijke werkwijze van HIPS samen met de beschreven procedure, maar er doen zich verschillende afwijkingen voor. Soms worden HIPS-regels bijvoorbeeld automatisch aangemaakt, zelfs voor programma's die met installatiebevoegdheden draaien; dit werd waargenomen toen Auto-Sandbox was uitgeschakeld. Er was ook een situatie waarin de regels voor het programma, gemaakt in de ‘Leermodus’, niet de toegang registreerden tot alle bestandsobjecten die erdoor werden aangevraagd in de ‘Paranoïde modus’.

Toepassingen identificeren aan de hand van hun paden

Expliciete regels houden alleen rekening met het pad naar het programma. De integriteit ervan, of beter gezegd, de beoordeling ervan wordt alleen gecontroleerd als er geen regels zijn in de “Veilige modus”. In plaats van een uniek pad kunt u op vergelijkbare wijze sjablonen en omgevingsvariabelen gebruiken, evenals de bestandsgroepen zelf.

Voorheen werd soms waargenomen dat HIPS, na het hernoemen of verplaatsen van een programma, waarnam dat het zich op dezelfde plek bevond. Dit kwam tot uiting in het feit dat voor dit programma de regels van kracht waren, waar het langs het oude pad was geschreven, en de regels met het nieuwe pad niet van toepassing waren. Het probleem werd opgelost door opnieuw op te starten.

Vanwege het feit dat HIPS-regels padgebaseerd zijn, is de optie ‘Regels maken voor veilige applicaties’ gevaarlijk. Als het bijvoorbeeld is ingeschakeld en Explorer voert het vertrouwde (ondertekende) programma C:\myDownloads\test.exe uit, dan zal HIPS “Veilige modus” automatisch regels maken; en een andere keer zal er iets anders verschijnen in plaats van test.exe. Daarom raad ik aan deze optie uit te schakelen.

Procesbescherming

In het venster met HIPS-regels voor een applicatie kunt u niet alleen de eigen activiteit van de applicatie beperken, maar ook de impact van andere programma's op de werking ervan. Om dit te doen, selecteert u op het tabblad "Beveiligingsinstellingen" welke acties met deze applicatie worden geblokkeerd, en in het uitzonderingenvenster (de knop "Wijzigen") welke programma's dit mogen doen. Er zijn hier geen meldingen - alleen toestemming of verbod, ongeacht de beoordeling. Een op deze manier verboden actie wordt geblokkeerd, ongeacht de regels en beoordelingen van andere programma's.

Met behulp van deze functie beschermt CIS zichzelf in het bijzonder tegen het ontladen van zijn processen en geheugentoegang. Daarom is het raadzaam om, zelfs wanneer HIPS niet nodig is, dit in ieder geval in te schakelen met de optie “Geen waarschuwingen tonen: verzoeken toestaan” (in de “Veilige” of “Paranoïde” modus).

Een neveneffect van CIS-zelfverdediging is een groot aantal vermeldingen in het Protection Events+-logboek bij het gebruik van sommige programma's, bijvoorbeeld ProcessExplorer. U kunt onnodige vergrendelingen elimineren door individuele toepassingen toegang te geven tot het CIS-geheugen.

Ik merk op dat de bescherming tegen applicatieonderbreking op zichzelf niet alle manieren omvat om een ​​proces te ontladen. Veel toepassingen (maar niet CIS-processen) kunnen dus worden beëindigd via vensterberichten (bijvoorbeeld door System Explorer) of via geheugentoegang. Om een ​​applicatie tegen dergelijke beëindigingsmethoden te beschermen, moet u de regels op het tabblad "Beschermingsinstellingen" niet alleen het item "Applicatieonderbreking" controleren, maar ook de items "Vensterberichten" en "Interprocess Memory Access".

De procesonderbrekingsmethode van Process Hacker kan CIS zelfs ontladen. Om het gebruik van deze methode te verbieden, kunt u de HIPS-regel voor de groep "Alle toepassingen" wijzigen: klik in het item "Beveiligde COM-interfaces" op "Bewerken" en voeg de regel LocalSecurityAuthority.Restore toe aan het tabblad "Geblokkeerd". Het wordt echter niet aanbevolen om dit verbod in te voeren, omdat dit problemen zal veroorzaken bij het updaten van Windows.

Installateursrechten

De betekenis van installateursrechten

Onder bepaalde omstandigheden krijgt de applicatie installatierechten, die als volgt zijn:

1. HIPS staat een dergelijke toepassing alles toe wat niet expliciet in de regels verboden is, d.w.z. werkt vergelijkbaar met de modus “Geen waarschuwingen weergeven: verzoeken toestaan”;
2. Auto-Sandbox isoleert geen programma's die door deze applicatie worden gestart;
3. terwijl deze applicatie actief is, worden de onderliggende processen (evenals hun onderliggende processen, etc.) uitgevoerd met installatiebevoegdheden;
4. uitvoerbare bestanden die deze toepassing maakt (of onderliggende processen die de rechten ervan overnemen) worden automatisch toegevoegd aan de vertrouwde lijst (behalve scripts en bestanden die groter zijn dan 40 MB).

Bestanden worden alleen automatisch toegevoegd aan vertrouwde bestanden als de optie “Vertrouw toepassingen geïnstalleerd met vertrouwde installatieprogramma's” is ingeschakeld op het tabblad “Bestandsbeoordeling” > “Instellingen voor bestandsbeoordeling”. Ook worden in sommige speciale gevallen installatiebevoegdheden aan applicaties gegeven in een "ingekorte" vorm: zonder , ondanks de opname van deze optie.

Houd er ten slotte rekening mee dat wanneer het installatieprogramma wordt afgesloten, de onderliggende processen hun overgenomen rechten zullen verliezen en dat HIPS deze op de normale manier zal beheren. En hun verdere onderliggende processen zullen onder de controle van Auto-Sandbox vallen.

Laten we zeggen dat installatieprogramma "A" proces "B" start en "B" proces "C" start. Dit heeft doorgaans tot gevolg dat proces "C" installatiebevoegdheden verkrijgt en deze behoudt zolang programma "A" actief is, zelfs nadat proces "B" is beëindigd. Maar nadat programma "A" is beëindigd, verliest proces "C" deze privileges.

Vergeleken met de privileges van het installatieprogramma is overerving “betrouwbaarder”: het blijft onderliggende processen beïnvloeden, zelfs nadat alle bovenliggende processen zijn beëindigd. (Er is echter een bug opgemerkt: de overname van deze regel wordt beëindigd als er gedurende 2 minuten niet op de HIPS-waarschuwing wordt gereageerd voordat het onderliggende proces wordt gestart.)

Een programma verkrijgt op verschillende manieren installatiebevoegdheden: hetzij wanneer , of wanneer (als het programma niet geïdentificeerd is en een installatieattribuut heeft), of wanneer , of wanneer , of wanneer het programma deze bevoegdheden overneemt van het bovenliggende proces. Er kunnen alleen installatierechten aan het programma worden verleend als het wordt uitgevoerd in een live-omgeving zonder Auto-Sandbox-beperkingen. Als het programma geïsoleerd wordt gelanceerd, krijgt het deze privileges niet, ondanks eventuele tekenen en regels.

Het automatisch toekennen van rechten aan een applicatie-installatieprogramma

Een toepassing krijgt automatisch installatierechten als deze wordt vertrouwd en . Deze status wordt toegewezen aan toepassingen die beheerdersrechten vragen bij het opstarten en enkele andere.

In eerdere versies van CIS kreeg een programma alleen automatisch installatierechten als proactieve beschermingsbeperkingen afhankelijk waren van de beoordeling van het programma. Als een programma werd uitgesloten van Auto-Sandbox en een volledig gedefinieerd HIPS-beleid werd toegewezen (zoals System Application), kreeg het geen installatierechten. In CIS 8 worden installatiebevoegdheden gegeven, zelfs als HIPS en Auto-Sandbox zijn uitgeschakeld. De enige waargenomen situatie waarin een programma de status van een vertrouwd installatieprogramma heeft, is als de beperkingen in HIPS niet afhankelijk zijn van de classificatie en de Auto-Sandbox-regels het uitsluiten van isolatie ouderlijk proces samen met zijn kinderen.

Installateurrechten toewijzen via HIPS-waarschuwingen en regels

Installateursrechten kunnen via HIPS expliciet aan een programma worden toegewezen: ze worden toegewezen aan het installatie- of updatebeleid.

Wanneer er een HIPS-waarschuwing optreedt met betrekking tot de activiteit van een applicatie, kunt u in het waarschuwingsvenster het gewenste beleid selecteren, met of zonder herinnering.

Als u de onthoudoptie aanvinkt en het beleid 'Installeren of bijwerken' selecteert, wordt de bijbehorende HIPS-regel aangemaakt en krijgt de applicatie installatierechten. Als u dit beleid selecteert zonder de onthoudoptie, wordt de regel niet gemaakt en ontvangt de toepassing een “ingekorte” versie van de installatierechten: zonder automatisch gemaakte bestanden toe te voegen aan vertrouwde bestanden (tijdelijk een “niet-geïdentificeerd installatieprogramma” starten zonder Auto -Sandbox-beperkingen).

Via het CIS-configuratievenster kunt u vooraf een installatie- of updatebeleid aan een applicatie toewijzen in de HIPS-regellijst. Het is duidelijk dat de applicatie in dit geval installatierechten krijgt zonder voorafgaande kennisgeving en volledig.

Algemene kenmerken en parameters van proactieve bescherming

Laten we eens kijken naar de opties die van invloed zijn op de werking van proactieve bescherming als geheel: zowel HIPS als Auto-Sandbox.

Diverse proactieve beveiligingsopties

De optie Verbeterde beschermingsmodus inschakelen op het tabblad HIPS-configuratie is ontworpen om te voorkomen dat proactieve bescherming wordt omzeild op 64-bits versies van Windows en moet op dergelijke systemen worden gecontroleerd. Maar tegelijkertijd omvat het ondersteuning voor hardwarevirtualisatie, wat conflicten met virtuele machines bedreigt.

De optie "Bedrijfsmodus aanpassen wanneer de systeembronnen laag zijn" is alleen nodig als er onvoldoende RAM is. Wanneer ingeschakeld, gebruikt CIS geheugenbesparende technieken om te voorkomen dat de taken vastlopen. Dit vermindert echter de productiviteit.

De optie “Blokkeer onbekende verzoeken als de applicatie niet actief is” is alleen bedoeld voor geïnfecteerde systemen en wordt niet aanbevolen voor constant gebruik, omdat deze voorkomt dat veilige applicaties correct opstarten. Als deze optie is ingeschakeld, worden alle programma's, ongeacht hun classificatie, geblokkeerd voor elke andere activiteit dan wat expliciet is toegestaan ​​in de HIPS-regels, totdat de CIS GUI is geladen. Met andere woorden: voordat de GUI wordt geladen, zal het gedrag van HIPS vergelijkbaar zijn met de “Paranoïde modus” met de optie “Geen waarschuwingen tonen: verzoeken blokkeren”. Er vindt geen blokkering plaats als HIPS is uitgeschakeld of ingeschakeld met de optie 'Geen waarschuwingen weergeven: verzoeken toestaan'.

Tot de algemene parameters van proactieve bescherming behoort ook de optie 'Vertrouw op toepassingen die zijn geïnstalleerd met behulp van vertrouwde installatieprogramma's' op het tabblad 'Bestandsbeoordeling instellen'.

Een andere optie die de werking van proactieve bescherming beïnvloedt, hoewel deze zich in een andere sectie bevindt, is ‘Maximale bestandsgrootte’ op het tabblad ‘Antivirusmonitoring’. Als een bestand niet is ondertekend door een vertrouwde provider en de grootte ervan groter is dan de opgegeven grootte, wordt dit bestand als niet-geïdentificeerd beschouwd, zelfs als u het handmatig aan de vertrouwde lijst toevoegt. De standaardgrootte is 40 MB. Deze grootte kan worden vergroot, maar niet worden verkleind. Als het bestand is ondertekend door een vertrouwde provider, is deze beperking niet van toepassing.

De parameters die zijn ingesteld in de sectie HIPS > Beschermde objecten zijn niet alleen belangrijk voor HIPS, maar ook voor Auto-Sandbox. Dus als de applicatie actief is, worden precies die bestanden en registersleutels beschermd die op de overeenkomstige tabbladen van deze sectie staan ​​vermeld. Voor toepassingen die in een virtuele omgeving draaien, zijn de instellingen in deze sectie ook belangrijk: de inhoud van de mappen vermeld op het tabblad “Mappen met beveiligde gegevens” zal verborgen zijn.

Voor objecten die zijn opgenomen in de lijst “HIPS” > “Beveiligde objecten” > “Geblokkeerde bestanden” wordt elke toegang geweigerd, inclusief zowel schrijven als lezen. Deze lijst bevat paden en bestandspadpatronen. De blokkering werkt alleen als HIPS is ingeschakeld.

Ik noem een ​​speciaal geval: de “Clean PC” -modus. Formeel verwijst deze modus naar HIPS, maar in werkelijkheid bepaalt deze de werking van alle proactieve bescherming. Als u deze modus inschakelt, worden alleen bestanden die vervolgens op de schijf verschijnen als “niet-geïdentificeerd” beschouwd. Bestanden die op de schijf aanwezig waren voordat deze modus werd ingeschakeld, krijgen vertrouwde rechten: zowel HIPS, Auto-Sandbox als de firewall zullen deze “oude” bestanden waarnemen alsof ze op de vertrouwde lijst staan. , dat de “Clean PC”-modus bepaalde problemen kent en niet wordt aanbevolen voor gebruik.

Functies voor bestandsbeveiliging

Zoals reeds vermeld, zijn alleen de bestanden die zijn opgenomen in de lijst “HIPS” > “Beveiligde objecten” > “Beveiligde bestanden” onderworpen aan bescherming met behulp van HIPS of Auto-Sandbox (bij afwezigheid van virtualisatie). U kunt jokertekens (* en ?) en omgevingsvariabelen (%temp%, %windir%, etc.) gebruiken om deze bestanden op te geven, net als .

Ik zou graag de eigenaardigheid willen opmerken van het gebruik van sjablonen bij het beveiligen van mappen. Als u een map opgeeft via de CIS-interface, wordt deze doorgaans als sjabloon geschreven: D:\Docs\* . Dit type sjabloon komt overeen met bestanden en mappen in de geselecteerde map D:\Docs, evenals in de submappen ervan. Het toevoegen van dit sjabloon aan de lijst met beveiligde bestanden betekent dat de bijbehorende bestanden en mappen worden beschermd tegen wijziging en wijziging. De geselecteerde Documenten-map zelf wordt echter niet beschermd tegen hernoemen. Als u de naam ervan wijzigt, wordt de inhoud ervan niet langer beschermd. Om te voorkomen dat een map wordt hernoemd, moet u deze zonder een schuine streep en een sterretje aan het einde schrijven: D:\Docs. Om de map en de inhoud ervan volledig te beschermen, moeten er dus twee regels aan de beschermde lijst worden toegevoegd: D:\Docs\* en D:\Docs . (Een optie met één regel is mogelijk - laat een asterisk aan het einde staan, maar zonder schuine streep: D:\Docs*. Maar een dergelijk patroon beschermt tegelijkertijd de mappen D:\Docs, D:\Docs2, enz.)

In de lijst HIPS > Beschermde items > Beschermde bestanden hebben veel van de sjablonen een | . Het gebruik van dit merkteken heeft invloed op de beperkingen die worden opgelegd door Auto-Sandbox. Als een programma in Auto-Sandbox draait met beperkingen zonder virtualisatie, dan is het verboden om bestanden te maken, verwijderen of wijzigen die zijn gespecificeerd door patronen met de | aan het einde. Bestanden die zijn gespecificeerd door patronen zonder de | zal uiteindelijk ook worden beschermd tegen wijzigingen, maar een programma dat wordt beperkt door Auto-Sandbox mag dergelijke bestanden maken, en de door het programma gemaakte bestanden verwijderen (maar niet wijzigen). Een programma dat wordt uitgevoerd met het beperkingsniveau Gedeeltelijk beperkt, mag bijvoorbeeld standaard uitvoerbare bestanden maken in de map %PROGRAMFILES%, maar mag geen uitvoerbare bestanden maken in de opstartmap. Ik wil benadrukken dat het symbool | Het is Auto-Sandbox in modi zonder virtualisatie die de beperkingen beïnvloedt. Bij bescherming met HIPS is het maken, verwijderen en wijzigen van bestanden verboden, ongeacht de aanwezigheid van de | in hun sjablonen.

Er is een probleem met het opgeven van paden op verwisselbare apparaten. Formeel kunt u een HIPS-, Auto-Sandbox- of andere componentregel maken met behulp van een pad naar een verwijderbaar apparaat zoals H:\Docs\* , maar zo'n regel zal niet werken: CIS accepteert geen verwijderbare schijfletters. Op verwisselbare media werken echter regels die niet aan een stationsletter zijn gekoppeld, bijvoorbeeld het beschermen van exe-bestanden. Aan de andere kant is het nog steeds mogelijk om Auto-Sandbox-regels te maken die specifiek worden uitgevoerd voor programma's die zich op verwisselbare media bevinden. Er wordt een voorbeeld van een dergelijke regel gegeven.

Net als bij verwisselbare apparaten werkt CIS niet correct met netwerkstationletters: gegevens op het netwerkstation Y: komen mogelijk niet overeen met het patroon Y:\* , of zelfs ?:\* . In plaats van sjablonen met een netwerkstationletter kunt u sjablonen gebruiken zoals \\netwerkbronnaam* - experimenten hebben aangetoond dat ze correct werken. Om gegevens op Yandex.Disk, verbonden als een netwerkstation via het WebDAV-protocol, te beschermen, kunt u met name de regel \\webdav.yandex* toevoegen aan de lijst "Beveiligde objecten"> "Beveiligde bestanden".

Er moet ook worden gezegd dat CIS niet alleen fysieke bestanden als 'bestanden' beschouwt, maar ook verschillende systeemobjecten, bijvoorbeeld fysieke of virtuele apparaten. Enerzijds biedt dit configuratieflexibiliteit. Aan de andere kant, onthoud dat. Daarom zullen dergelijke objecten niet worden beschermd tegen virtueel draaiende programma's, zelfs als er strikte verboden zijn in de HIPS-regels.

Functies voor registerbeveiliging

Net als bij bestanden worden alleen de registersleutels die worden vermeld in de lijst HIPS > Beschermde objecten > Registersleutels beschermd met behulp van HIPS en Auto-Sandbox.

Bij het instellen van registersleutels kunt u registerpadpatronen schrijven met behulp van de * en? .

Neem bijvoorbeeld de tekenreeks *\Software\Microsoft\Windows\CurrentVersion\Run* . De * aan het begin betekent dat het zowel de systeemregistersleutel HKEY_LOCAL_MACHINE als de HKEY_CURRENT_USER-sleutel van elke gebruiker afzonderlijk omvat. Houd er rekening mee dat de * aan het einde van deze regel niet wordt gescheiden door een schuine streep. Dit betekent dat de regel beide subsecties omvat: Run en RunOnce. De betekenis van deze specifieke regel is om tegelijkertijd verschillende soorten autoload te beschermen: zowel algemene autoload als gebruikersautoload; zowel permanent als eenmalig.

De registergroepen die vooraf in CIS zijn geïnstalleerd, gebruiken de afgekorte sleutelnamen: HKLM, HKCU en HKUS. Ook bij het opgeven van registerpaden via de CIS-interface worden deze afkortingen automatisch vervangen. In werkelijkheid werken HIPS-regels die registersleutels afkorten echter mogelijk niet. Daarom moet u altijd de volledige namen van registersleutels opgeven: bijvoorbeeld niet HKCU\SOFTWARE\Policies\* , maar HKEY_CURRENT_USER\SOFTWARE\Policies\* . U moet ook de paden in de vooraf gedefinieerde groepen op het tabblad HIPS-groepen > Registergroepen corrigeren:

• vervang HKLM door HKEY_LOCAL_MACHINE
• vervang HKCU door HKEY_CURRENT_USER
• vervang HKUS door HKEY_USERS

Uit mijn observaties blijkt dat CIS de afkortingen van het hoofdregister niet correct begrijpt in gevallen waarin het opgegeven pad een link is en geen "echte" locatie in het register. Voorbeelden van dergelijke koppelingspaden zijn HKLM\SYSTEM\CurrentControlSet\* , HKCU\* .

Een mogelijke optie voor het opgeven van de sectie HKEY_CURRENT_USER is de sjabloon HKEY_USERS*. U kunt een deel van de gebruikers-ID aan deze sjabloon toevoegen. De regel HKEY_USERS*1002\SOFTWARE\Policies\* specificeert bijvoorbeeld de vertakking SOFTWARE\Policies van de sectie HKEY_CURRENT_USER voor één specifieke gebruiker. Deze techniek kan worden gebruikt om te voorkomen dat een beperkte gebruiker het opstarten, koppelingen en andere parameters wijzigt.

Voor een gemakkelijke en visuele creatie van regels wordt het aanbevolen om registergroepen te gebruiken:

• open het tabblad “HIPS” > “HIPS-groepen” > “Registergroepen” en maak een nieuwe groep aan via het contextmenu;
• voeg registersleutels toe aan deze groep en bewerk indien nodig de paden;
• open het tabblad “HIPS” > “Beveiligde objecten” > “Registersleutels” en voeg een nieuwe groep toe aan de lijst;
• Stel op het tabblad “HIPS-regels” de benodigde machtigingen en beperkingen in met behulp van groepen.

Leesbeveiliging

U kunt gegevens niet alleen beschermen tegen wijzigingen, maar tot op zekere hoogte ook tegen het lezen door bepaalde applicaties. Gebruik hiervoor het tabblad ‘HIPS’ > ‘Beveiligde objecten’ > ‘Mappen met beveiligde gegevens’. Mappen die aan de lijst op dit tabblad zijn toegevoegd, zijn als volgt beveiligd:

• programma's die actief zijn, beschouwen deze mappen vrijwel als leeg;
• Het is verboden voor programma's die in een echte omgeving draaien met Auto-Sandbox-beperkingen door de inhoud van deze mappen te bladeren;
• Programma's waarvan de schijfbron is geblokkeerd met behulp van HIPS mogen de inhoud van deze mappen niet bekijken (maar het blijft mogelijk om de bestanden die ze bevatten te openen).

Ik zou willen benadrukken dat wanneer virtualisatie wordt gebruikt, beveiligde mappen door geïsoleerde applicaties als leeg zullen worden beschouwd, en hun bestanden als niet-bestaand. Als het programma alleen wordt beperkt door HIPS, kan het bestanden openen door hun paden te ‘kennen’.

Via de CIS-interface kunt u aan de lijst met "Mappen met beveiligde gegevens" alleen die mappen toevoegen die zichtbaar zijn in Verkenner. Als u gegevens in een verborgen map wilt beschermen, moet u tijdelijk toestaan ​​dat verborgen bestanden en mappen worden weergegeven in Verkenner (bijvoorbeeld via het Configuratiescherm).

Met de CIS-interface kunt u alleen ondubbelzinnige mappaden toevoegen aan de lijst “Beveiligde gegevensmappen”, maar geen patronen zoals *\ReadProtected\* . Een poging om een ​​sjabloon aan deze lijst toe te voegen door het configuratiebestand te bewerken, kan tot een BSOD leiden.

U moet mappen die zich alleen op lokale schijven bevinden, toevoegen aan de lijst met "Mappen met beveiligde gegevens". Formeel kunt u verwisselbare media of virtueel gecodeerde schijven aan deze lijst toevoegen, maar de bescherming ervan werkt in de regel niet.

Deze bescherming kan volledig worden omzeild door applicaties die als beheerder worden uitgevoerd. Dergelijke toepassingen kunnen de inhoud van de beschermde map zien en de gegevens daarin lezen, zelfs als de toegang tot de schijf is geblokkeerd, zelfs als ze in een virtuele omgeving draaien en zelfs als ze in een sandbox in Auto-Sandbox staan. als 'Gedeeltelijk beperkt' of 'Verdacht'. Ik raad ten zeerste aan om UAC ingeschakeld te houden.

Bescherming van procesgeheugen

CIS kan voorkomen dat sommige processen het geheugen van anderen veranderen. Het is dus verboden voor programma's die virtueel worden uitgevoerd en/of met Auto-Sandbox-beperkingen het geheugen te wijzigen van processen die in de echte omgeving worden uitgevoerd. Aanvullende beperkingen op geheugenwijzigingen tussen processen zijn gespecificeerd in de HIPS-regels.

CIS beschermt het procesgeheugen tegen wijziging, maar niet tegen lezen. Zelfs als u de malware blokkeert voor toegang tot het geheugen tussen processen, en zelfs als u de malware virtueel uitvoert, kan deze gevoelige gegevens lezen uit het geheugen van processen die in de echte omgeving worden uitgevoerd. Ik merk op dat dit probleem niet alleen de virtuele Comodo Sandbox-omgeving treft, maar ook Sandboxie.

Tegelijkertijd voorkomt de bescherming tegen geheugenwijzigingen tussen processen het creëren van een geheugendump. Blijkbaar is het de opschorting van het proces die nodig is om een ​​dump te creëren verboden, maar niet het lezen van het geheugen zelf.

Commandoregelanalyse

Sommige soorten applicaties worden niet zelfstandig uitgevoerd, maar via tolkprogramma's. De uitvoering van bat-scripts wordt bijvoorbeeld uitgevoerd door de systeeminterpreter cmd.exe, de uitvoering van vbs-scripts door de systeeminterpreter wscript.exe, de uitvoering van jar-applicaties door het programma javaw.exe, dat deel uitmaakt van de Java virtuele machine, enz. Wanneer u een script (of een soortgelijke toepassing) uitvoert, wordt feitelijk het bijbehorende tolkprogramma uitgevoerd, waarbij het pad van het script als opdrachtregelargumenten wordt ontvangen.

CIS bewaakt de lancering van bepaalde tolken en past daarop de beperkingen toe die het bestand dat is opgegeven in de opdrachtregelargumenten heeft. Hierdoor worden sommige soorten scripts door CIS gezien als onafhankelijke applicaties: hun activiteit wordt beperkt door HIPS-regels of activeert waarschuwingen, en Auto-Sandbox isoleert het werk van scripts die niet vertrouwd worden. (Sommige kenmerken van Auto-Sandbox die met scripts werken, worden beschreven in het overeenkomstige artikel: onmogelijkheid of.) De scripts die ze uitvoeren worden ook weergegeven in plaats van de tolken.

Op de beschreven manier wordt het starten en de activiteit van verschillende soorten applicaties bestuurd: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, * .jar, enz. Ze worden op dezelfde manier bestuurd als bibliotheekbestanden wanneer ze worden uitgevoerd door het systeemprogramma rundll32.exe.

Dit gedrag wordt ingesteld door de optie "Heuristische analyse op opdrachtregel uitvoeren voor specifieke toepassingen" op het tabblad "HIPS-configuratie", die standaard is ingeschakeld. Als u dit uitschakelt, worden scripts en soortgelijke toepassingen uitgevoerd met dezelfde rechten als hun tolken.

Er zat een bug in CIS 7: de lancering van scripts met lange paden werd niet gecontroleerd. De bug is opgelost in CIS 8.0. Bovendien was er in alle versies van 5.10 tot en met 8.1 een ernstige kwetsbaarheid bij het parseren van de opdrachtregel, waardoor het mogelijk werd om het ene programma uit te voeren met de rechten van een ander programma. Deze kwetsbaarheid is vrijwel geëlimineerd in CIS 8.2.

Shellcode-injectiebeschermingsoptie

Op het tabblad “HIPS-configuratie” is er een optie “Detecteer shell-code-injectie”. Zoals de naam al doet vermoeden, is het inschakelen ervan bedoeld om bufferoverflow-aanvallen te voorkomen.

De optie "Shellcode-injectie detecteren" heeft echter nog steeds invloed op de werking van CIS. Of beter gezegd: de lijst met uitzonderingen voor deze optie heeft effect, ongeacht of deze zelf is ingeschakeld. De volgende kenmerken worden waargenomen bij de werking van applicaties die zijn toegevoegd aan de uitsluitingslijst “shellcode-bescherming”:

Tegelijkertijd controleert HIPS applicaties die zijn uitgesloten van "shellcode-bescherming" voor het starten van programma's, toegang tot het geheugen van andere processen, het verzenden van vensterberichten, het wijzigen van bestanden en het register, toegang tot het toetsenbord en toegang tot de schijf. Als deze applicaties virtueel worden uitgevoerd (handmatig of op basis van Auto-Sandbox-regels), zouden bestands- en registerwijzigingen geen invloed moeten hebben op de echte omgeving.

Blijkbaar is het de implementatie van de guard(32|64).dll-bibliotheek die verantwoordelijk is voor de CIS-functies die niet werken voor applicaties die zijn uitgesloten van "shellcode-bescherming".

Soms kan het toevoegen van programma's aan uitzonderingen in de optie "Shellcode-injectie detecteren" sommige conflicten oplossen. Het wordt daarom doorgaans aanbevolen om de programmamap van VMware Player/Workstation, het Alcohol-programma, het programma en de bijbehorende sandbox-map aan deze uitzonderingen toe te voegen. Er was ook een conflict tussen CIS-versie 8.2.0.4674 en de Google Chrome-browser 45.0.2454.85, dat werd opgelost door het bestand chrome.exe toe te voegen aan de uitzonderingen voor deze optie.

Viruscope

Viruscope-waarschuwingen

Naast de belangrijkste proactieve beschermingstools - HIPS en Auto-Sandbox - is er een Viruscope-component ontworpen voor dynamische detectie van verdachte procesactiviteiten. Het moet gevaarlijk gedrag detecteren niet geïdentificeerd programma's en geeft u een waarschuwing waarin u wordt gevraagd de wijzigingen die door een specifiek programma en de onderliggende processen zijn aangebracht, terug te draaien, en het programma zelf te verwijderen.

Als de optie ‘Geen waarschuwingen weergeven’ is ingeschakeld op het tabblad ‘Viruscope’, worden programma’s verwijderd en worden de wijzigingen automatisch teruggedraaid (op dezelfde manier als u niet binnen 2 minuten op de waarschuwing reageert).

Wijzigingen handmatig terugdraaien

Het voltooien van programma's en het terugdraaien van de aangebrachte wijzigingen kan niet alleen worden gedaan wanneer verdachte activiteit wordt gedetecteerd, maar ook handmatig. Om dit te doen, start u de KillSwitch-taakbeheerder, roept u het contextmenu op voor het gewenste proces en selecteert u 'Procesboom beëindigen en aangebrachte wijzigingen ongedaan maken'. Het programmabestand wordt niet verwijderd. Dit KillSwitch-contextmenu-item is alleen beschikbaar als Viruscope is ingeschakeld.

Een andere manier om programma's handmatig te beëindigen en de aangebrachte wijzigingen ongedaan te maken, is via HIPS- en firewallwaarschuwingen. Wanneer Viruscope is ingeschakeld, verschijnt er een extra optie in deze waarschuwingen: “Blokkeer, voltooi de uitvoering en verwijder wijzigingen.” Wanneer u dit item selecteert, worden het in de waarschuwing gespecificeerde programma en alle onderliggende processen beëindigd en worden de aangebrachte wijzigingen geannuleerd; het programmabestand wordt niet verwijderd.

Activiteiten rapport

Wanneer Viruscope is ingeschakeld, verschijnt er een nieuw item in het contextmenu, opgeroepen vanuit het hoofdvenster van CIS: “Activiteit weergeven”. Als u erop klikt, wordt een venster geopend met een rapport over de activiteit van het geselecteerde programma en de onderliggende processen.

Wanneer Viruscope is ingeschakeld, verschijnt de knop 'Activiteit weergeven' ook in waarschuwingen van verschillende CIS-componenten. Als u erop klikt, wordt er ook een rapport geopend over de activiteit van het programma dat in de waarschuwing is opgegeven.

Het moet gezegd worden dat het presenteren van het activiteitenrapport in het CIS-venster verre van handig is. U kunt dit rapport echter via het contextmenu naar een XML-bestand exporteren en afzonderlijk bestuderen.

U kunt het activiteitenrapport ook bekijken via de KillSwitch-taakmanager: in het proceseigenschappenvenster, opgeroepen via het contextmenu, is er een tabblad "Procesactiviteit". KillSwitch presenteert dit rapport echter nog slechter dan CIS, en er is geen functie voor het exporteren naar een bestand.

Viruscope-controle beperken tot programma's in de sandbox

Standaard is in de configuratie "Proactieve beveiliging" op het tabblad "Viruscope" de optie "Gebruik Viruscope" ingeschakeld en is de optie "Viruscope-actie alleen toepassen op toepassingen in Sandbox" uitgeschakeld. In deze configuratie worden alle processen in de echte en virtuele omgeving gemonitord. Het werk van Viruscope specifiek voor deze modus wordt hierboven beschreven.

Als u de optie "Viruscope-actie alleen toepassen op applicaties in Sandbox" aanvinkt, wordt de activiteit van alleen die programma's die in een virtuele omgeving worden uitgevoerd of beperkt door Auto-Sandbox, gecontroleerd. Voor programma's die in een echte omgeving draaien zonder Auto-Sandbox-beperkingen, wordt de activiteit niet geregistreerd en wordt er daarom ook geen rapport over gegeven.

Na het inschakelen van deze optie zullen HIPS- en firewallwaarschuwingen echter nog steeds de optie "Blokkeren, uitvoering beëindigen en wijzigingen negeren" bevatten, en in het KillSwitch-contextmenu zal er een optie zijn "Procesboom beëindigen en aangebrachte wijzigingen ongedaan maken". In feite zal het selecteren van deze items de wijzigingen niet ongedaan maken, maar alleen het geselecteerde programma en de onderliggende processen beëindigen.

Herkenbaar beheer

Op het tabblad “Viruscope” wordt een bestand weergegeven op basis van de gegevens waarvan bepaalde applicatie-activiteit als verdacht wordt beschouwd. Dit bestand specificeert gedragspatronen die Viruscope-waarschuwingen moeten activeren. Als u de status van een dergelijk bestand instelt op uitgeschakeld, zal het overeenkomstige gedrag van applicaties niet leiden tot Viruscope-meldingen en -blokkeringen; De activiteiten van het monitoringprogramma zullen worden voortgezet.

Gebruiksbeperkingen en problemen van Viruscope

Viruscope staat niet toe dat u acties ongedaan maakt, zoals het verwijderen van bestanden van schijf. Ook kunnen wijzigingen die tijdens eerdere cycli van het verdachte proces zijn aangebracht, niet worden teruggedraaid. Het terugdraaien van de acties van een proces dat ten onrechte als gevaarlijk is aangemerkt, kan leiden tot gegevensverlies (dit risico doet zich voor in de modus 'Geen waarschuwingen weergeven').

In versie CIS 7 was er een ernstig probleem: wanneer Viruscope was ingeschakeld, vonden er onvoorspelbare crashes plaats in beveiligde applicaties. Deze fouten deden zich voor zonder dat er meldingen of vermeldingen in de CIS-logboeken waren, waardoor het moeilijk was de oorzaak te achterhalen. Blijkbaar werden de storingen veroorzaakt door procesobservatie zelf, en niet door de detectie van verdacht gedrag.

In CIS 8 komen de eerder bekende conflicten niet meer voor. Het probleem is mogelijk opgelost. Vanwege de ernst en de moeilijkheidsgraad van de detectie raad ik Viruscope echter nog steeds af. Rekening houdend met alle beperkingen zijn de beschermingsvoordelen van Viruscope klein.

Om Viruscope veilig te gebruiken, kunt u het inschakelen met de optie "Pas Viruscope-actie alleen toe op applicaties in Sandbox." Maar in dit geval zal het doel van Viruscope niet bescherming zijn, maar onderzoek naar de werking van applicaties die in een virtuele omgeving draaien.

Schakel JavaScript in om de