Comodo и HIPS

В COMODO версии 2.4 есть функции HIPS. Тестировалась связка с System Safety Monitor. Результат-некорректная работа,зависание винды… Вывод-либо comodo без дополнительных программ HIPS, либо… Может кто поделится своими соображениями по использованию comodo с сторонними HIPS-прогами?

HIPS-системы

Олег Зайцев

Введение

Как показывает практика, антивирусные продукты не могут обеспечить абсолютно надежную защиту компьютера. Это в первую очередь связано с тем, что применяемый в антивирусах принцип поиска по сигнатурам не позволяет обнаруживать новые разновидности вредоносных программ до их изучения аналитиками и внесения в базы антивируса. Отчасти данная проблема компенсируется наличием в составе антивирусов средств эвристического анализа, однако подобные средства также не дают гарантии надежного обнаружения новых вредоносных программ. Поэтому с целью комплексной и всесторонней защиты компьютера необходимо применять Firewall для контроля работы приложений с Интернетом и сетью, а также HIPS-системы для контроля за самими приложениями. Аббревиатура HIPS расшифровывается как Host Intrusion Prevention Systems — система отражения локальных угроз. Задачей HIPS-систем является контроль за работой приложений и блокировка потенциально опасных операций по заданным критериям.

HIPS в первую очередь состоит из перехватчика API-функций. Перехват может производиться в режиме UserMode или KernelMode, причем практика показывает, что для полноценного контроля за работой приложений требуется перехват как минимум 10-15 различных функций, в частности:

* функций работы с файлами и папками;
* функции для работы с реестром;
* системных функций, применяемых вредоносными программами. К ним относится, например, функция создания удаленных потоков или записи в память других процессов; функции, применяемые для запуска и остановки процессов, для манипулирования потоками и т.п.

Перехват обычно осуществляется по типовым методикам, применяемым антивирусными мониторами, антикейлоггерами, брандмауэрами и Rootkit-средствами. Поэтому при выборе HIPS-системы необходимо учитывать несколько факторов:

* следует узнать, будет ли HIPS-система совместима с применяемым антивирусным монитором, брандмауэром или иным ПО, перехватывающим API-функции для своей работы. Получить список перехваченных функций можно при помощи антируткита. Например, AVZ в протоколе формирует отчет с указанием перехваченных функций и методики их перехвата;
* злейшим врагом HIPS-системы является антируткит, обладающий функциями активного противодействия перехватам. Восстанавливая перехваченные функции, антируткит нейтрализует все защитные механизмы HIPS-системы и может полностью парализовать ее работу. Поэтому перед применением антируткита в режиме нейтрализации перехватов требуется обязательно закрыть все приложения, а после нейтрализации перехватов и выполнения нужных проверок следует в обязательном порядке перезагрузить компьютер;
* перехваты могут осуществляться в режиме ядра и в пользовательском режиме. Проверить это легко при помощи антируткита AVZ. Следует учитывать, что HIPS-системы, перехватывающие UserMode-функции, крайне ненадежны, так как для их обхода достаточно программы на языке C объемом в несколько листов исходного текста.

Итак, перехватчики позволяют HIPS контролировать большинство критических API-функций. При обнаружении вызова той или иной функции перехватчик передает информацию анализатору, который принимает решение о том, допустим ли данный вызов для выполняющего его приложения или нет. Далее возможно несколько вариантов развития событий:

* по мнению анализатора, вызов допустим — в этом случае производится передача управления перехваченной функции;
* вызов допустим, но с ограничениями — в этом случае перед вызовом перехваченной функции HIPS может модифицировать один или несколько ее параметров. Например, при открытии файла приложение может запросить открытие на чтение-запись, а HIPS-система изменит режим открытия на «только чтение»;
* вызов считается недопустимым — в этом случае выполнение операции блокируется и возвращается ошибка. Другим вариантом реагирования может являться эмуляция успешного выполнения операции. Последний вариант наиболее применим для ограничения работы приложения с реестром.

Естественно, что для принятия решения анализатору необходима некоторая база данных, содержащая правила или алгоритмы, используемые для принятия решений. Во многих системах эта база может периодически обновляться аналогично базам антивирусного продукта.

Идеологии построения HIPS-системы

Как уже отмечалось, анализатор HIPS-системы принимает решения по поводу того, разрешить или запретить выполнение той или иной операции. Очевидно, что анализатор должен руководствоваться некоторыми правилами или алгоритмами, заложенными разработчиком или пользователем. По методике принятия решения все HIPS-системы можно разделить на две большие категории:

* HIPS-системы, в которых решение применяется самой системой. В этом случае разработчик сам создает правила и алгоритмы принятия решения, которые недоступны для модификации со стороны пользователя. Далее все приложения разделяются на доверенные и недоверенные, причем это деление производится с участием пользователя. На работу доверенных процессов HIPS не оказывает никакого влияния, а потенциально опасные действия недоверенных приложений автоматически пресекаются. Подобные системы еще называют sandbox HIPS (от англ. Sand-Box — песочница), подразумевая, что недоверенные процессы работают в рамках некоторой виртуальной «песочницы»;
* HIPS-системы, работающие на основе правил пользователя. Системы данного типа принято считать классическими, и по сути они являются своеобразными брандмауэрами для приложений. При работе с такой системой пользователь производит ее обучение, создавая систему правил. Естественно, что некоторый набор правил может быть предустановлен разработчиком или генерироваться автоматически в процессе инсталляции.

У каждого из этих идеологических подходов есть свои достоинства и недостатки.

Главное достоинство Sandbox HIPS состоит в том, что разработка правил и их тестирование перекладываются на плечи разработчика. Такая система может эксплуатироваться пользователем любой квалификации и не требует от него принятия решений по поводу того, какие операции и в каком случае требуется разрешать или блокировать. Это особенно важно в случае отсутствия у пользователя необходимой для принятия решения квалификации. Однако для опытного пользователя данное преимущество может обернуться существенным минусом, так как он теряет возможность тонкой настройки системы.

HIPS-системы на основе правил пользователя свободны от данного недостатка. Обучая систему, пользователь вырабатывает свою систему правил, которая, по его мнению, наиболее точно соответствует специфике эксплуатируемых приложений. Однако при эксплуатации систем данного типа возникает ряд проблем:

* эффективность работы системы зависит от того, насколько грамотно составлены правила;
* для принятия правильных решений пользователь должен обладать достаточно высокой квалификацией. В некоторых системах данная проблема частично компенсируется за счет вывода в процессе обучения подробного описания обнаруженных событий с разъяснением, чем и как блокируемое действие приложения может навредить системе.

Вероятно, компромиссным решением может считаться HIPS-система, в том или ином виде сочетающая в себе оба идеологических подхода.

Господа!
Зайцевская утилита находит длл-ку от Вашего файрвола как “перехватчик”?
Или это у меня иные проблемы с компьютером?
См. часть протокола сканирования:
Протокол антивирусной утилиты AVZ версии 4.24
Сканирование запущено в 29.04.2007 19:59:56
Загружена база: 105061 сигнатура, 2 нейропрофиля, 55 микропрограмм лечения, база от 29.04.2007 10:23
Загружены микропрограммы эвристики: 369
Загружены цифровые подписи системных файлов: 58996
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, ; AVZ работает с правами администратора

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=09C420)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804DE000
SDT = 8057A420
KiST = 804ED0EC (295)
Функция NtConnectPort (21) перехвачена (805A7E70->BAE7D0D2), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateFile (27) перехвачена (8058DF80->BAE7F302), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreatePort (30) перехвачена (805CB260->BAE7D02C), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateSection (34) перехвачена (805A0AA0->BAE7DAAE), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtCreateThread (37) перехвачена (8059C5C0->BAE7CD12), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteFile (41) перехвачена (80627C40->BAE7ECB0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteKey (42) перехвачена (805B5410->BAE7DEC0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtDeleteValueKey (44) перехвачена (805AFEC0->BAE7DDDA), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenProcess (80) перехвачена (805AD160->BAE7DB94), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenSection (83) перехвачена (805A3320->BAE7D9E0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtOpenThread (86) перехвачена (805B7160->BAE7DCB0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetContextThread (DD) перехвачена (805D9AB0->BAE7CBB4), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetInformationFile (E9) перехвачена (80592410->BAE7EDE0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtSetValueKey (100) перехвачена (805996B0->BAE7D26A), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtShutdownSystem (102) перехвачена (80680A90->BAE7DFA0), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtTerminateProcess (10A) перехвачена (805CF2D0->BAE7CF66), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtWriteFile (11C) перехвачена (8058A260->BAE7F14A), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Функция NtWriteFileGather (11D) перехвачена (805DE550->BAE7EFB4), перехватчик E:\WINDOWS\System32\DRIVERS\cmdmon.sys
Проверено функций: 295, перехвачено: 18, восстановлено: 0

в чем проблема- нравится AVZ версии 4.24 и не нравится Сomodo,-идите,господин хороший, под “опеку и контроль Зайцева”…
я лично не считаю AVZ панацеей и авторитетом,-скорее наоборот!
…а “дискредитация” продуктов Comodo - слабенький приемчик… (CLY)

Мда!.. Ну и нравы у вас здесь!
Человек задал на форуме конкретный вопрос:
“Зайцевская утилита находит длл-ку от Вашего файрвола как “перехватчик”? Или это у меня иные проблемы с компьютером?” - а вы сразу кидаетесь как на врага!
Разве юзанье зайцевской утилиты AVZ несовместимо с юзаньем файрвола? (:TNG)
“Дискредитация”!!! Да перед кем? (:AGY)
На самом деле такие личности как вы дискредитируют - если не продукт, так команду “поддержки” - уж точно!
После такой “встречи” новичка на вашем форуме у меня лично отпало желание общаться с всеми вами! (:AGY)

В COMODO версии 2.4 есть функции HIPS. Тестировалась связка с System Safety Monitor.

тажа связка но проблем пока нет.

Ничего страшного в логе АВЗ нет.Антивирусы и фаерволы и будут детектиться АВЗ. Прочтите повнимательнее второй пост и справку по АВЗ и сразу все Вам станет ясно :slight_smile: Удачи Вам!

А разве антивирусы и файрволы не являются “перехватчиками”?!

Именно по этому принципу они и работают - перехватывают обращения к системным функциям, обрабатывают их должным образом. В результате чего, нужные приложения продолжают работать, ненужные - блокируются.

Tак я об этом и хотел сказать :slight_smile:

imho, HIPS в comodo начинает перехватывать приложения, если они пытаются работать в сети (как и многие другие firewall), SSM работает глобальнее (в avz можно увидеть, что при работе SSM системных вызовов перехватывается больше)
SSM и сomodo в принципе могут работать вместе, протестировано, но иногда SSM вылетает (довольно редко). Comodo совместим(проверял) с defencewall(beta 6), processguard, windows defender, из антивирусов - касперский для серверов, drweb 4.44(beta), symantec корпоративный.

Обновился System Safety Monitor! Нестыковок с COMODO не обнаружено… :slight_smile:
И все-таки пользователи потихоньку начинают понимать и оценивать преимущества HIPS !

Привет! Узнаешь? (:WAV)
Я вижу Ты уже протестил связку Comodo PF и SSM - подскажи плиз что надо отключить в Comodo PF, что бы не было конфликтов с SSM (зачем дублировать функции - от этого ведь и будут конфликты, не так ли?)???
СПАСИБО! :■■■■

Я не заметил конфликтов когда пользовал эту связку. Наоборот,мне показалось,что работа связки достаточно устойчива… :slight_smile:

Так Ты ничего в Comodo PF не отключал? Я имею ввиду Application Behaviour Analysis…
Это ведь функции HIPS в фаере… Но они же есть и в SSM (его основная работа)!
Это не дублирование - пусть даже и бесконфликтное?

Нет,отключать не надо.Все хорошо уживается. :slight_smile:
А возможности SSM уходят далеко за рамки перехватов функций. :slight_smile:

Все понял (а я отключал - ВКЛЮЧАЮ!) - СПАСИБО!!!
Здесь есть что-нибудь типа репутации (хочу заплюсить Тебе) ? - не вижу где это тут…

Нет,репутации здесь нету.Да это и не важно.
Важно то что ты интересуешься безопасностью. Рано или поздно,но ты во всем разберешься. :slight_smile:

Почему-то бытует мнение что HIPS (В часности защита от атак переполнения буффера) будет сильно тормозить… С чего это ? Ничего подобного, обывательские разговорчики (С) :slight_smile:

Честно говоря,нигде не читал о таком мнении… Дайте ссылку,если можно. :slight_smile:

Тут на форуме где-то было :slight_smile: В этой теме…