Каждый день появляются новые вирусы, шпионские программы, модули, показывающие рекламу. Работа без антивируса сродни самоубийству: если раньше вопрос звучал как «Заразишься или нет?», то теперь он звучит «Как быстро заразишься?». Чем активнее пользователь проводит время в Интернете, скачивает файлы, посещает сомнительные сайты, тем выше вероятность заражения компьютера. Особую опасность представляют файлы, полученные из обменных сетей. Именно эти сети, наряду со спамом, используются для распространения новых вирусов. И антивирусы в этом случае пасуют: в их базах ещё нет сигнатур, они пропускают скачанные файлы как «чистые». Лишь после запуска такого файла пользователь может по косвенным признакам (вдруг появившийся большой исходящий трафик, странные сообщения на экране, снижение производительности компьютера, запущенная программа не выполняет тех функций, для которых она была якобы создана и так далее) догадаться о заражении компьютера. Большинство пользователей ничего не заметят, а работающий антивирусный мониторинг создаст ложное чувство безопасности. Лишь через несколько часов, а иногда и дней, после того, как описание нового вируса будет добавлено в антивирусные базы, после того, как антивирус скачает и установит обновления, новый вирус, возможно, будет обнаружен. И только после этого начнётся лечение компьютера. А за эти дни или часы компьютер распространял новый вирус со скоростью подключения к Интернету, рассылал спам, использовался для исполнения атак на серверы, иначе говоря, был зомби, который пополнил армию таких же зомби, внеся ещё одну каплю хаоса в Сеть.

На данном этапе развития компьютерной техники мы подходим к пониманию того, что существующие сейчас технологии обнаружения вирусов, использование антивирусных баз с сигнатурами, не эффективно. При нынешних скоростях распространения файлов в Сети (обменные сети, спам) антивирусы всегда будут в роли догоняющих.

Совсем недавно автор этой статьи вручную вычищал компьютер от нового вируса, который не обнаруживался антивирусом, установленным на компьютере пользователя. Производителя антивируса, весьма известную во всём мире и успешную компанию, по понятным причинам называть не стану. После обнаружения библиотеки вируса она была проверена всеми доступными антивирусами со свежими базами описаний. Ни один, за исключением Dr.Web, не обнаружил в библиотеке ничего опасного. Тем не менее, вирус успешно собирал информацию об адресах посещаемых пользователем сайтов, его логины и пароли, вводимые на этих сайтах, а затем отправлял собранную информацию автору вируса. Судя по механизму заражения, компьютер был инфицирован при посещении какого-то сайта и, очень вероятно, что источником вируса был баннер, показанный на одной из страниц (изучение истории посещений в браузере не выявило в списке какого-либо криминала).

Ещё более удручающим выглядит заражение компьютера вирусом, который спамил на почтовые адреса домена Microsoft.com, открывал на прослушивание порт и сообщал своему автору IP и порт готового к использованию прокси-сервера. Перед открытием порта вирус в буквальном смысле сносил встроенный в Windows XP SP2 файрвол, удаляя в реестре всю информацию о его службе. После обнаружения библиотеки вируса она была проверена несколькими наиболее популярными антивирусами. Только Dr.Web и Антивирус Касперского опознали её как вирус. Два известных и популярных западных антивируса до сих пор не обнаруживают этот файл, не смотря на то, что, судя по информации из поисковых систем, первые сообщения об этом вирусе появились в Сети 4 месяца назад.

Таких примеров можно привести огромное количество. Уже сегодня есть понимание того, что у антивирусов в их нынешнем виде нет будущего. Это тупик. Разрыв по времени между появлением новых вирусов и добавлением их сигнатур в базы антивирусов будет только увеличиваться, что неизбежно приведёт к новым волнам вирусных эпидемий. Халатное отношение западных антивирусных компаний к поиску новых вирусов и добавлению их описаний в базы приводит к появлению у пользователя ложного чувства защищённости. В итоге, вред от такого «расслабления» пользователя может быть бо льшим, чем работа вообще без антивируса, когда пользователь сотню раз подумает, работать ли ему под учётной записью с правами администратора и открывать ли вложения из письма от неизвестного отправителя, предлагающего запустить приложенный файл.

Помимо самих вирусов активно распространяется несколько других типов зловредного программного обеспечения: шпионское – собирает и отправляет информацию о пользователе, рекламное – самостоятельно открывает окна браузера с рекламой и так далее. Это ПО не классифицируется как вирусы, поскольку оно не наносит прямого вреда ни компьютеру, ни данным. Тем не менее, при заражении пользователь испытывает дискомфорт и вынужден устанавливать в дополнение к антивирусу ещё один тип ПО для борьбы со spyware и adware. Этот тип ПО так же, как и антивирус, имеет свои базы описаний зловредных объектов, которые он ищет и уничтожает в системе.

Ровно такая же ситуация наблюдается и в борьбе со спамом. Если раньше, фактически, единственным средством борьбы были «черные списки» серверов или даже целых подсетей, из которых рассылался спам, то на сегодняшний день всё большее количество администраторов убеждается в том, что технология «черных списков» отживает своё. Она слишком медлительная, не гибкая, требует больших усилий от администратора списка на поддержание актуальности. Очень часто из-за двух-трёх спамеров, купивших диал-ап доступ для рассылок, в черный список попадают целые подсети провайдеров, после чего почта от пользователей из этих подсетей начинает помечаться как спам и фильтроваться получателями. В результате мы видим всё большее распространение интеллектуальных систем оценки содержимого писем. Систем, которые могут «прочитать» письмо, включая служебные заголовки, выполнить ряд проверок и вынести заключение: спам это или нет. Можно с уверенностью сказать о том, что через несколько лет данная технология борьбы со спамом полностью вытеснит использование чёрных списков.

Мы незаметно проигрываем в войне: появляются новые и новые угрозы, а вместо совершенствования и создания новых технологий борьбы с ними штампуется метод описания и распространения баз описаний.

К счастью, первые шаги для исправления ситуации предпринимаются, и появляется новый класс программ для комплексной защиты компьютера и от вирусов и от разного рода adware-spyware, который не использует в работе баз описаний. По аналогии с антиспамом, это некий интеллектуальный алгоритм, который отслеживает действия запущенных приложений. Если какие-то действия алгоритму кажутся опасными, то он блокирует их. Можно долго спорить по поводу слишком большой самостоятельности таких программ, но альтернативы нет. Пусть лучше будет несколько ложных срабатываний, чем десятки мегабайт трафика на обновление антивирусных баз и 2-3 приложения, постоянно находящихся в памяти, снижающих производительность файловых операций и требующих значительных системных ресурсов.

В этом обзоре мы познакомимся с одним из представителей нового класса программ проактивной защиты компьютера: Defense Wall HIPS. Нестандартность подхода к борьбе со зловредным ПО, простота настройки и незаметность работы отличают этот продукт от массы других. Он не скачивает никаких баз описаний. Вместо этого, пользователь самостоятельно определяет приложения, через которые на компьютер может быть получен зараженный файл. По умолчанию, в недоверенные приложения включены популярные почтовые клиенты, браузеры, некоторые системные утилиты (ftp.exe). Таким образом, создаётся список всех «дверей», через которые может проникнуть заражённый файл.

Любой файл, который был получен из Сети через недоверенное приложение, Defense Wall HIPS пометит как недоверенный. После запуска такого файла, все действия, которые предпримет в системе запущенное приложение, будут журнализированы, то есть, у пользователя всегда будет возможность просмотреть, например, список разделов реестра, которые созданы запущенным приложением и нажатием одной кнопки удалить их.

Сайт программы
Размер дистрибутива 1,2 мегабайта.
Цена Defense Wall HIPS 500 рублей.Установка

Установка Defense Wall HIPS выполняется мастером. В ходе его работы необходимо согласиться с условиями лицензионного соглашения, выбрать папку для установки программы, выбрать режим работы между экспертным и обычным. Для окончания установки компьютер должен быть перезагружен.

Различия между экспертным режимом работы и обычным существенны: в обычном режиме работы все файлы, которые создаются недоверенным приложением, автоматически заносятся в список недоверенных. В экспертном режиме никакие файлы автоматически в список недоверенных не заносятся – это должен сделать пользователь вручную. Рекомендуется работать в обычном режиме.

После перезагрузки на экран будет выведено окно регистрации продукта.

Если программа была приобретена, то для её регистрации можно ввести полученный от разработчика ключ. В демонстрационном режиме программа проработает 30 дней без ограничения функциональных возможностей.Интерфейс

Программа добавляет в трей значок, при помощи которого можно изменить режимы работы и открыть главное окно.

Центр очистки

Центр очистки предоставляет быстрый доступ к просмотру следов работы недоверенных приложений.

При помощи кнопки Следы на диске и в реестре можно просмотреть список всех изменений, которые были сделаны недоверенными приложениями.

На этом скриншоте перечислены разделы реестра, которые создал FAR и файл text.txt, который был создан из командной строки. Справа от списка размещены кнопки, при помощи которых можно управлять изменениями. К сожалению, из названий совершенно не очевидно то, какое действие выполнит программа после нажатия кнопки. Назначение кнопок более-менее становится понятно после прочтения всплывающих подсказок, которые появляются над кнопками, если над ними задержать указатель мыши. Справочную систему для элементов этого окна вызвать невозможно: нет ни кнопки Справка на форме, ни кнопки в заголовке окна.

Первая кнопка - Убрать - удаляет строку из списка. Изменения, сделанные процессом (разделы реестра, файлы), не удаляются.

Кнопка Удалить позволяет отменить зафиксированное изменение: удалить созданный приложением раздел реестра, папку или файл.

Кнопка Откатить позволяет отменить сразу несколько зафиксированных изменений. Для этого необходимо выделить какую-либо запись и нажать кнопку. Все изменения, с первого по выделенное, будут отменены (удалены разделы реестра, файлы и папки).

Убрать все позволяет очистить список.

При выполнении отката Defense Wall HIPS просит подтвердить выполняемое действие.

В этом запросе нет кнопок Удалить всё и Отменить откат . Если была предпринята попытка откатить 50, например, изменений, то на подобный запрос придётся ответить 50 раз.

На записях списка нет контекстного меню, вызываемого по щелчку правой кнопки мыши. Вместо двойного щелчка для открытия редактора реестра и просмотра созданного раздела или запуска Проводника, приходится запускать их вручную и искать файл или раздел.

Список изменений не обновляется автоматически. Если недоверенное приложение создаст раздел в реестре в то время, когда список был открыт, то новая запись в списке будет показана лишь после закрытия-открытия списка.

Для удаления объектов, созданных недоверенным приложением, необходимо закрыть все недоверенные приложения. Например, если открыты браузер, клиент обменной сети и FAR (и все они внесены в список недоверенных приложений), то чтобы удалить раздел реестра, созданный FAR, придётся закрыть и клиент и браузер.

Вторая кнопка на вкладке Центр очистки позволяет просмотреть списки доверенных и недоверенных процессов, работающих в системе.

В этом окне нет возможности переместить процесс из списка доверенных в недоверенные. Помимо этого, можно завершить любой процесс из работающих в системе.

Вряд ли неподготовленный пользователь будет рад такому экрану. Не говоря уже о том, что в момент завершения winlogon.exe у пользователя могут быть открыты какие-то файлы, над которыми он работал продолжительное время, но не успел сохранить изменения.

Третья кнопка в Центре очистки большого размера и красного цвета. Результат её нажатия соответствует окраске – сколько бы и каких недоверенных процессов (браузер, почтовый клиент) не было запущено – все они будут завершены без каких-либо предупреждений и без сохранения данных.

Добавить или удалить недоверенные

В этом списке перечислены все недоверенные приложения, которые были обнаружены на компьютере во время установки Defense Wall HIPS. Список приложений, которые по умолчанию считаются программой недоверенными, достаточно широк: в него входят наиболее популярные браузеры, почтовые клиенты, клиенты для обмена мгновенными сообщениями и так далее. В список могут быть добавлены любые процессы, папки или приложения, за исключением системных. Например, explorer.exe добавить не получится.

При нажатии кнопки Убрать открывается меню, при помощи пунктов которого приложение можно удалить из списка, а можно временно исключить, сделав его доверенным. Кнопка Как довер. позволяет запустить экземпляр приложения из списка как доверенное. При помощи кнопки Сдвинуть вверх записи в списке можно перемещать. Зачем это делать и почему нет кнопки Сдвинуть вниз понять не удалось (нет ни всплывающих подсказок, ни упоминаний в справке).

События, вызываемые недоверенными процессами, фиксируются в журнале. На этой вкладке можно просмотреть их и при необходимости, при помощи фильтра, оставить в списке события, вызванные работой определённого процесса. Как и в предыдущем случае, события, происходящие в тот момент, когда список открыт, в него не попадают. Чтобы их увидеть, необходимо закрыть-открыть окно.

Закрытые файлы

Любое недоверенное приложение не сможет получить доступ ко всем файлам и папкам, перечисленным в этом списке.Интеграция

Defense Wall HIPS создаёт группу ярлыков в контекстном меню Проводника. Щёлкнув правой кнопкой мыши по любому файлу или папке можно быстро выполнить над ними основные действия.

При запуске недоверенных приложений в их заголовок добавляется статус.

Тестирование

Первым делом была предпринята попытка обойти запрет на добавление в список недоверенных приложений системных процессов. После добавления в Недоверенные приложения папки Windows, все стандартные приложения стали запускаться как недоверенные.

Косынка – недоверенное приложение

Как и следовало того ожидать, Проводник, который невозможно добавить в список недоверенных через пункт меню Добавить приложение в недоверенные , утратил доверие Defense Wall HIPS. В меню Пуск перестали работать пункты Выполнить, Поиск, Справка и поддержка. Блокнот начал создавать недоверенные файлы, а после отката изменений и согласия с требованием закрыть перед этим все недоверенные приложения, оболочка была перезагружена.

После того, как оболочка перезагрузилась, Windows попросила вставить компакт-диск для восстановления файлов. Дабы не усугублять ситуацию, было принято решение отказаться от восстановления файлов. Список недоверенных процессов после перезагрузки Проводника показан на рисунке ниже.

Естественно, что нажатие большой красной кнопки Завершить все недоверенные процессы привело к BSOD, так как в список недоверенных попал winlogon.exe. Во время перезагрузки Windows сообщила, что:

После нажатия OK Windows ушла в циклическую перезагрузку с таким же сообщением на каждом витке. Для восстановления пришлось загрузиться в безопасном режиме, найти в реестре настройки Defense Wall HIPS (сама программа в этом режиме не работает, поскольку не загружается её служба) и удалить из списка недоверенных папку Windows. После этого ОС нормально загрузилась в обычном режиме.

Было решено проверить, что произойдёт, если добавить в список недоверенных папку, куда установлен Defense Wall HIPS.

Рецепт лечения тот же: удаление из списка недоверенных папки Defense Wall HIPS через правку реестра.

По сути, это небольшие замечания к интерфейсу программы, которые без особых проблем могут быть устранены автором. На следующем этапе тестировалась основная функция программы: отслеживание активности процессов и отметка создаваемых ими файлов как недоверенных.

Для проведения теста был написан vbs-скрипт. Он имитировал поведение вируса и выполнял следующие действия:

• Удалял в реестре раздел, где хранятся настройки Defense Wall, список недоверенных приложений и журнал их действий.
• Скачивал с сайта небольшой исполняемый файл dwkill.exe.
• Завершал процесс defensewall.exe (консоль управления).
• Создавал задание Планировщика Windows, которое запускало утилиту dwkill.exe под учётной записью SYSTEM после входа в систему пользователя.

Такая последовательность действий была определена после длительного и разностороннего изучения механизмов работы Defense Wall. Понятно, что данный скрипт ориентирован на работу с Defense Wall и вряд ли будет использоваться вирусами до массового распространения продукта на рынке. Тем не менее, этот скрипт выявил в работе Defense Wall несколько существенных недоработок:

• Список недоверенных приложений может быть легко очищен. После первой перезагрузки все ранее скачанные и полученные по почте файлы начнут запускаться как доверенные.
• Список действий недоверенных приложений так же может быть удалён, что делает невозможным откат изменений.
• После запуска скрипта и первой перезагрузки существует возможность запуска любого приложения как доверенного.

Помимо этого, была обнаружена очень неприятная проблема: при перемещении недоверенного файла из одной папки в другую он удалялся из списка недоверенных и, соответственно, из новой папки запускался как доверенный.

Файл справки Defense Wall содержит множество опечаток и ошибок.

Несмотря на все серьёзные недочёты, программа заслуживает внимания. Хочется верить в то, что автор исправит ошибки и расширит функционал. В идеале видится создание модуля, который будет перехватывать весь сетевой трафик, определять приложение его создающее и, если оно новое, то после запроса к пользователю добавлять в список доверенных или недоверенных. По результатам тестирования очевидно, что все настройки программы должны храниться не в реестре, а в собственной базе данных Defense Wall. Служба должна иметь защиту своей загрузки, проверяя при остановке наличие в реестре соответствующих ключей.

Тем не менее, Defense Wall HIPS выполняет свои основные функции: недоверенное приложение не может создать или изменить ключи реестра, не может удалить или перезаписать файлы. Как показало тестирование, эта защита в версии программы 1.71 обходится достаточно просто.

Общие сведения

Когда компонент HIPS включен, активность программ ограничивается в соответствии с правилами. Ситуации, для которых правило не задано, разрешаются в зависимости от режима HIPS, рейтинга программ и других условий.

Обычно Безопасный режим разрешает доверенным программам любую активность, не запрещенную правилами, кроме запуска неопознанных файлов. Запуск неопознанных программ, а также любое действие этих программ пресекается оповещениями.

Параноидальный режим пресекает оповещениями любую активность любых программ, не предусмотренную правилами.

В Режиме обучения при любой не предусмотренной правилами активности любых программ будут автоматически создаваться новые разрешающие правила.

Правила представлены на вкладке HIPS → Правила HIPS в виде списка приложений и назначенных им наборов правил .

В качестве приложений могут выступать точные пути к файлам, шаблоны путей с символами * и? , а также группы файлов. В путях и их шаблонах можно использовать . Группы файлов - это наборы путей или шаблонов, они настраиваются на вкладке Рейтинг файлов → Группы файлов . Подчеркну, что приложения в правилах HIPS идентифицируются только по их путям, а не по хешам и т.п.

Набор правил, назначенный приложению, состоит из двух вкладок: «Права доступа» и «Настройка защиты». На первой задаются права самого приложения, на второй - наоборот, его защита от других программ. Приложение может иметь либо собственный набор правил , либо какой-нибудь из заранее сформированных наборов: они настраиваются на вкладке HIPS → Наборы правил .

Предустановленный набор правил «Системное приложение Windows» разрешает любую активность, набор «Разрешенное приложение» - любую, но не регламентирует запуск дочерних процессов; набор «Изолированное приложение» жестко запрещает любую активность; набор «Ограниченное приложение» запрещает почти все, кроме оконных сообщений и доступа к монитору, и не регламентирует запуск дочерних процессов. Можно не только создавать свои наборы, но и менять предустановленные.

Начиная с версии CIS 10.0.1.6223 набор правил HIPS «Изолированное приложение» переименован в «Приложение, запущенное в Контейнере». На мой взгляд, это ошибочный перевод названия «Contained Application», так как в действительности правила HIPS не имеют никакого отношения к Контейнеру (виртуальной среде). Во избежание путаницы рекомендую переименовать этот набор обратно в «Изолированное приложение», и в статье он будет называться именно так.

Особый случай - набор правил «Установка или обновление», он наделяет приложения . Программы с такими привилегиями свободно выполняют любые действия (кроме явно запрещенных правилами), в т.ч. запускают любые программы, а их дочерние процессы также получают привилегии установщика. Исполняемые файлы, созданные такими программами, автоматически становятся доверенными.

Разные исходные конфигурации COMODO Internet Security различаются и первоначальным набором правил, и контролируемым спектром деятельности программ. Для наиболее полной HIPS-защиты необходимо изначально выбрать конфигурацию Proactive Security и уже от нее вести дальнейшую настройку.

При ограничении доступа программ к различным ресурсам HIPS опирается на данные раздела HIPS → Защищенные объекты . Например, файл или каталог может быть защищен от модификации, только если его полное имя подходит под какой-либо из шаблонов на вкладке «Защищенные файлы». Так, если требуется запретить какой-либо программе изменение файлов на диске D: (независимо от их типа), необходимо сначала занести этот диск в список защищенных.

Затем при создании конкретных правил можно будет варьировать ограничения доступа к тем или иным защищенным объектам, нажав «Изменить» в столбце «Исключения».

Наиболее целесообразно использовать HIPS в Безопасном режиме , отключив опцию Создавать правила для безопасных приложений , или в Параноидальном . Тогда порядок определения доступа программы к ресурсу будет таков:

Как видим, в HIPS действие «Спросить» выражает отсутствие правила (в отличие от фаервола, где оно предписывает показать оповещение).

Итак, наивысший приоритет имеет вкладка «Разрешенные» самого верхнего правила, подходящего для данной программы; затем - вкладка «Заблокированные»; затем - указанное в этом правиле действие, если оно однозначно; затем - вкладка «Разрешенные» следующего правила и т.д. В отсутствие однозначного правила доступ разрешается, если (i) действуют привилегии установщика, или (ii) программа является «доверенной», а режим HIPS - «Безопасным», или (iii) отмечена опция «Не показывать оповещения: Разрешать запросы». Когда не выполняется ни одно из этих условий - доступ блокируется, если отмечена опция «Не показывать оповещения: Блокировать запросы», или выдается оповещение, если эта опция отключена.

Особый случай: если программа выполняется в виртуальной среде и/или с ограничениями Auto-Containment, то в отсутствие правила ей будет дано разрешение (подобно опции «Не показывать оповещения: Разрешать запросы»). Кроме того, в виртуальной среде вообще отсутствует защита файлов и реестра, даже при явно заданных запретах.

Управление правами программ через оповещения

При ответах на оповещения HIPS приложениям назначаются правила: временно или постоянно, в зависимости от опции «Запомнить мой выбор».

Важный момент: правила назначаются приложению, которое указано в левой части оповещения. Например, если спрашивается о запуске неизвестной программы проводником, то правила будут назначены именно проводнику. Типичные ошибки новичков: выбрать в таком оповещении вариант «Заблокировать и завершить выполнение» (убив тем самым процесс проводника), или вариант «Изолированное приложение» (жестко ограничив права проводника), или вариант «Установка или обновление» (тем самым лишившись почти всей защиты). Обычно самый разумный выбор в оповещении о запуске программы - «Разрешить» или «Только заблокировать».

Варианты «Разрешить» или «Только заблокировать» в различных оповещениях HIPS означают разрешение или запрет только в отношении определеного ресурса. Например, если разрешить приложению создать файл C:\test\A.exe , то попытка создать файл C:\test\B.exe снова приведет к оповещению. Чтобы разрешить приложению создавать любые файлы в каталоге C:\test , придется редактировать правило через окно настройки CIS. К сожалению, в оповещениях не предусмотрены разрешения для каталогов, шаблонов, групп и т.п. Однако через оповещение можно применить к приложению какой-либо набор правил, заранее созданный на вкладке HIPS → Наборы правил .

Если при ответе на оповещение включить в нем опцию «Запомнить мой выбор», то изменится набор правил, назначенный указанному приложению; если же для этого приложения нет правила HIPS - оно будет создано вверху списка. При выборе варианта Разрешить или Только заблокировать к правилам добавится разрешение или запрет в точности для определенного ресурса (файла, COM-интерфейса и т.д.). При выборе какого-либо набора правил новые правила не добавятся к старым, а полностью заменят их, т.е. перестанут действовать правила, назначенные данному приложению ранее.

Если отключить в оповещении опцию «Запомнить мой выбор», то назначенные приложению разрешения, запреты или наборы правил прекратят действие с завершением работы данного приложения или даже раньше, и никаких изменений в конфигурации CIS не произойдет. Чтобы понять логику работы этих временных правил, удобно представить, что при каждом ответе на оповещение (без запоминания) создается воображаемая запись в списке правил HIPS. Все «воображаемые» записи располагаются в списке правил ниже «настоящих» записей, но новые «воображаемые» - выше других «воображаемых». Это значит, что одному и тому же приложению можно несколько раз назначать через оповещения различные наборы правил (без запоминания), и все эти наборы правил будут действовать. При этом наивысший приоритет будут иметь «настоящие» правила, затем - самое свежее из «воображаемых», затем - более раннее и т.д. Но как только будет создано какое-либо «настоящее» правило (с запоминанием) - все «воображаемые» правила для всех приложений уничтожатся.

Например, получив оповещение о какой-либо программе, назначим ей набор правил «Изолированное приложение», без запоминания. По умолчанию группе «Все приложения» разрешено изменять временные файлы, поэтому данная программа все еще сможет это делать, несмотря на то, что набор «Изолированное приложение» это запрещает. Если же назначить этот набор правил с запоминанием - изменение временных файлов будет запрещено, так как создастся новое правило HIPS вверху списка.

Замечены некоторые исключения из описанного порядка работы при отключенной опции «Запомнить мой выбор». Во-первых, не создаются «воображаемые» разрешения на запуск приложений (т.е. при повторном запуске того же приложения снова возникнет оповещение). Во-вторых, если какой-либо программе разрешить через оповещение «изменение пользовательского интерфейса другого приложения», то она временно сможет отправлять оконные сообщения любым приложениям, а не только указанному.

Контроль запуска программ

Возможность запуска какой-либо программы задается в HIPS правилом для запускающей программы, а не для запускаемой. При «Параноидальном режиме» запуск програм молча разрешается только при наличии явного разрешения в правилах. При «Безопасном режиме» в отсутствие правила запуск разрешается, если и запускающая, и запускаемая программа являются доверенными. Исключения - выполнение программ с привилегиями установщика, а также под действием виртуализации и/или ограничений Auto-Containment.

Так, предположим, что при «Безопасном режиме» HIPS программа parent.exe запущена и пытается запустить программу child.exe . В отсутствие дополнительных правил запуск произойдет молча, только если обе программы являются доверенными. Если же программа child.exe неопознанная, а в правилах HIPS для программы parent.exe (или содержащей ее группы) отсутствует разрешение на запуск программы child.exe (или содержащей ее группы), то вне зависимости от правил HIPS для самой программы child.exe и вне зависимости от рейтинга программы parent.exe перед запуском возникнет оповещение (причем относительно именно программы parent.exe).

Таким образом, чтобы разрешить выполнение неопознанной программы, мало задать разрешающие правила для нее самой - требуется разрешение на ее запуск родительскому процессу, как вариант - группе «Все приложения».

Если же требуется пресечь запуск программы, то, получив оповещение относительно родительского процесса, обычно следует отключить опцию о запоминании и выбрать Блокировать → Только заблокировать . Внимание! Пункт «Заблокировать и завершить выполнение» в оповещении о запуске программы означает завершение работы родительского процесса .

Возможность запуска какой-либо программы определяют правила не только HIPS, но и Auto-Containment. Запуск будет заблокирован, если того требует хотя бы один из этих компонентов. Если же запуск программы разрешен в правилах HIPS, а правила Auto-Containment предписывают изолировать данную программу - она будет запускаться изолированно.

Важно знать, что, в отличие от Auto-Containment, в HIPS дочерний процесс не наследует ограничения родительского: если разрешить сомнительной программе запустить безопасную, то от имени безопасной программы может быть нанесен ущерб.

Автоматическое создание правил HIPS в «Режиме обучения» и в «Безопасном режиме»

В определенных режимах создание правил HIPS происходит автоматически:

• если включен «Режим обучения» и опция «Не показывать оповещения» отключена или установлена в режим «Блокировать запросы», то будут создаваться правила, разрешающие каждое замеченное действие любых приложений;
• если включен «Безопасный режим», включена опция «Создавать правила для безопасных приложений», а опция «Не показывать оповещения» отключена или установлена в режим «Блокировать запросы», то будут создаваться правила, разрешающие каждое замеченное действие доверенных приложений.

В большинстве случаев данные режимы не несут пользы и применяются только для тестирования или подготовки к переключению в «Параноидальный режим».

Правила для программы (любой при «Режиме обучения» или доверенной при «Безопасном режиме») создаются следующим образом:

Вид нового правила будет зависеть от запрашиваемого действия:

• Когда одна программа запускает другую, для первой создается правило, разрешающее запускать конкретно определенную программу.
• Когда программа изменяет файл или ключ реестра, входящий в список на вкладке HIPS → Защищенные объекты , вид правила будет зависеть от того, как записан шаблон этого ресурса.
  • Если в конце шаблона стоит знак | , то создастся правило, разрешающее изменение конкретно того объекта, к которому обратилась программа. Например, программа создает на рабочем столе файл text.txt . Он соответствует шаблону?:\Users\*\Desktop\*| . Значит, будет создано правило, разрешающее изменение файла C:\Users\Name\Desktop\text.txt .
  • Если в конце шаблона отсутствует знак | , то создастся правило, разрешающее изменение любого объекта по данному шаблону. Например, программа создает файл D:\prog.exe . В списке защищенных объектов этот файл соответствует шаблону *.exe . Значит, создастся правило, разрешающее данной программе изменение любых exe-файлов.
• При обращении программы к какому-либо из следующих ресурсов автоматически создаются правила, разрешающие ей доступ одновременно к ним всем:
  • Защищенные COM-интерфейсы ,
  • Хуки Windows и хуки приложений ,
  • Межпроцессный доступ к памяти ,
  • Прерывание работы приложений ,
  • DNS-запросы ,
  • Диск (прямой доступ),
  • Клавиатура ,
  • Монитор .

Защита процессов

В окне с правилами HIPS для какого-либо приложения можно ограничить не только собственную активность этого приложения, но и влияние на его работу других программ. Для этого вкладке Настройка защиты указывается, какие действия с данным приложением будут блокироваться, а в окне исключений (кнопка Изменить ) - каким программам они будут разрешены. Оповещения здесь не предусмотрены - только разрешение или запрет, вне зависимости от рейтинга. Запрещенное таким образом действие будет блокироваться, независимо от правил и рейтинга других программ.

В частности, с помощью этой функции осуществляется самозащита CIS от выгрузки его процессов и доступа к памяти. Поэтому, даже когда HIPS не нужен, желательно включить его хотя бы с опцией «Не показывать оповещения: Разрешать запросы» (в «Безопасном» или «Параноидальном» режиме).

Побочным эффектом самозащиты CIS является огромное количество записей в журнале «События Защиты+» при использовании некоторых программ, например, ProcessExplorer. Можно избавиться от необязательных блокировок, разрешив отдельным приложениям доступ к памяти группы «COMODO Internet Security».

Отмечу, что сама по себе защита от прерывания работы приложений не охватывает всех способов выгрузить процесс. Так, многие приложения можно завершить посредством оконных сообщений или посредством доступа к памяти. Чтобы защитить приложение от таких способов завершения, понадобится отметить в его правилах на вкладке «Настройка защиты» не только пункт «Прерывание работы приложений», но и другие.

Привилегии установщика

Смысл привилегий установщика

При определенных условиях приложение получает привилегии установщика, которые заключаются в следующем:

1. HIPS разрешает такому приложению все, что не запрещено ему в правилах явным образом, т.е. работает подобно режиму «Не показывать оповещения: Разрешать запросы»;
2. Auto-Containment не изолирует программы, запускаемые этим приложением;
3. пока это приложение работает, его дочерние процессы (а также их дочерние процессы и т.д.) выполняются с привилегиями установщика;
4. исполняемые файлы, которые создает это приложение (или дочерние процессы, унаследовавшие его привилегии), автоматически становятся доверенными.

Автоматическое занесение файлов в доверенные происходит только при включенной опции «Доверять приложениям, установленным с помощью доверенных установщиков» на вкладке . Также в некоторых особых случаях привилегии установщика даются приложениям в «усеченном» виде: без , либо когда пользователь отвечает разрешением в (если программа неопознанная и имеет признак установщика), либо когда программе назначено соответствующее , либо когда это правило применено к ней , либо когда программа наследует эти привилегии от родительского процесса.

Автоматическое наделение приложения привилегиями установщика

Приложение автоматически получает привилегии установщика, если оно является доверенным и имеет признак установщика. Увидеть, имеет ли приложение признак установщика, можно в списке акивных процессов.

В каких свойствах приложения заключается признак установщика, говорилось : судя по экспериментам, установщиками считаются программы, у которых в имени файла либо в File Version Info (в поле FileDescription , ProductName , InternalName или OriginalFilename) содержится слово install , setup или update ; также установщиками считаются msi-файлы.

В старых версиях CIS признаки установщика были другими, в частности, установщиками считались программы, запрашивающие при запуске права администратора, программы, чей размер превышает 40 МБ, и др. Из-за этого многие прикладные программы ошибочно наделялись привилегиями установщика (в частности, PortableApps-сборки), что создавало очевидную опасность. В версии CIS 10 эта угроза значительно ниже.

Назначение привилегий установщика через оповещения Auto-Containment

В стандартной конфигурации «Proactive Security» при запуске неопознанной программы, имеющей признак установщика, появляется оповещение, предлагающее выбор из четырех вариантов: «Блокировать», «Изолированный запуск», «Запуск без ограничений» при отключенной опции «Доверять этому приложению» и «Запуск без ограничений» при включенной опции «Доверять этому приложению».

Вариант «Блокировать» означает запрет запуска. Вариант «Изолированный запуск» означает, что программа будет запущена изолированно в соответствии с правилами Auto-Containment.

Если включить опцию «Доверять этому приложению» и выбрать пункт «Запуск без ограничений», то программа станет доверенной и запустится с привилегиями установщика. Вместе с тем создастся правило Auto-Containment, исключающее дочерние процессы этой программы из изоляции. Обычно это правило не имеет смысла, и я рекомендую его удалить.

Если же выбрать пункт «Запуск без ограничений» при отключенной опции «Доверять этому приложению», то программа временно запустится с «усеченными» привилегиями установщика, без доверия к создаваемым файлам. Т.е. выполнятся пункты , и , но не .

Вообще говоря, такое оповещение возникает, если выполняются следующие условия:

• компонент Auto-Containment включен,
• на вкладке Containment → Настройка Containment включена опция «Обнаруживать программы, требующие повышенных привилегий»,
• там же отключена опция «Не показывать оповещения при запросах повышенных привилегий»,
• запускаемая программа должна, согласно правилам Auto-Containment, запускаться виртуально и/или с ограничениями,
• запускаемая программа имеет признак установщика или запрашивает при запуске права администратора.

Как видим, для показа оповещения запускаемая программа не обязательно должна быть неопознанной - требуется лишь, чтобы правила Auto-Containment предписывали ее изолировать. Кроме того, программа может запрашивать при запуске права администратора, но не быть установщиком.

Если включить опцию «Не показывать оповещения при запросах повышенных привилегий», то в меню этой опции можно будет выбрать автоматическую изоляцию (рекомендуется) или блокировку неопознанных установщиков без оповещений. Также там представлены варианты «Запускать без ограничений» и «Запускать без ограничений и доверять» - разумеется, выбирать их весьма опасно.

Назначение привилегий установщика через оповещения и правила HIPS

Привилегии установщика могут быть назначены программе явным образом через HIPS: им соответствует правило «Установка или обновление».

Когда возникает оповещение HIPS относительно активности какого-либо приложения, можно в окне этого оповещения выбрать Обработать как → Установка или обновление , с запоминанием или без.

Если отметить опцию о запоминании и выбрать вариант «Установка или обновление», то создастся соответствующее правило HIPS и приложение получит привилегии установщика. Если же выбрать этот вариант без опции о запоминании, то правило не создастся, а приложение получит «усеченный» вариант привилегий установщика, без доверия создаваемым файлам ( временному запуску неопознанного установщика без ограничений Auto-Containment).

Через окно настройки CIS можно заранее назначить приложению правило HIPS «Установка или обновление». Очевидно, в этом случае приложение получит привилегии установщика без оповещений и в полной мере.

Доверие файлам, созданным с привилегиями установщика

Как уже сказано, исполняемые файлы, создаваемые доверенными установщиками, автоматически становятся доверенными, если включена опция «Доверять приложениям, установленным с помощью доверенных установщиков» на вкладке Рейтинг файлов → Настройка рейтинга файлов . Также говорилось, что информация о создании файлов доверенными установщиками заносится в базу данных, даже если эта опция отключена.

Судя по экспериментам, при отключенной опции ДПУПДУ в базу CIS заносится информация о создании файлов именно непосредственно доверенными установщиками, а не любыми программами, имеющими привилегии установщика. Т.е. если файл создан дочерним процессом доверенного установщика или программой, получившей привилегии установщика на основании правил HIPS, то не считается, что этот файл создан доверенным установщиком. Но если опция ДПУПДУ включена, то файлы, созданные любыми программами, так или иначе получившими привилегии установщика, отмечаются в базе как созданные довереннымми установщиками.

Определяя, создан ли файл под действием привилегий установщика, CIS различает создание и копирование файла. Так, если программа, имеющая привилегии установщика, выполнит обычное копирование файла, то файл от этого еще не станет доверенным. Но если под действием привилегий установщика произойдет, например, извлечение файла из архива - CIS будет доверять этому файлу и всем идентичным ему (при включенной опции ДПУПДУ).

В некоторой мере привилегиии установщика работают в виртуальной среде: если доверенный установщик выполняется виртуально, но создает файлы в реальной среде (в области общего доступа), то эти файлы отмечаются в базе как созданные доверенным установщиком. Аналогичная ситуация возникает при работе в реальной среде с ограничениями Auto-Containment. На мой взгляд, это недоработка, причем потенциально опасная.

Хотя опция ДПУПДУ повышает удобство использования CIS, есть определенный смысл в ее отключении. В частности, когда эта опция включена, CIS может доверять потенциально нежелательным программам, которые устанавливаются вместе с безопасными приложениями.

Бывает, что установщик какого-либо приложения, даже если является доверенным, в процессе работы создает и запускает неопознанные программы. Обычно CIS не препятствует их работе, поскольку они наследуют привилегиии установщика. Однако, как сказано выше, унаследованные привилегии действуют не постоянно (что оправдано соображениями безопасности), и иногда в процессе установки может сработать проактивная защита. Если это проявится лишь оповещением HIPS, то для продолжения установки достаточно ответить на него. Но если HIPS настроен на блокировку без оповещений или если используется Auto-Containment, то возникает риск некорректной установки приложения. Этот риск особенно высок, если отключена опция «Доверять приложениям, установленным с помощью доверенных установщиков» или «Обнаруживать программы, требующие повышенных привилегий».

Чтобы установка приложений проходила без помех со стороны CIS, предлагаю запускать установщики через специальный пункт контекстного меню. Для этого будет использоваться простейшая программа, которая запускает файл, указанный в ее аргументах командной строки. Понадобится скачать архив с программой (пароль cis), поместить программу в любое удобное место, добавить ее в доверенные и запустить - будет предложено добавить в контекстное меню проводника новый пункт (его удаление выполняется повторным запуском). Программа написана на AutoIt3, в папке source прилагается исходный код и конвертер: в случае сомнений вы можете сгенерировать аналогичную программу, проверив ее код и подпись конвертера.

Затем понадобится назначить этой программе правило HIPS «Установка и обновление», а также правило Auto-Containment:

• выбрать действие «Игнорировать»,
• в критериях указать расположение программы,
• оставить отключенной опцию «Не применять выбранное действие к дочерним процессам».

Теперь, чтобы установка какого-либо безопасного приложения прошла беспрепятственно, будет достаточно вызвать на установщике, удерживая нажатой клавишу Shift , контекстное меню и выбрать пункт «COMODO: запустить как установщик». В результате, даже когда сама программа-установщик завершит работу, ее дочерние процессы продолжат выполняться с привилегиями установщика. Эти привилегии снимутся после закрытия специального окна с текстом «Нажмите Ok по завершении установки». Но даже тогда эти процессы останутся исключенными из контроля Auto-Containment.

Как показывает практика, антивирусные продукты не могут обеспечить абсолютно надежную защиту компьютера. Это в первую очередь связано с тем, что применяемый в антивирусах принцип поиска по сигнатурам не позволяет обнаруживать новые разновидности вредоносных программ до их изучения аналитиками и внесения в базы антивируса. Отчасти данная проблема компенсируется наличием в составе антивирусов средств эвристического анализа, однако подобные средства также не дают гарантии надежного обнаружения новых вредоносных программ. Поэтому с целью комплексной и всесторонней защиты компьютера необходимо применять Firewall для контроля работы приложений с Интернетом и сетью, а также HIPS-системы для контроля за самими приложениями. Аббревиатура HIPS расшифровывается как Host Intrusion Prevention Systems - система отражения локальных угроз. Задачей HIPS-систем является контроль за работой приложений и блокировка потенциально опасных операций по заданным критериям.

Принципы работы HIPS-систем

Устройство всех существующих HIPS-систем идентично и сводится к схеме, приведенной на рис. 1.

HIPS в первую очередь состоит из перехватчика API-функций. Перехват может производиться в режиме UserMode или KernelMode, причем практика показывает, что для полноценного контроля за работой приложений требуется перехват как минимум 10-15 различных функций, в частности:

• функций работы с файлами и папками;
• функции для работы с реестром;
• системных функций, применяемых вредоносными программами. К ним относится, например, функция создания удаленных потоков или записи в память других процессов; функции, применяемые для запуска и остановки процессов, для манипулирования потоками и т.п.

Перехват обычно осуществляется по типовым методикам, применяемым антивирусными мониторами, антикейлоггерами, брандмауэрами и Rootkit-средствами. Поэтому при выборе HIPS-системы необходимо учитывать несколько факторов:

• следует узнать, будет ли HIPS-система совместима с применяемым антивирусным монитором, брандмауэром или иным ПО, перехватывающим API-функции для своей работы. Получить список перехваченных функций можно при помощи антируткита. Например, AVZ в протоколе формирует отчет с указанием перехваченных функций и методики их перехвата;
• злейшим врагом HIPS-системы является антируткит, обладающий функциями активного противодействия перехватам. Восстанавливая перехваченные функции, антируткит нейтрализует все защитные механизмы HIPS-системы и может полностью парализовать ее работу. Поэтому перед применением антируткита в режиме нейтрализации перехватов требуется обязательно закрыть все приложения, а после нейтрализации перехватов и выполнения нужных проверок следует в обязательном порядке перезагрузить компьютер;
• перехваты могут осуществляться в режиме ядра и в пользовательском режиме. Проверить это легко при помощи антируткита AVZ. Следует учитывать, что HIPS-системы, перехватывающие UserMode-функции, крайне ненадежны, так как для их обхода достаточно программы на языке C объемом в несколько листов исходного текста.

Итак, перехватчики позволяют HIPS контролировать большинство критических API-функций. При обнаружении вызова той или иной функции перехватчик передает информацию анализатору, который принимает решение о том, допустим ли данный вызов для выполняющего его приложения или нет. Далее возможно несколько вариантов развития событий:

• по мнению анализатора, вызов допустим - в этом случае производится передача управления перехваченной функции;
• вызов допустим, но с ограничениями - в этом случае перед вызовом перехваченной функции HIPS может модифицировать один или несколько ее параметров. Например, при открытии файла приложение может запросить открытие на чтение-запись, а HIPS-система изменит режим открытия на «только чтение»;
• вызов считается недопустимым - в этом случае выполнение операции блокируется и возвращается ошибка. Другим вариантом реагирования может являться эмуляция успешного выполнения операции. Последний вариант наиболее применим для ограничения работы приложения с реестром.

Естественно, что для принятия решения анализатору необходима некоторая база данных, содержащая правила или алгоритмы, используемые для принятия решений. Во многих системах эта база может периодически обновляться аналогично базам антивирусного продукта.

Идеологии построения HIPS-системы

Как уже отмечалось, анализатор HIPS-системы принимает решения по поводу того, разрешить или запретить выполнение той или иной операции. Очевидно, что анализатор должен руководствоваться некоторыми правилами или алгоритмами, заложенными разработчиком или пользователем. По методике принятия решения все HIPS-системы можно разделить на две большие категории:

• HIPS-системы, в которых решение применяется самой системой. В этом случае разработчик сам создает правила и алгоритмы принятия решения, которые недоступны для модификации со стороны пользователя. Далее все приложения разделяются на доверенные и недоверенные, причем это деление производится с участием пользователя. На работу доверенных процессов HIPS не оказывает никакого влияния, а потенциально опасные действия недоверенных приложений автоматически пресекаются. Подобные системы еще называют sandbox HIPS (от англ. Sand-Box - песочница), подразумевая, что недоверенные процессы работают в рамках некоторой виртуальной «песочницы»;
• HIPS-системы, работающие на основе правил пользователя. Системы данного типа принято считать классическими, и по сути они являются своеобразными брандмауэрами для приложений. При работе с такой системой пользователь производит ее обучение, создавая систему правил. Естественно, что некоторый набор правил может быть предустановлен разработчиком или генерироваться автоматически в процессе инсталляции.

У каждого из этих идеологических подходов есть свои достоинства и недостатки.

Главное достоинство Sandbox HIPS состоит в том, что разработка правил и их тестирование перекладываются на плечи разработчика. Такая система может эксплуатироваться пользователем любой квалификации и не требует от него принятия решений по поводу того, какие операции и в каком случае требуется разрешать или блокировать. Это особенно важно в случае отсутствия у пользователя необходимой для принятия решения квалификации. Однако для опытного пользователя данное преимущество может обернуться существенным минусом, так как он теряет возможность тонкой настройки системы.

HIPS-системы на основе правил пользователя свободны от данного недостатка. Обучая систему, пользователь вырабатывает свою систему правил, которая, по его мнению, наиболее точно соответствует специфике эксплуатируемых приложений. Однако при эксплуатации систем данного типа возникает ряд проблем:

• эффективность работы системы зависит от того, насколько грамотно составлены правила;
• для принятия правильных решений пользователь должен обладать достаточно высокой квалификацией. В некоторых системах данная проблема частично компенсируется за счет вывода в процессе обучения подробного описания обнаруженных событий с разъяснением, чем и как блокируемое действие приложения может навредить системе.

Process Guard

Данная система является одной из старейших HIPS-программ, сайт разработчика - http://www.diamondcs.com.au/ , размер дистрибутива - около 2 Мбайт. Основным назначением Process Guard является защита процессов от остановки и модификации, блокировка доступа к физической памяти, а также предотвращение несанкционированной установки драйверов и служб (рис. 2).

Process Guard выпускается в двух вариантах - в виде базовой бесплатной версии и платной версии с расширенными функциями. Бесплатная версия, в сущности, только защищает процессы от остановки или модификации. Стоимость полной версии - 29 долл.

Для слежения за активностью приложений Process Guard устанавливает драйвер procguard.sys и перехватывает 20 KernelMode-функций на уровне KiST. При блокировке действий некоторого приложения Process Guard уведомляет об этом пользователя, выводя всплывающее сообщение рядом со своей иконкой в системной области (рис. 3). Это сообщение содержит минимум информации, однако оно дублируется в протоколе со всеми техническими подробностями.

DefenseWall HIPS

Программа DefenseWall HIPS разработана компанией SoftSphere Technologies (), размер ее дистрибутива составляет около 1 Мбайт, стоимость одной копии - 29 долл.

DefenseWall относится к категории Sandbox HIPS, принимающих решение на основе заложенных разработчиком правил. Основная особенность DefenseWall состоит в том, что она разработана в расчете на неподготовленного пользователя, поэтому интерфейс программы и ее настройки максимально упрощены (рис. 4).

В процессе работы DefenseWall практически никак не общается с пользователем, для которого ее присутствие незаметно. Это и является основным плюсом программы, так как не требуется проводить обучение и отвечать на массу вопросов по поводу допустимости и недопустимости тех или иных операций.

Доверительные отношения наследуются, и в случае запуска доверенной программы из недоверенной она также будет считаться недоверенной. Этот момент очень важен - например при помощи эксплоита был успешно атакован браузер, являющийся по умолчанию недоверенным процессом. В результате начинается исполнение троянской программы, которая автоматически считается недоверенной, а следовательно, не может нанести вреда системе.

Работа DefenseWall была изучена на ряде вредоносных программ, и в результате было установлено, что деятельность распространенных троянских программ успешно блокируется.

В качестве основных достоинств программы следует отметить простоту ее эксплуатации и малое потребление ресурсов. Основное достоинство является одновременно и недостатком - программа не дает возможности тонкой настройки для опытного пользователя.

Safe’n’Sec 2.0

Данный продукт разработан отечественной компанией StarForce (http://www.star-force.ru/), и его можно отнести к категории HIPS, работающих по правилам пользователя (рис. 5). Объем дистрибутива базовой разновидности Safe’n’Sec составляет 4,7 Мбайт. В настоящий момент доступно три версии продукта: базовая, в комплекте с антивирусом и в комплекте с антишпионом. Стоимость базовой версии составляет 25 долл.

Перед началом работы пользователь должен выбрать политику защиты - предусмотрены «жесткая», «строгая» и «доверительная» политики (рис. 6). В соответствии с выбранной политикой Safe’n’Sec анализирует работу приложений и при обнаружении подозрительной активности уведомляет об этом пользователя и предлагает принять решение - допустима эта активность или нет.

Окно с предупреждением Safe’n’Sec содержит достаточно подробное разъяснение сущности предупреждения и опасности действия, по поводу которого от пользователя требуется принятие решения (рис. 7). Решение может быть либо принято на сеанс (например, для процесса инсталлятора на время его работы), либо оформлено в виде правила. Для некоторых типовых программ (например, браузера) имеются готовые наборы правил, которые могут быть отредактированы. Правила строятся при помощи специального построителя правил.

Построитель отображает список именованных правил и позволяет временно отключить любое из правил, произвести модификацию или создание правила и его привязку к различным уровням политики. Построение правила ведется по шагам при помощи визуального построителя.

В качестве основных достоинств Safe’n’Sec можно отметить удобную систему построения правил, информативные сообщения в процессе обучения и способность контроля за сетевой активностью приложений. В качестве недостатка можно указать использование перехватов функций в UserMode для контроля за установкой ловушек и загрузкой драйверов.

Выводы

В данной статье были рассмотрены как HIPS-системы, демонстрирующие перспективные подходы к защите компьютера, так и автономные продукты, которые могут применяться совместно с имеющимися антивирусами и Firewall. Следует отметить, что разработчики антивирусных продуктов понимают преимущества HIPS, и в составе многих антивирусов уже появились достаточно мощные поведенческие блокираторы. Достоинства интеграции антивируса и IPS-системы очевидны: сигнатурный анализатор упрощает принятие решения, а анализ поведения приложений позволяет строить сложные и эффективные эвристические алгоритмы. В качестве примеров можно привести разработанную специалистами «Лаборатории Касперского» технологию Proactive Defense Module, технологию Panda TruPrevent (применяется в линейке антивирусных продуктов Panda Antivirus) и аналогичные решения, используемые в других антивирусах.

Что означает HIPS в общем смысле?

Это означает "Хост-система предотвращения вторжений" (H ost I ntrusion P revention S ystem). В сущности, это программа, которая выдает оповещения пользователю, когда вредоносная программа, такая как вирус, возможно пытается запуститься на компьютере пользователя, или когда неавторизованный пользователь, такой как хакер, возможно получил доступ к компьютеру пользователя.

Происхождение и предыстория

Несколько лет назад классифицировать вредоносные программы было относительно просто. Вирус был вирусом, были и другие виды, но они прекрасно различались! В наше время "жучки" изменились, и определяющие границы между ними стали более размытыми. Мало того, что стало больше угроз в виде троянских коней, червей и руткитов, теперь различные вредоносные продукты часто скомбинированы. Это и есть причина, почему вредоносные программы теперь часто упоминаются собирательно как "вредоносное ПО", а приложения, созданные для борьбы с ними, как программы "широкого спектра действия".

В прошлом программы обнаружения при выявлении вредоносного ПО опирались прежде всего на его сигнатуры. Этот метод, несмотря на то, что он надежен, хорош лишь настолько, насколько часто производятся обновления. Существует дополнительная сложность в том, что большая часть сегодняшних вредоносных программ постоянно видоизменяется. В процессе этого изменяются и их сигнатуры. Для борьбы с этим были разработаны HIPS-программы, способные "узнавать" вредоносное программное обеспечение скорее по его поведению, чем по сигнатурам. Это "поведение" может быть попыткой управлять другим приложением, запустить службу Windows или изменить ключ реестра.

Иллюстрация сайта EUobserver.com

Это слегка напоминает поимку преступника по его поведению, а не по отпечаткам пальцев. Если он действует как вор, он, вероятнее всего, вор. Так же и с компьютерной программой: если она действует как вредоносная, значит, вероятнее всего, она является вредоносной программой.

Проблема здесь состоит в том, что иногда совершенно легальные программы могут действовать немного подозрительно, и это может привести к тому, что HIPS ошибочно обозначит законную программу как вредоносное ПО. Эти так называемые ложные тревоги являются настоящей проблемой для HIPS-программ. Вот почему лучшие HIPS-программы это те, которые используют комбинированный сигнатурно-поведенческий метод. Но об этом позже.

Что в действительности делает HIPS-программа?

В общих чертах HIPS-программа стремится сохранить целостность системы, в которой она установлена, предотвращая произведение изменений в этой системе неодобренными источниками. Обычно она делает это, показывая всплывающее окно-предупреждение безопасности, спрашивая пользователя, должно ли быть разрешено то или иное изменение.

Comodo: Всплывающее окно-предупреждение HIPS

Эта система хороша настолько, насколько хороши ответы пользователя на всплывающие запросы. Даже если HIPS-программа правильно идентифицирует угрозу, пользователь может непреднамеренно одобрить неправильное действие, и ПК все же может подвергнуться заражению.

Правильное поведение также может быть неверно истолковано как вредоносное. Эти так называемые "ложные тревоги" являются настоящей проблемой для HIPS-продуктов, хотя, к счастью, они стали менее распространены, поскольку HIPS-программы становятся все более проработанными.

Положительная сторона здесь это то, что вы можете использовать некоторые HIPS-программы, чтобы управлять правами доступа легальных приложений, хотя это было бы желательно лишь для опытных пользователей. Позже я более подробно разъясню и это, и почему вам стоило бы использовать их. Другой взгляд на HIPS состоит в том, чтобы использовать ее в качестве фаервола, управляющего приложениями и службами, а не просто доступом в интернет.

Тип продукта

Современное вредоносное ПО стало настолько совершенным, что программы обеспечения безопасности больше не могут опираться лишь на один только сигнатурный метод обнаружения. Теперь для того, чтобы выявлять и блокировать угрозы вредоносного ПО, многие приложения используют комбинацию различных методов. В результате, в нескольких различных видах защитных продуктов теперь используют HIPS. Сегодня совсем не редкость увидеть HIPS в составе антивирусной или антишпионской программы, хотя, безусловно, наиболее распространена HIPS как составная часть фаервола. В самом деле, в наиболее современных фаерволах к их возможностям фильтрации IP теперь добавлены защитные HIPS-элементы.

Комплексный антивирус Comodo Internet Security

В целях повышения эффективности в HIPS-программах используют множество методов обнаружения. В дополнение к распознаванию по сигнатурам HIPS-программы также наблюдают за поведением, соответствующим действиям вредоносного ПО. Это значит, что они стремятся выявлять действия или события, которые, как известно, типичны для поведения вредоносного ПО.

Некоторые программы поведенческого анализа более автоматизированы, чем другие, и несмотря на то, что это может показаться хорошей идеей, на практике это может приводить к осложнениям. Иногда сложившиеся обстоятельства могут выглядеть так, что вполне легальное действие приложения окажется подозрительным, что вызовет его завершение. Вы можете даже не узнать об этом, пока что-нибудь не перестанет работать! Это довольно безопасно и просто раздражает, пока процесс обратим, но иногда это может приводить к нестабильности в системе. Несмотря на то, что такие события редки, их влияние может быть серьезным, поэтому желательно учитывать это во время принятия решения.

Установка и настройка

HIPS-программа должна устанавливаться с ее настройками по умолчанию и так же использоваться до тех пор, пока либо у нее не закончится некий требуемый период обучения, либо пока ее функциональность не станет для вас привычной. Позже вы всегда сможете отрегулировать уровни чувствительности и добавить дополнительные правила, если вы почувствуете, что это необходимо. Приложения, имеющие по умолчанию "период обучения", разработаны таким образом неспроста. Может появиться соблазн сократить срок обучения, но этим вы можете также понизить эффективность. Обычно производители прилагают PDF-руководство, и никогда не бывает лишним прочитать его перед установкой.

ESET NOD32 Антивирус: Настройка HIPS

Ранее я упоминал о возможности использования HIPS-программы с целью контроля над использованием еще и легальных приложений. Мы уже делаем это в наших фаерволах, ограничивая использование портов. Вы можете использовать HIPS-программу подобным образом, чтобы блокировать или ограничивать доступ к системным компонентам и службам. В общих словах, чем сильнее вы ограничиваете Windows, тем безопаснее в ней будет работать. Я где-то читал, что самая безопасная Windows-система называется Linux! Но это уже другая проблема. Иногда легальные программы при инсталляции устанавливают такой уровень доступа к системе, который сильно превышает то, что они фактически должны выполнять в рамках своих обычных функций. Ограничение работы приложений до уровня "разрешено считывать" (с жесткого диска), если они при этом по умолчанию не нуждаются в "разрешении на запись", является одним из способов снижения риска. Для этого вы можете, к примеру, использовать настройку модуля "Защита+" в составе Comodo Internet Security .

Когда потенциальная угроза выявлена

Большинство HIPS-программ, когда что-либо происходит, оповещают пользователей о потенциальных угозах с помощью интерактивного всплывающего окна. Некоторые программы автоматизируют этот процесс и сообщают об этом (может быть!) уже позже. Важно то, чтобы самому не стать "автоматизированным" при ответах. Ни от каких приложений безопасности не будет толку, если вы вслепую будете щелкать по кнопке "Да", отвечая на любые вопросы. Всего несколько секунд размышления перед принятием решения может сохранить часы работы в дальнейшем (если не упоминать о потере данных). Если уведомление оказывается ложной тревогой, вы можете иногда сохранять его как "исключение", чтобы предотвратить такое уведомление в будущем. Также, о ложных тревогах рекомендуется уведомлять производителей, чтобы они могли устранять их в последующих версиях.

Что, если вы не уверены?

Показатели разнятся в зависимости от того, что вы читаете, но до 90% всей вредоносной заразы приходит из интернета, поэтому большую часть всплывающих оповещений безопасности вы будете получать, будучи в онлайне. Рекомендуемое действие - остановить данное событие и поискать в Google информацию о показанном файле (-ах). Местонахождение зафиксированной угрозы может быть столь же важным, как и имя файла. Более того, "Ispy.exe" может быть легальным ПО, но "ispy.exe" может быть вредоносным. Отчеты журнала "HijackThis" в этом могли бы помочь, но результаты, предоставляемые автоматизированной службой, могут быть не совсем однозначными. Вообще, вы будете допускать некоторый вред, блокируя или изолируя происходящее событие, пока не научитесь, что с ним делать. Такое бывает лишь при удалении чего-либо и незнании, что это могло привести к плачевным результатам!

Сегодняшняя тенденция - включать во всплывающие уведомления рекомендации от сообщества. С помощью этих систем вам стараются помогать безошибочно отвечать на уведомления безопасности, сообщая, как ответили в подобных случаях другие.

Это привлекательная идея в теории, но на практике результаты могут быть неутешительными. Например, если 10 человек ранее видели определенное уведомление, и девять из них сделали неправильный выбор, то когда вы видите рекомендацию с 90%-м рейтингом о блокировании программы, вы следуете их примеру! Я называю это "синдром стада". С увеличением количества пользователей должна увеличиваться и надежность рекомендаций, но так бывает не всегда, поэтому необходима некоторая осторожность. Вы всегда можете поискать в Google другое мнение.

Несколько средств защиты или "многоуровневый подход"?

Несколько лет назад использование единых комплектов безопасности не давало уровня производительности, сопоставимого с использованием нескольких отдельных приложений безопасности для достижения "многоуровневой" защиты. Хотя, недавно производители инвестировали значительные средства на разработку комплектов, и это теперь отразилось на их продуктах. Впрочем, некоторые все еще содержат по крайней мере один слабый компонент, и если это фаервол, то вам следовало бы сделать выбор в пользу чего-то другого. Общее мнение таково, что комбинация отдельных элементов все еще будет давать высокую производительность и лучшую общую надежность. Что они делают по большому счету, это конечно предлагают больше выбора и большую гибкость. Comodo был первым серьезным комплектом, который действительно бесплатен, но теперь Outpost (примечание сайт: к сожалению, данный продукт не развивается в последнее время ) и ZoneAlarm также выпускают бесплатные комплекты. Все они предлагают серьезную альтернативу платному программному обеспечению.

Бесплатный ZoneAlarm Free Antivirus + Firewall

Автомобиль хорош настолько, насколько хорош его водитель, то же применимо и к программному обеспечению. Нет такой вещи, как программа безопасности разряда "установил и забыл". Постарайтесь выбрать то, что вы можете понять и что вам нравится использовать. Это все равно, что сравнивать фаерволы Sunbelt-Kerio и Comodo. Да, если вы хотите твердо стоять на земле, Comodo может дать лучшую защиту, но он еще и более труден для понимания. Если вы полагаете, что с Kerio проще работать, вы скорее всего будете использовать его эффективно, и в конечном счете это было бы лучшим выбором (только вплоть до Windows XP. Пользователи Windows 7 и выше могут попробовать TinyWall). В качестве ориентира используйте результаты различных тестов, но только для этого. Никакой тест никогда не сможет подменить ваш компьютер, вашу программу и привычки вашего серфинга.

Критерии выбора

Приложения для себя я всегда выбирал следующим образом. Вы, конечно, можете думать по-другому!

Нужно ли оно мне?

Многие люди оспаривают целесообразность использования некоторого программного обеспечения, когда возражают против того, чего оно позволяет достичь. Если в вашем фаерволе уже есть хороший компонент HIPS (как, например, в Comodo , Privatefirewall или Online Armor) то, возможно, этого достаточно. Однако, такие программы, как Malware Defender , используют различные методы, которые позволяют предоставить дополнительную защиту при некоторых обстоятельствах. Только вы можете решить, необходимо ли вам это. Эксперты по прежнему не советуют запускать более чем одно защитное ПО одного и того же вида.

Смогу ли я им пользоваться ?

Установка любой HIPS-программы создает немало работы в смысле необходимости настройки и управления оповещениями. В целом, то, что находят HIPS-программы, может быть несколько неоднозначным, поэтому вы должны быть готовы к проверке их результатов. Только со средними познаниями вы можете посчитать это проблемой при интерпретации результатов.

Поможет ли оно?

Методы на основе HIPS эффективны лишь там, где пользователь правильно отвечает на всплывающие оповещения, которые показывает HIPS. Новички и равнодушные пользователи вряд ли будут способны давать такие ответы.

У старательных и опытных пользователей для HIPS-программ есть место в сфете безопасности ПК, поскольку HIPS адаптирует иной подход к традиционному сигнатурному ПО. Используемый отдельно или вместе с фаерволом, HIPS добавит вам возможностей для обнаружения.

Не испортит ли оно мою систему?

Программы обеспечения безопасности по самой своей природе, чтобы быть эффективными, должны вторгаться в святая святых вашего ПК. Если у вас реестр уже похож на тарелку со спагетти, если у вас в программных файлах "папки-призраки", если у вас появляются "синий экран", сообщения Windows об ошибках и не запрашиваемые страницы в Internet Explorer, то установка HIPS-программы приведет лишь к неприятностям. Даже на чистой машине принятие неверного решения может привести к необратимой нестабильности. Хотя, в принципе вы можете нанести такой же ущерб и при работе в программе очистки реестра.

Могу ли я использовать более чем одно приложение?

Я не вижу преимущества в использовании совместно двух HIPS-программ. Эксперты все еще не советуют запускать более одного активного защитного приложения одного и того же вида. Опасность возникновения конфликта перевешивает любые возможные преимущества.

Заключение

Пользователям, прежде чем размышлять о HIPS, может быть стоит позаботиться о повышении безопасности их браузера, первым делом заменив IE на Chrome, Firefox или Opera и используя песочницу . Люди, использующие стандартный фаервол, для дополнительной защиты могли бы ввести в работу Malware Defender. А пользователи CIS или Online Armor не получат от этого никаких преимуществ. Нагрузка на систему и использование ресурсов - это то, что должно учитываться, хотя это, главным образом, важно при использовании старых машин. В действительности, нет никакого категоричного решения, кроме того, чтобы сказать, что слишком много исключений из правил, слишком много! В общем, все дело в балансе. Самой большой угрозой для моего компьютера всегда буду я сам!

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Что означает HIPS в общем смысле?

Это означает "Хост-система предотвращения вторжений" (H ost I ntrusion P revention S ystem). В сущности, это программа, которая выдает оповещения пользователю, когда вредоносная программа, такая как вирус, возможно пытается запуститься на компьютере пользователя, или когда неавторизованный пользователь, такой как хакер, возможно получил доступ к компьютеру пользователя.

Происхождение и предыстория

Несколько лет назад классифицировать вредоносные программы было относительно просто. Вирус был вирусом, были и другие виды, но они прекрасно различались! В наше время "жучки" изменились, и определяющие границы между ними стали более размытыми. Мало того, что стало больше угроз в виде троянских коней, червей и руткитов, теперь различные вредоносные продукты часто скомбинированы. Это и есть причина, почему вредоносные программы теперь часто упоминаются собирательно как "вредоносное ПО", а приложения, созданные для борьбы с ними, как программы "широкого спектра действия".

В прошлом программы обнаружения при выявлении вредоносного ПО опирались прежде всего на его сигнатуры. Этот метод, несмотря на то, что он надежен, хорош лишь настолько, насколько часто производятся обновления. Существует дополнительная сложность в том, что большая часть сегодняшних вредоносных программ постоянно видоизменяется. В процессе этого изменяются и их сигнатуры. Для борьбы с этим были разработаны HIPS-программы, способные "узнавать" вредоносное программное обеспечение скорее по его поведению, чем по сигнатурам. Это "поведение" может быть попыткой управлять другим приложением, запустить службу Windows или изменить ключ реестра.

Иллюстрация сайта EUobserver.com

Это слегка напоминает поимку преступника по его поведению, а не по отпечаткам пальцев. Если он действует как вор, он, вероятнее всего, вор. Так же и с компьютерной программой: если она действует как вредоносная, значит, вероятнее всего, она является вредоносной программой.

Проблема здесь состоит в том, что иногда совершенно легальные программы могут действовать немного подозрительно, и это может привести к тому, что HIPS ошибочно обозначит законную программу как вредоносное ПО. Эти так называемые ложные тревоги являются настоящей проблемой для HIPS-программ. Вот почему лучшие HIPS-программы это те, которые используют комбинированный сигнатурно-поведенческий метод. Но об этом позже.

Что в действительности делает HIPS-программа?

В общих чертах HIPS-программа стремится сохранить целостность системы, в которой она установлена, предотвращая произведение изменений в этой системе неодобренными источниками. Обычно она делает это, показывая всплывающее окно-предупреждение безопасности, спрашивая пользователя, должно ли быть разрешено то или иное изменение.

Comodo: Всплывающее окно-предупреждение HIPS

Эта система хороша настолько, насколько хороши ответы пользователя на всплывающие запросы. Даже если HIPS-программа правильно идентифицирует угрозу, пользователь может непреднамеренно одобрить неправильное действие, и ПК все же может подвергнуться заражению.

Правильное поведение также может быть неверно истолковано как вредоносное. Эти так называемые "ложные тревоги" являются настоящей проблемой для HIPS-продуктов, хотя, к счастью, они стали менее распространены, поскольку HIPS-программы становятся все более проработанными.

Положительная сторона здесь это то, что вы можете использовать некоторые HIPS-программы, чтобы управлять правами доступа легальных приложений, хотя это было бы желательно лишь для опытных пользователей. Позже я более подробно разъясню и это, и почему вам стоило бы использовать их. Другой взгляд на HIPS состоит в том, чтобы использовать ее в качестве фаервола, управляющего приложениями и службами, а не просто доступом в интернет.

Тип продукта

Современное вредоносное ПО стало настолько совершенным, что программы обеспечения безопасности больше не могут опираться лишь на один только сигнатурный метод обнаружения. Теперь для того, чтобы выявлять и блокировать угрозы вредоносного ПО, многие приложения используют комбинацию различных методов. В результате, в нескольких различных видах защитных продуктов теперь используют HIPS. Сегодня совсем не редкость увидеть HIPS в составе антивирусной или антишпионской программы, хотя, безусловно, наиболее распространена HIPS как составная часть фаервола. В самом деле, в наиболее современных фаерволах к их возможностям фильтрации IP теперь добавлены защитные HIPS-элементы.

Комплексный антивирус Comodo Internet Security

В целях повышения эффективности в HIPS-программах используют множество методов обнаружения. В дополнение к распознаванию по сигнатурам HIPS-программы также наблюдают за поведением, соответствующим действиям вредоносного ПО. Это значит, что они стремятся выявлять действия или события, которые, как известно, типичны для поведения вредоносного ПО.

Некоторые программы поведенческого анализа более автоматизированы, чем другие, и несмотря на то, что это может показаться хорошей идеей, на практике это может приводить к осложнениям. Иногда сложившиеся обстоятельства могут выглядеть так, что вполне легальное действие приложения окажется подозрительным, что вызовет его завершение. Вы можете даже не узнать об этом, пока что-нибудь не перестанет работать! Это довольно безопасно и просто раздражает, пока процесс обратим, но иногда это может приводить к нестабильности в системе. Несмотря на то, что такие события редки, их влияние может быть серьезным, поэтому желательно учитывать это во время принятия решения.

Установка и настройка

HIPS-программа должна устанавливаться с ее настройками по умолчанию и так же использоваться до тех пор, пока либо у нее не закончится некий требуемый период обучения, либо пока ее функциональность не станет для вас привычной. Позже вы всегда сможете отрегулировать уровни чувствительности и добавить дополнительные правила, если вы почувствуете, что это необходимо. Приложения, имеющие по умолчанию "период обучения", разработаны таким образом неспроста. Может появиться соблазн сократить срок обучения, но этим вы можете также понизить эффективность. Обычно производители прилагают PDF-руководство, и никогда не бывает лишним прочитать его перед установкой.

ESET NOD32 Антивирус: Настройка HIPS

Ранее я упоминал о возможности использования HIPS-программы с целью контроля над использованием еще и легальных приложений. Мы уже делаем это в наших фаерволах, ограничивая использование портов. Вы можете использовать HIPS-программу подобным образом, чтобы блокировать или ограничивать доступ к системным компонентам и службам. В общих словах, чем сильнее вы ограничиваете Windows, тем безопаснее в ней будет работать. Я где-то читал, что самая безопасная Windows-система называется Linux! Но это уже другая проблема. Иногда легальные программы при инсталляции устанавливают такой уровень доступа к системе, который сильно превышает то, что они фактически должны выполнять в рамках своих обычных функций. Ограничение работы приложений до уровня "разрешено считывать" (с жесткого диска), если они при этом по умолчанию не нуждаются в "разрешении на запись", является одним из способов снижения риска. Для этого вы можете, к примеру, использовать настройку модуля "Защита+" в составе Comodo Internet Security.

Когда потенциальная угроза выявлена

Большинство HIPS-программ, когда что-либо происходит, оповещают пользователей о потенциальных угозах с помощью интерактивного всплывающего окна. Некоторые программы автоматизируют этот процесс и сообщают об этом (может быть!) уже позже. Важно то, чтобы самому не стать "автоматизированным" при ответах. Ни от каких приложений безопасности не будет толку, если вы вслепую будете щелкать по кнопке "Да", отвечая на любые вопросы. Всего несколько секунд размышления перед принятием решения может сохранить часы работы в дальнейшем (если не упоминать о потере данных). Если уведомление оказывается ложной тревогой, вы можете иногда сохранять его как "исключение", чтобы предотвратить такое уведомление в будущем. Также, о ложных тревогах рекомендуется уведомлять производителей, чтобы они могли устранять их в последующих версиях.

Что, если вы не уверены?

Показатели разнятся в зависимости от того, что вы читаете, но до 90% всей вредоносной заразы приходит из интернета, поэтому большую часть всплывающих оповещений безопасности вы будете получать, будучи в онлайне. Рекомендуемое действие - остановить данное событие и поискать в Google информацию о показанном файле (-ах). Местонахождение зафиксированной угрозы может быть столь же важным, как и имя файла. Более того, "Ispy.exe" может быть легальным ПО, но "ispy.exe" может быть вредоносным. Отчеты журнала "HijackThis" в этом могли бы помочь, но результаты, предоставляемые автоматизированной службой, могут быть не совсем однозначными. Вообще, вы будете допускать некоторый вред, блокируя или изолируя происходящее событие, пока не научитесь, что с ним делать. Такое бывает лишь при удалении чего-либо и незнании, что это могло привести к плачевным результатам!

Сегодняшняя тенденция - включать во всплывающие уведомления рекомендации от сообщества. С помощью этих систем вам стараются помогать безошибочно отвечать на уведомления безопасности, сообщая, как ответили в подобных случаях другие.

Это привлекательная идея в теории, но на практике результаты могут быть неутешительными. Например, если 10 человек ранее видели определенное уведомление, и девять из них сделали неправильный выбор, то когда вы видите рекомендацию с 90%-м рейтингом о блокировании программы, вы следуете их примеру! Я называю это "синдром стада". С увеличением количества пользователей должна увеличиваться и надежность рекомендаций, но так бывает не всегда, поэтому необходима некоторая осторожность. Вы всегда можете поискать в Google другое мнение.

Несколько средств защиты или "многоуровневый подход"?

Несколько лет назад использование единых комплектов безопасности не давало уровня производительности, сопоставимого с использованием нескольких отдельных приложений безопасности для достижения "многоуровневой" защиты. Хотя, недавно производители инвестировали значительные средства на разработку комплектов, и это теперь отразилось на их продуктах. Впрочем, некоторые все еще содержат по крайней мере один слабый компонент, и если это фаервол, то вам следовало бы сделать выбор в пользу чего-то другого. Общее мнение таково, что комбинация отдельных элементов все еще будет давать высокую производительность и лучшую общую надежность. Что они делают по большому счету, это конечно предлагают больше выбора и большую гибкость. Comodo был первым серьезным комплектом, который действительно бесплатен, но теперь Outpost (примечание Comss.ru: к сожалению, данный продукт не развивается в последнее время ) и ZoneAlarm также выпускают бесплатные комплекты. Все они предлагают серьезную альтернативу платному программному обеспечению.

Бесплатный ZoneAlarm Free Antivirus + Firewall

Автомобиль хорош настолько, насколько хорош его водитель, то же применимо и к программному обеспечению. Нет такой вещи, как программа безопасности разряда "установил и забыл". Постарайтесь выбрать то, что вы можете понять и что вам нравится использовать. Это все равно, что сравнивать фаерволы Sunbelt-Kerio и Comodo. Да, если вы хотите твердо стоять на земле, Comodo может дать лучшую защиту, но он еще и более труден для понимания. Если вы полагаете, что с Kerio проще работать, вы скорее всего будете использовать его эффективно, и в конечном счете это было бы лучшим выбором (только вплоть до Windows XP. Пользователи Windows 7 и выше могут попробовать TinyWall). В качестве ориентира используйте результаты различных тестов, но только для этого. Никакой тест никогда не сможет подменить ваш компьютер, вашу программу и привычки вашего серфинга.

Критерии выбора

Приложения для себя я всегда выбирал следующим образом. Вы, конечно, можете думать по-другому!

Нужно ли оно мне?

Многие люди оспаривают целесообразность использования некоторого программного обеспечения, когда возражают против того, чего оно позволяет достичь. Если в вашем фаерволе уже есть хороший компонент HIPS (как, например, в Comodo, Privatefirewall или Online Armor) то, возможно, этого достаточно. Однако, такие программы, как Malware Defender, используют различные методы, которые позволяют предоставить дополнительную защиту при некоторых обстоятельствах. Только вы можете решить, необходимо ли вам это. Эксперты по прежнему не советуют запускать более чем одно защитное ПО одного и того же вида.

Смогу ли я им пользоваться?

Установка любой HIPS-программы создает немало работы в смысле необходимости настройки и управления оповещениями. В целом, то, что находят HIPS-программы, может быть несколько неоднозначным, поэтому вы должны быть готовы к проверке их результатов. Только со средними познаниями вы можете посчитать это проблемой при интерпретации результатов.

Поможет ли оно?

Методы на основе HIPS эффективны лишь там, где пользователь правильно отвечает на всплывающие оповещения, которые показывает HIPS. Новички и равнодушные пользователи вряд ли будут способны давать такие ответы.

У старательных и опытных пользователей для HIPS-программ есть место в сфете безопасности ПК, поскольку HIPS адаптирует иной подход к традиционному сигнатурному ПО. Используемый отдельно или вместе с фаерволом, HIPS добавит вам возможностей для обнаружения.

Не испортит ли оно мою систему?

Программы обеспечения безопасности по самой своей природе, чтобы быть эффективными, должны вторгаться в святая святых вашего ПК. Если у вас реестр уже похож на тарелку со спагетти, если у вас в программных файлах "папки-призраки", если у вас появляются "синий экран", сообщения Windows об ошибках и не запрашиваемые страницы в Internet Explorer, то установка HIPS-программы приведет лишь к неприятностям. Даже на чистой машине принятие неверного решения может привести к необратимой нестабильности. Хотя, в принципе вы можете нанести такой же ущерб и при работе в программе очистки реестра.

Могу ли я использовать более чем одно приложение?

Я не вижу преимущества в использовании совместно двух HIPS-программ. Эксперты все еще не советуют запускать более одного активного защитного приложения одного и того же вида. Опасность возникновения конфликта перевешивает любые возможные преимущества.

Заключение

Пользователям, прежде чем размышлять о HIPS, может быть стоит позаботиться о повышении безопасности их браузера, первым делом заменив IE на Chrome, Firefox или Opera и используя песочницу. Люди, использующие стандартный фаервол, для дополнительной защиты могли бы ввести в работу Malware Defender. А пользователи CIS или Online Armor не получат от этого никаких преимуществ. Нагрузка на систему и использование ресурсов - это то, что должно учитываться, хотя это, главным образом, важно при использовании старых машин. В действительности, нет никакого категоричного решения, кроме того, чтобы сказать, что слишком много исключений из правил, слишком много! В общем, все дело в балансе. Самой большой угрозой для моего компьютера всегда буду я сам!