Skocz do zawartości


tablety.pl

Monitory HIPS - blokery behawioralne




  • Zaloguj się, aby dodać odpowiedź
8 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 15 11 2006 - 13:50

HIPS czyli Host-based Intrusion Prevention System. Definicja ta jest dość elastyczna i z różną klasyfikacją mamy do czynienia. W temacie tym ujmę to tak: niesygnaturowa detekcja zagrożenia poprzez monitorowanie zachowań systemu, "firewall procesów". Standardowe firewalle sieciowe to inne zagadnienie, choć poprzez swój system monitoringu połączonego z alertowaniem mogą zostać uznane na częściowe realizowanie koncepcji HIPS. Aczkolwiek HIPS głównie adresuje monitorowanie niesieciowych komponentów. Niemniej niektóre firewalle mają moduł HIPS - darmowe Comodo / Online Armor / Webroot. Programy pokroju HIPS mogą stanowić problem dla przeciętnego użytkownika nastawionego na bezobsługową egzystencję, gdyż wymagają reakcji ze strony użytkownika.





Dołączona grafika

Core Force

http://force.coresecurity.com/

Platforma: Windows 2000/XP
Licencja: Apache 2.0, free do użytku domowego i komercyjnego


HIPS i sandbox w konwencji administracyjnej. Monitor adresuje kontrolę uruchamiania procesów, dostępu do rejestru oraz plików / folderów plus nacisk na kontrolę ruchu sieciowego. Uprawnienia mogą być konfigurowane globalnie na cały system lub w kierunku aplikacji w oparciu o ich profile. Uruchomione procesy można przenosić między profilami bezpieczeństwa. Program dla zaawansowanych. Raczej za trudny w konfiguracji dla przeciętnego użytkownika i nie polecam początkującym tego wariantu. Uwaga: sterownik Force Network Driver miniport jaki montuje CoreForce, nie na każdym systemie dobrze się przyjmie. Aktualnie zaliczyłam dwa BSODy z powodu jego aktywności i przeszłam katorgę z ręczną deinstalacją sterowników. Jeśli po instalacji komp przestanie startować wejść w tryb awaryjny i uruchomić z folderu aplikacji Recovery Console.

Jeszcze są za free, ale nie testowane przeze mnie: Antihook 2.6 (ostatnia darmowa wersja), SensiveGuard (nierozwijany) i Real-time Defender (dawne ProSecurity).




Aktualizacja: Usuwam stąd oficjalnie wymarły System Safety Monitor 2 Free edition oraz DiamondCS ProcessGuard Free Version.




#2 auriell

auriell

    Medium Rank

  • Użytkownicy +
  • 198 postów

Napisano 26 04 2007 - 18:51

Dołączona grafika

Winsonar 2008

http://digilander.libero.it/

Platforma: Windows 98/2000/XP
Licencja: freeware


Progs do nadzorowania procesów w systemie. Ponoć zatrzymuje wszystkie leak testy, których nie przechodzą firewalle.





Użytkownik picasso edytował ten post 02 04 2009 - 00:05


#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 29 04 2007 - 11:16

Dołączona grafika

Winpooch

http://winpooch.free.fr/

Platforma: Windows 2000/XP/2003
Licencja: GPL (open source)


Winpooch jest monitorem aktywności systemu umożliwiającym zabezpieczenie przed atakami malware. Posiada kontrolę uruchamiania oraz zakańczania procesów, kontrolę rejestru oraz ustawianie restrykcji dla folderów/plików. Również kontroluje ruch sieciowy co jest wyjątkiem w HIPS a upadabnia go w działaniu do tradycyjnego firewalla. Wszystkie te operacje są prowadzone na bazie ustalania reguł filtrów zbiorczo wyświetlonych w jednym oknie. Brak funkcji: blokowania modyfikacji procesów czy kontroli montażu usług, ale częściowo niektóre braki da się obejść za pomocą ustawienia stosownego filtra. Winpooch może stanowić uzupełnienie dla programu antywirusowego ClamWin, który niestety jest pozbawiony strażnika. Posiadając taki komplet pozostajecie open source + total legal w firmie. Projekt nierozwijany. Instalator ma polską wersję językową. Dołączona grafika





#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 26 01 2008 - 23:57

Dołączona grafika

WinPatrol

http://www.winpatrol.com/

Platforma: Windows 98/Me/NT/2000/XP/2003/Vista/2008/Vista 32-bit i 64-bit
Licencja: freeware, wersja Plus płatna


WinPatrol - Monitor systemowy uwzględniający aktywność procesów, usług i zaplanowanych zadań działających w systemie. Jest też filtrowanie plików cookie, menedżer typów plików i ukrytych plików oraz poszerzeń uruchamianych z Internet Explorer. Specjalną opcją Opóźnienie startu aplikacji. Na patrolu Scotty "piesek" - strażnik alertujący na bieżąco o dokonywanych modyfikacjach. Śledzenie dotyczy głównie rejestru, nie ma kontroli uruchamiania nieznanych procesów. Jest to program przyjazny użytkownikowy, obsługowo najprostszy z prezentowanych tu HIPS-ów, ale też i niezbyt zaawansowany. Im dalej tym trudniej. Wersja komercyjna PLUS ma oczywiście bogatszy zestaw opcji, a pełne porównanie tu: klik. Do pobrania polska wersja: klik.






#5 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 27 01 2008 - 16:44

Trend Micro RUBotted

http://www.trendsecure.com/

Platforma: Windows 2000/XP/2003/Vista 32-bit
Licencja: freeware do użytku niekomercyjnego


Trend Micro RUBotted to monitor aktywności sieciowej komputera, który specjalizuje się z kolei w detekcji botów. O sieci i metodologii botów skrótowo w Wiki. RUBotted sprawdza rozmaity "podejrzany" i podatny na ten rodzaj szkód typ komunikacji: nasłuchiwanie na typowych portach HTTP, wychodzące połączenia SMTP (e-mail), monitorowanie zapytań DNS (na okoliczność podejrzanych domen), polecenia IRC. W konfiguracji można zaznaczyć sprawdzanie wszystkich tych typów lub wybrać tylko niektóre. W przypadku odnotowania niezdrowej aktywności aplikacja zgłasza alert z ofertą uruchomienia skanera antywirusowego. Oferowanym skanerem jest oczywiście inny produkt firmy TrendMicro czyli HouseCall. Na teraz dość skromny interfejs, ale to moim zdaniem nie jest wada. Status beta.






#6 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 12 02 2008 - 20:03

Netchina S3 HIPS

http://www.netchina.com.cn/

Platforma: Windows 2000/XP/2003
Licencja: freeware


Netchina S3 - HIPS produkcji chińskiej adresujący monitoring aplikacji i ruchu sieciowego w trybie czasu rzeczywistego. Umożliwia śledzenie zachowań programowych i formowanie reguł: zaufanych / niezaufanych aplikacji, aplikacji które mają pozwolenie na uruchamianie bezpośrednie lub z wywołań pośrednich, które mogą uruchamiać inne procesy / instalować sterowniki / wstrzykiwać / operować na specyfikowanych plikach lub kluczach rejestru / mieć dostęp sieciowy. Posiada zaporę: firewall TDI, filtrowanie pakietów i bindowanie IP/MAC. Dostępny także Anti-DDOS i tryb kryjący Stealth. Dodatkowo jest wbudowany panel narzędziowy dający dostęp do edycji lokalizacji autostartu (coś a'la Autoruns), listy procesów, netstat. Reguły i konfigurację programu można zahasłować. Program mało user-friendly i wymaga jednak dopracowania, a GUI trochę "przyciężkawe", aczkolwiek jest to dość ciekawa propozycja funkcyjna. Uwaga: Program nie jest kompatybilny z Windows Vista. Poza tym montuje sterowniki sieciowe które mogą wchodzić w konflikt z innymi produktami zabezpieczającymi opartymi na sterownikach, w konsekwencji generując BSOD. Aktualnie jest dostępna angielska edycja 2008, ale na forum projektu jest już nowsza beta, niestety tylko po chińsku...

Dyskusja na Wildersach
Forum z translatora





#7 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 17 02 2009 - 20:10

ThreatFire

http://www.threatfire.com/

Platforma: Windows 2000/XP/Vista/7
Licencja: freeware do użytku niekomercyjnego


ThreatFire - Dawny CyberHawk, zrebrandowany pod patronatem dobrze znanego PCTools. Gatunek HIPS umożliwiający prewencję przed instalacją malware, w konwencji przyjaznej użytkownikowi. Posiada proaktywną ochronę czasu rzeczywistego oraz możliwość umieszczenia znalezisk w kwarantannie, skąd można już decydować o ich kasacji. Program jest wstępnie prekonfigurowany, aczkolwiek dostępna też zaawansowana ręczna konfiguracja reguł. Posiada wbudowany skaner rootkitów, wg wyboru między inteligentnym skanowaniem a pełnym. Moduł System Activity Monitor pozwala na pobranie bieżącego wykazu uruchomionych procesów. Dodatkowa integracja ze społecznością PCTools dająca możliwość wyszukiwania informacji o zagrożeniach. Obrazkowe ustawienia na wildersach (tyczą starszej wersji): klik. Edycja darmowa jest pozbawiona: autoaktualizacji jeśli brak partycypacji w ThreatFire Community, telefonicznego wsparcia technicznego, możliwości komercyjnego stosowania aplikacji. Skin oczywiście ten sam jak inne produkty PCTools. Do kompletu proponują swoje inne darmowe produkty: PC Tools Antivirus Free / SpywareDoctor Starter Edition.




#8 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 20 02 2009 - 20:27

DriveSentry

http://www.drivesentry.com/

Platforma: Windows 2000/XP/2003/Vista/7 32-bit
Licencja: free do użytku niekomercyjnego / shareware


DriveSentry - Typ HIPS + sandbox będący "firewallem dysków". Pozwala na dostęp tylko zaufanych bezpiecznych programów do plików, pamięci i ustawień systemowych. Program monitoruje aplikacje na okoliczność podejrzanej ich działalności, a akcję finalizuje komunikatem umożliwiającym podjęcie decyzji (zezwolenie / zablokowanie). Dodatkowo są monitorowane pod kątem modyfikacji pewne predefiniowane miejsca systemowe takie jak Autostart, ustawienia Internet Explorer czy DriveSentry jako taki. Moduł Advisor to system bazy danych trzymający rekordy aplikacji białej / czarnej listy, budowanej przez społeczność DriveSentry. DriveSentry łączy się do Advisora, w chwili gdy aplikacja próbuje wykonywać operację, w celu weryfikacji szkodliwości. Posiada też skaner AV, aczkolwiek nie zawierzałabym temu całkowicie. Lepiej połączyć Drivesentry z pełnym innym programem AV.

Aplikacja dostępna w dwóch głównych wersjach: Desktop (montażowa w systemie, free/komercyjna) i GoAnywhere (portable dla urządzeń przenośnych, komercyjna). Wersja Desktop jest darmowa, z możliwością jej upgradu do wariantu komercyjnego. W stosunku do wersji komercyjnej różni ją brak: lokalnej bazy danych malware (program potrzebuje dostępu online, by zweryfikować programy) i funkcji Auto allow (zautomatyzowane decyzje przepuszczania / blokowania programów = mniej pop-upów). Po 30-dniach te funkcje są deaktywowane. Przy instalacji jest wymóg założenia anonimowego free konta Advisor. Następuje też synchronizacja bazy.






#9 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 02 04 2009 - 02:19

Dołączona grafika

EdgeGuard Solo

http://www.blueridgenetworks.com/

Platforma: Windows XP/Vista
Licencja: freeware


EdgeGuard Solo - Trudno trochę tę aplikację sklasyfikować, w uproszczeniu jest to podobne do mutacji blokera behawioralnego z sandboxem, rodzaj sterownikowej "ściany". Metoda opiera się na tworzeniu tarczy wokół programu wskazanego do ochrony, podprogramy wywoływane przez ten program również automatycznie wejdą w tarczę. Program poddany tej operacji ma zakaz zapisu do podatnych na ataki lokalizacji systemowych (katalogi systemowe, klucze HKLM, niektóre z kluczy bieżącego użytkownika np. Run), a przy takiej próbie jest formowany alert ostrzeżeniowy. Jest jednak tylko strażnikiem aplikacji trybu użytkownika, lecz nie usług. Ze względu na różnice w budowie istnieje podział na odrębne dodawanie programów, Internet Explorer oraz składowych Microsoft Office. Set-it-forget-it. Zaletą jest bardzo proste GUI oraz obsługa, na tle transparentnej ochrony nie wymagającej szczególnych reakcji użytkownika. Znane konflikty bądź ograniczenia: interferencja z mechanizmem Windows Update oraz wydrukiem do wirtualnych drukarek (na czas tych operacji należy tymczasowo zdjąć ochronę), nie współpracuje z przeglądarką Google Chrome, problem z nakładaniem ochrony na najnowszą wersję Windows Live Messenger, na systemie Vista nie prowadzi ochrony kluczy rejestru. Jest to free edycja w stanie beta i ma darmową pozostać (niewiadomym czy projekt będzie jednak rozwijany). Komercyjnym odpowiednikiem jest o wiele bardziej rozwinięty (i poprawiony) AppGuard.

Download
Dyskusja na Wildersach












Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych