Песочница →
Настройка функции HIPS в ESET NOD32 «5»
В новой версии антивируса появилась такая технология как HIPS и в связи с этим постараюсь немного описать как можно защитить работу ОС с помощью этой функции.
О технологии:
HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует, отметить, что эффективность HIPS может доходить до 100%, однако, большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
Почитать подробнее о HIPS можно тут
Для начала надо открыть окно антивируса и нажать F5 чтобы попасть в Расширенные Настройки.
Переходим в самый первый раздел — компьютер и выбираем пункт система предотвращения вторжения на узел, это и есть HIPS и убеждаем что у нас включена эта функция и самозащита антивируса — Self-defense
Далее заходим в дополнительные настройки и ставим галочки как на скрине. Это нужно для того, чтобы антивирус нас оповещал об изменениях в разделе автозагрузка — будь то служба или какая-то программа, вне зависимости где она прописалась.
Далее идем в настройку правил. Режим фильтрации в этом разделе должен оставаться по умолчанию — Автоматический с правилами.
Здесь жмем создать и вписываем любое имя этой новой настройки. Не забываем выставить нужные галочки
Теперь мы переходим во вкладку конечные файлы, жмем добавить и вписываем эти значение по очереди — вписали первое — нажали OK, затем опять добавить и вписываем другое значение:
C:\Windows\explorer.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Windows\System32\drivers\etc\*
После этого выбираем вкладку конечные реестра и ставим единственную галочку на использовать для всех операций
Следом вписываем нижеуказанные значения по очереди — вписали первое — нажали OK, далее опять добавить и вписываем другое значение
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
Теперь при попытке любых приложений изменить файл hosts чтобы вписать туда ненужные нам параметры — система обнаружения антивируса будет нас об этом оповещать
HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует, отметить, что эффективность HIPS может доходить до 100%, однако, большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
Почитать подробнее о HIPS можно тут
Для начала надо открыть окно антивируса и нажать F5 чтобы попасть в Расширенные Настройки.
Переходим в самый первый раздел — компьютер и выбираем пункт система предотвращения вторжения на узел, это и есть HIPS и убеждаем что у нас включена эта функция и самозащита антивируса — Self-defense
Далее заходим в дополнительные настройки и ставим галочки как на скрине. Это нужно для того, чтобы антивирус нас оповещал об изменениях в разделе автозагрузка — будь то служба или какая-то программа, вне зависимости где она прописалась.
Далее идем в настройку правил. Режим фильтрации в этом разделе должен оставаться по умолчанию — Автоматический с правилами.
Здесь жмем создать и вписываем любое имя этой новой настройки. Не забываем выставить нужные галочки
Теперь мы переходим во вкладку конечные файлы, жмем добавить и вписываем эти значение по очереди — вписали первое — нажали OK, затем опять добавить и вписываем другое значение:
C:\Windows\explorer.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Windows\System32\drivers\etc\*
После этого выбираем вкладку конечные реестра и ставим единственную галочку на использовать для всех операций
Следом вписываем нижеуказанные значения по очереди — вписали первое — нажали OK, далее опять добавить и вписываем другое значение
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
Теперь при попытке любых приложений изменить файл hosts чтобы вписать туда ненужные нам параметры — система обнаружения антивируса будет нас об этом оповещать
21.10.2011 23:53+0400