Преглед на програмата за проактивна компютърна защита Defence Wall HIPS. Различни опции за проактивна защита. Идентифициране на приложения по техните пътища

Главна информация

Когато компонент БЕДРАактивирана, активността на програмата е ограничена в съответствие с правилата. Ситуации, за които правилото не е посочено, се разрешават в зависимост от режима HIPS, рейтинга на програмата и други условия.

Обикновено безопасният режим позволява на доверените програми да извършват всяка дейност, която не е забранена от правилата, с изключение на стартирането на неидентифицирани файлове. Стартирането на неидентифицирани програми, както и всяко действие на тези програми, се предотвратява чрез предупреждения.

Параноичният режим спира с предупреждения всяка дейност на програми, която не е предвидена от правилата.

В режим на обучение всяка дейност на която и да е програма, която не е предвидена от правилата, автоматично ще създаде нови разрешаващи правила.

Правилата са представени в раздела HIPS → Правила на HIPSкато списък приложенияи назначените от него набори от правила.

Приложенията могат да бъдат точни пътища до файлове, модели на пътища с * и? , както и групи от файлове. В пътищата и техните шаблони можете да използвате . Файловите групи са колекции от пътища или шаблони, те се конфигурират в раздела Оценка на файлове → Групи файлове. Бих искал да подчертая, че приложенията в правилата на HIPS се идентифицират само чрез техните пътища, а не чрез хешове и т.н.

Наборът от правила, присвоени на приложение, се състои от два раздела: „Права за достъп“ и „Настройки за сигурност“. Първият задава правата на самото приложение, а вторият, напротив, го защитава от други програми. Приложението може да има и двете собствен набор от правила, или някой от предварително генерираните набори: те се конфигурират в раздела HIPS → Набори от правила.

Предварително дефиниран набор от правила „Система Windows приложение"разрешава всякаква дейност, наборът Разрешени приложения позволява всякаква дейност, но не регулира стартирането на дъщерни процеси; Комплектът „Изолирано приложение“ строго забранява всяка дейност; Наборът за ограничено приложение забранява почти всичко, с изключение на съобщенията в прозореца и достъпа до монитора, и не регулира стартирането на дъщерни процеси. Можете не само да създавате свои собствени комплекти, но и да променяте предварително зададените.

Считано от CIS 10.0.1.6223, наборът от правила на HIPS „Изолирано приложение“ е преименуван на „Приложение, работещо в контейнер“. Според мен това е грешен преводнаречено „съдържащо се приложение“, тъй като в действителност правилата на HIPS нямат нищо общо с контейнера (виртуална среда). За да избегнете объркване, препоръчвам да преименувате този набор обратно на „Изолирано приложение“ и в статията ще се нарича по този начин.

Специален случай е наборът от правила „Инсталиране или актуализиране“, който дава на приложенията . Програмите с такива привилегии свободно извършват всякакви действия (с изключение на изрично забранените от правилата), вкл. стартирайте всякакви програми и техните дъщерни процеси също получават привилегии за инсталиране. Изпълнимите файлове, създадени от такива програми, автоматично се доверяват.

Различни конфигурации на източника COMODO интернет сигурностсе различават както в първоначалния набор от правила, така и в контролирания набор от програмни дейности. За най-пълна HIPS защита трябва първоначално да изберете конфигурация Проактивна сигурности оттам извършете допълнителна конфигурация.

Когато ограничава достъпа на програмата до различни ресурси, HIPS разчита на данни от секции HIPS → Защитени обекти. Например файл или директория може да бъде защитен от модификация само ако пълното му име съвпада с някой от шаблоните в раздела Защитени файлове. Така че, ако искате да попречите на някоя програма да променя файлове на D: устройство (независимо от техния тип), първо трябва да добавите това устройство към списъка със защитени.

След това, когато създавате конкретни правила, можете да променяте ограниченията за достъп до определени защитени обекти, като щракнете върху „Редактиране“ в колоната „Изключения“.

Най-препоръчително е да използвате HIPS в Безопасен режимкато деактивирате опцията Създайте правила за сигурни приложения , или в Параноичен. Тогава процедурата за определяне на програмния достъп до ресурс ще бъде както следва:

Както виждаме, в HIPS действието „Попитай“ изразява липсата на правило (за разлика от защитната стена, където инструктира да се покаже предупреждение).

И така, разделът „Разрешено“ на най-горното правило, подходящо за дадена програма, има най-висок приоритет; след това - раздела „Блокирани“; след това - действието, посочено в това правило, ако е недвусмислено; след това - раздела „Разрешено“ на следващото правило и т.н. При липса на изрично правило достъпът е разрешен, ако (i) привилегиите на инсталатора са в сила, или (ii) програмата е „надеждна“ и режимът HIPS е „Защитен“, или (iii) „Не показвай предупреждения“ : Разрешаване на заявки" опцията е отметната. Когато нито едно от тези условия не е изпълнено, достъпът се блокира, ако опцията „Не показвай предупреждения: Блокиране на заявки“ е отметната или се издава предупреждение, ако тази опция е деактивирана.

Специален случай: ако програмата работи във виртуална среда и/или с ограничения за автоматично ограничаване, тогава при липса на правило ще й бъде дадено разрешение (подобно на опцията „Не показвай предупреждения: Разрешаване на заявки“). Освен това във виртуална среда няма никаква защита на файлове или регистър, дори и при изрично зададени ограничения.

Управление на програмни права чрез известия

Когато отговарят на HIPS сигнали, на приложенията се задават правила, временно или постоянно, в зависимост от опцията „Запомни моите избори“.

Важен момент: правилата се присвояват на приложението, което е посочено от лявата страна на предупреждението. Например, ако бъдете попитани за стартиране на неизвестна програма от Explorer, тогава правилата ще бъдат присвоени конкретно на Explorer. Типични грешки за начинаещи: изберете опцията „Блокиране и прекратяване на изпълнението“ в такъв сигнал (по този начин убивайки процеса на Explorer), или опцията „Изолирано приложение“ (строго ограничаване на правата на Explorer), или опцията „Инсталиране или актуализиране“ (по този начин загуба на почти цялата защита). Обикновено най-умният избор при предупреждение за стартиране на програма е „Разрешаване“ или „Блокиране само“.

Опциите „Разрешаване“ или „Блокиране само“ в различни HIPS сигнали означават разрешаване или отказ само на конкретния ресурс. Например, ако позволите на приложение да създаде файла C:\test\A.exe, опитът за създаване на файла C:\test\B.exe отново ще доведе до предупреждение. За да позволите на приложение да създава всякакви файлове в директорията C:\test, ще трябва да редактирате правилото през прозореца с настройки на CIS. За съжаление, сигналите не предоставят разрешения за директории, шаблони, групи и т.н. Въпреки това, чрез предупреждение можете да приложите към приложението всеки набор от правила, създаден преди това в раздела HIPS → Набори от правила.

Ако активирате опцията „Запомни моя избор“, когато отговаряте на предупреждение, наборът от правила, присвоени на определеното приложение, ще се промени; ако няма HIPS правило за това приложение, то ще бъде създадено в горната част на списъка. При избора на опция Позволяваили Само блокиранеразрешение или забрана ще бъдат добавени към правилата за точно определен ресурс (файл, COM интерфейс и т.н.). При избора на който и да е набор от правиланови правила няма да се добавят към старите, а изцяло ще ги заменят, т.е. правилата, определени преди това за това приложение, вече няма да се прилагат.

Ако деактивирате опцията „Запомни моите избори“ в предупреждение, разрешенията, ограниченията или наборите от правила, присвоени на приложението, ще престанат да се прилагат, когато затворите. това приложениеили дори по-рано и няма да настъпят промени в конфигурацията на CIS. За да разберете логиката зад това как работят тези временни правила, удобно е да си представите, че всеки път, когато се отговори на предупреждение (без запомняне), се създава въображаем запис в списъка с правила на HIPS. Всички „въображаеми“ записи се поставят под „реалните“ записи в списъка с правила, но новите „въображаеми“ записи се намират над други „въображаеми“ записи. Това означава, че на едно и също приложение могат да бъдат зададени различни набори от правила чрез предупреждения няколко пъти (без запомняне) и всички тези набори от правила ще бъдат валидни. В този случай „реалните“ правила ще имат най-висок приоритет, след това най-новите от „въображаемите“, след това по-ранните и т.н. Но веднага щом бъде създадено „истинско“ правило (със запаметяване), всички „въображаеми“ правила за всички приложения ще бъдат унищожени.

Например, след като получим известие за програма, ние ще й присвоим набор от правила „Изолирано приложение“, без да го помним. По подразбиране на групата „Всички приложения“ е разрешено да променя временни файлове, така че тази програма все още ще може да прави това, въпреки че наборът „Изолирани приложения“ го предотвратява. Ако присвоите този набор от правила със запомняне, промяната на временните файлове ще бъде забранена, тъй като в горната част на списъка ще бъде създадено ново HIPS правило.

Има някои изключения от описаната процедура, когато опцията „Запомни моя избор“ е деактивирана. Първо, той не създава „въображаеми“ разрешения за приложения (т.е. повторното стартиране на същото приложение ще задейства отново предупреждението). Второ, ако някоя програма е разрешена чрез „промяна потребителски интерфейсдруго приложение", тогава тя временно ще може да изпраща съобщения на прозореца до всяко приложение, а не само до посоченото.

Контрол на стартирането на програмата

Възможността за стартиране на всяка програма е определена в HIPS чрез правило за стартиранепрограма, а не за тази, която се стартира. В „параноичен режим“ на програмите е разрешено тихо да се изпълняват само ако има изрично разрешение в правилата. В „Безопасен режим“, при липса на правило, стартирането е разрешено, ако и стартиращата, и стартираната програма са надеждни. Изключение прави изпълнението на програми с привилегии на инсталатора, както и под влиянието на ограничения за виртуализация и/или Auto-Containment.

И така, нека приемем, че в "безопасен режим" HIPS програмата parent.exe работи и се опитва да стартира програмата child.exe. При липса на допълнителни правила стартирането ще се извърши тихо само ако и двете програми са надеждни. Ако програмата child.exe е неидентифицирана и правилата на HIPS за програмата parent.exe (или групата, която я съдържа) нямат разрешение да стартират програмата child.exe (или групата, която я съдържа), тогава независимо от HIPS правила за самата програма child.exe и независимо от оценката на програмата parent.exe, ще се появи предупреждение преди стартиране (и конкретно по отношение на програмата parent.exe).

По този начин, за да разрешите изпълнението на неидентифицирана програма, не е достатъчно да зададете разрешаващи правила за самата нея - родителският процес или, алтернативно, групата „Всички приложения“ се нуждае от разрешение, за да го стартира.

Ако искате да спрете стартирането на програмата, след като получите известие относно родителския процес, обикновено трябва да деактивирате опцията за запомняне и да изберете Блокиране → Само блокиране. внимание! Елемент „Блокиране и завършване на изпълнението“ в известието относно стартирането на програматаозначава изключване родителски процес.

Възможността за стартиране на която и да е програма се определя не само от правилата на HIPS, но и от Auto-Containment. Стартирането ще бъде блокирано, ако поне един от тези компоненти го изисква. Ако стартирането на програмата е разрешено в правилата на HIPS и правилата за автоматично ограничаване изискват изолиране тази програма- ще работи изолирано.

Важно е да знаете, че за разлика от Auto-Containment, в HIPS дъщерният процес не наследява ограниченията на родителя: ако позволите на съмнителна програма да изпълнява безопасна, тогава от името на защитена програмаможе да настъпи повреда.

Автоматично създаване на HIPS правила в „Режим на обучение“ и „Безопасен режим“

В определени режими HIPS правилата се създават автоматично:

ако „Режим на обучение“ е активиран и опцията „Не показвай известия“ е деактивирана или зададена на режим „Блокиране на заявки“, тогава ще бъдат създадени правила, които позволяват всяко открито действие на всяко приложение;
Ако „Безопасен режим“ е активиран, опцията „Създаване на правила за защитени приложения“ е активирана и опцията „Не показвай известия“ е деактивирана или зададена на „Блокиране на заявки“, тогава ще бъдат създадени правила, които позволяват всяко открито действие на надеждни приложения.

В повечето случаи тези режими не са полезни и се използват само за тестване или подготовка за преминаване към параноичен режим.

Правилата за програма (или в „Режим на обучение“ или надеждни в „Безопасен режим“) се създават, както следва:

Типът на новото правило ще зависи от исканото действие:

Когато една програма изпълнява друга, се създава правило за първата, което позволява изпълнението на конкретната програма.
Когато програма модифицира файл или ключ на системния регистър, посочен в HIPS → Защитени обекти, типът на правилото ще зависи от това как е написан шаблонът на този ресурс.
- Ако в края на шаблона има знак | , тогава ще бъде създадено правило, което позволява промени конкретно на обекта, до който програмата е имала достъп. Например, програмата създава файл text.txt на работния плот. Съвпада ли с модела?:\Users\*\Desktop\*| . Това означава, че ще бъде създадено правило, което позволява промени във файла C:\Users\Name\Desktop\text.txt.
- Ако няма | в края на шаблона , тогава ще бъде създадено правило, което позволява всеки обект да бъде променян от този шаблон. Например, програмата създава файла D:\prog.exe. В списъка със защитени обекти този файл съответства на шаблона *.exe. Това означава, че ще бъде създадено правило, което позволява на тази програма да променя всички exe файлове.
Когато програма има достъп до някой от следните ресурси, автоматично се създават правила, които й позволяват достъп до всички тях едновременно:
- Сигурни COM интерфейси,
- Кукички за Windows и кукички за приложения,
- Междупроцесен достъп до паметта,
- Прекъсване работа на приложението ,
- DNS заявки,
- диск(директен достъп),
- Клавиатура,
- Монитор.

Защита на процеса

В прозореца с HIPS правила за приложение можете да ограничите не само собствената активност на приложението, но и влиянието на други програми върху работата му. За този раздел Настройка на защитапоказва кои действия с това приложение ще бъдат блокирани, а в прозореца за изключения (бутон промяна) - кои програми ще бъдат разрешени. Тук няма известия - само разрешение или забрана, независимо от рейтинга. Действие, забранено по този начин, ще бъде блокирано, независимо от правилата и оценките на други програми.

По-специално, с помощта на тази функция CIS се самозащитава от разтоварване на своите процеси и достъп до паметта. Следователно, дори когато HIPS не е необходим, препоръчително е да го активирате поне с опцията „Не показвай предупреждения: Разрешаване на заявки“ (в „Безопасен“ или „Параноиден“ режим).

Страничен ефект от CIS самозащитата е огромен брой записи в дневника на Protection Events+ при използване на някои програми, например ProcessExplorer. Можете да се отървете от ненужните заключвания, като позволите на отделни приложения да имат достъп до паметта в групата COMODO Internet Security.

Отбелязвам, че самата защита срещу прекъсване на приложението не покрива всички начини за разтоварване на процес. По този начин много приложения могат да бъдат прекратени чрез съобщения в прозореца или чрез достъп до паметта. За да защитите приложение от такива методи за прекратяване, ще трябва да проверите в неговите правила в раздела „Настройки за защита“ не само елемента „Прекъсване на приложения“, но и други.

Привилегии на инсталатора

Значението на привилегиите на инсталатора

При определени условия приложението получава привилегии за инсталиране, които са както следва:

HIPS позволява такова приложение на всичко, което не е изрично забранено в правилата, т.е. работи подобно на режима „Не показвай предупреждения: Разрешаване на заявки“;
Автоматичното ограничаване не изолира програмите, стартирани от това приложение;
докато това приложение работи, неговите дъщерни процеси (и техните дъщерни процеси и т.н.) се изпълняват с привилегии на инсталатора;
изпълнимите файлове, които това приложение създава (или дъщерните процеси, които наследяват неговите привилегии), се доверяват автоматично.

Файловете се добавят автоматично към надеждни файлове само когато опцията „Доверени приложения, инсталирани с помощта на надеждни инсталатори“ е активирана в раздела . Освен това в някои специални случаи привилегиите на инсталатора се дават на приложенията в „скъсена“ форма: без или когато потребителят отговори с разрешение (ако програмата е неидентифицирана и има атрибут на инсталатор), или когато на програмата е присвоен подходящ , или когато това правило се прилага към него, или когато програмата наследява тези привилегии от родителския процес.

Автоматично предоставяне на права за инсталиране на приложение

Едно приложение автоматично получава привилегии на инсталатора, ако е надеждно и има атрибута на инсталатора. Можете да видите дали дадено приложение има таг за инсталиране в списъка с активни процеси.

Кои свойства на приложението са знакът за инсталатор? Беше казано: съдейки по експериментите, инсталаторите се считат за програми, които имат думата install, setup или update в името на файла или в информацията за версията на файла (в FileDescription, ProductName поле InternalName или OriginalFilename); MSI файловете също се считат за инсталатори.

В по-старите версии на CIS характеристиките на инсталатора бяха различни; по-специално инсталаторите се считаха за програми, които изискват администраторски права при стартиране, програми, чийто размер надвишава 40 MB и т.н. Поради това на много приложни програми погрешно се предоставяше инсталатор привилегии (по-специално, PortableApps- асемблиране), което създаде очевидна опасност. В CIS 10 тази заплаха е значително намалена.

Присвояване на привилегии на инсталатора чрез предупреждения за автоматично ограничаване

В стандартната конфигурация „Проактивна сигурност“, когато стартирате неидентифицирана програма, която има тага за инсталиране, се появява предупреждение, предлагащо избор от четири опции: „Блокиране“, „Изолирано стартиране“, „Изпълнение без ограничения“ с „Доверете се на това приложение" и опцията "Изпълни" е деактивирана. без ограничения", когато опцията "Доверете се на това приложение" е активирана.

Опцията „Блокиране“ означава забрана на стартирането. Опцията „Изолирано стартиране“ означава, че програмата ще бъде стартирана изолирано в съответствие с правилата за автоматично ограничаване.

Ако активирате опцията „Доверете се на това приложение“ и изберете „Изпълни без ограничения“, програмата ще стане надеждна и ще работи с привилегии на инсталатора. В същото време ще бъде създадено правило за автоматично ограничаване, което изключва дъщерните процеси на тази програма от изолация. Това правило обикновено няма смисъл и препоръчвам да го премахнете.

Ако изберете опцията „Изпълнение без ограничения“, когато опцията „Доверете се на това приложение“ е деактивирана, програмата временно ще се стартира с „скъсени“ привилегии на инсталатора, без доверие в създаваните файлове. Тези. точки , и , но не .

Най-общо казано, такъв сигнал възниква, ако са изпълнени следните условия:

Компонентът за автоматично ограничаване е активиран,
на раздела Задържане → Настройки за задържанеопцията „Откриване на програми, които изискват повишени привилегии“ е активирана,
Опцията „Не показвай известия при искане на повишени привилегии“ е деактивирана там,
програмата, която се стартира, трябва, съгласно правилата за автоматично ограничаване, да бъде стартирана виртуално и/или с ограничения,
Стартираната програма има атрибут за инсталиране или изисква администраторски права при стартиране.

Както можете да видите, за да се покаже предупреждение, стартираната програма не трябва да бъде неидентифицирана - изисква се само правилата за автоматично ограничаване да инструктират тя да бъде изолирана. В допълнение, програмата може да поиска администраторски права при стартиране, но не и да бъде инсталатор.

Ако активирате опцията „Не показвай предупреждения за заявки за повишени привилегии“, можете да изберете от менюто с опции за автоматично изолиране (препоръчително) или блокиране на неидентифицирани инсталатори без предупреждение. Има и опции „Бягай без ограничения“ и „Бягай без ограничения и доверие“ - разбира се, изборът им е много опасен.

Присвояване на привилегии на инсталатора чрез предупреждения и правила на HIPS

Привилегиите на инсталатора могат да бъдат присвоени на програма изрично чрез HIPS: те съответстват на правилото „Инсталиране или актуализиране“.

Когато възникне HIPS предупреждение относно активността на приложение, можете да изберете Обработете като → Инсталиране или актуализиране, със или без запаметяване.

Ако поставите отметка на опцията за запомняне и изберете опцията „Инсталиране или актуализиране“, ще бъде създадено съответното HIPS правило и приложението ще получи права за инсталиране. Ако изберете тази опция без опцията за запомняне, правилото няма да бъде създадено и приложението ще получи „скъсена“ версия на привилегиите на инсталатора, без да се доверява на създадените файлове (временно стартиране на неидентифициран инсталатор без ограничения за автоматично задържане).

Чрез прозореца за конфигуриране на CIS можете предварително да зададете на приложение HIPS правило „Инсталиране или актуализиране“. Очевидно в този случай приложението ще получи привилегии на инсталатора без уведомление и в пълен размер.

Доверителни файлове, създадени с привилегии на инсталатора

Както вече споменахме, изпълнимите файлове, създадени от доверени инсталатори, автоматично се доверяват, ако опцията „Доверяване на приложения, инсталирани с помощта на доверени инсталатори“ в раздела е активирана Оценка на файлове → Настройване на оценка на файлове. Той също така каза, че информацията за създаването на файл от надеждни инсталатори се регистрира в базата данни, дори ако тази опция е деактивирана.

Съдейки по експериментите, когато опцията DPUPDU е деактивирана, информацията за създаването на файлове от директно доверени инсталатори, а не от програми, които имат привилегии на инсталатора, се въвежда в базата данни на CIS. Тези. Ако даден файл е създаден от дъщерен процес на доверен инсталатор или от програма, която е получила привилегии на инсталатора въз основа на правилата на HIPS, тогава файлът не се счита за създаден от доверен инсталатор. Но ако опцията DPUPDU е активирана, тогава файловете, създадени от програми, които по някакъв начин са получили привилегии на инсталатора, се маркират в базата данни като създадени от доверени инсталатори.

Когато определя дали даден файл е създаден с привилегии на инсталатора, CIS прави разлика между създаване и копиране на файл. Така че, ако програма с привилегии на инсталатора извърши нормално копиране на файл, тогава файлът все още няма да стане надежден. Но ако под въздействието на привилегии на инсталатора файл бъде извлечен от архив, например, CIS ще се довери на този файл и на всички идентични (с активирана опция DPUPDU).

До известна степен привилегиите на инсталатора работят във виртуалната среда: ако надеждният инсталатор работи виртуално, но създава файлове в реалната среда (в обхвата публичен достъп), тогава тези файлове се маркират в базата данни като създадени от доверен инсталатор. Подобна ситуация възниква при работа в реална среда с ограничения за автоматично ограничаване. Според мен това е недостатък и то потенциално опасен.

Въпреки че опцията DPUPDU подобрява използваемостта на CIS, има някои предимства в деактивирането й. По-специално, когато тази опция е активирана, CIS може потенциално да се довери нежелани програми, които се инсталират заедно със защитени приложения.

Случва се инсталаторът на приложение, дори и да е доверен, да създава и стартира неидентифицирани програми по време на работа. Обикновено CIS не им пречи да работят, защото наследяват привилегиите на инсталатора. Въпреки това, както е посочено по-горе, наследените привилегии не винаги са в сила (от съображения за сигурност) и понякога проактивна защита може да се задейства по време на инсталационния процес. Ако това се показва само като HIPS предупреждение, тогава трябва само да отговорите на него, за да продължите с инсталацията. Но ако HIPS е конфигуриран да блокира без известие или ако се използва Auto-Containment, тогава съществува риск приложението да не се инсталира правилно. Този риск е особено висок, ако опциите „Доверяване на приложения, инсталирани чрез доверени инсталатори“ или „Откриване на програми, които изискват повишени привилегии“ са деактивирани.

За да инсталирате приложения без намеса от CIS, предлагам да стартирате инсталатори чрез специален елемент от контекстното меню. За това ще се използва най-простата програма, който изпълнява файла, посочен в неговите аргументи командна линия. Ще трябва да изтеглите архива с програмата (парола cis), да поставите програмата на всяко удобно място, да я добавите към списъка с надеждни и да я стартирате - ще бъдете помолени да добавите нов елемент към контекстното меню на Explorer (може бъде премахнат, като го стартирате отново). Програмата е написана на AutoIt3, папката източник и конверторът са включени в папката източник: ако се съмнявате, можете да генерирате подобна програма, като проверите кода и сигнатурата на конвертора.

След това ще трябва да присвоите правилото HIPS „Инсталиране и актуализиране“ на тази програма, както и правилото за автоматично ограничаване:

изберете действието „Игнориране“,
в критериите посочете местоположението на програмата,
Оставете опцията „Не прилагайте избраното действие към дъщерни процеси“ деактивирана.

Сега, за да може инсталирането на всяко безопасно приложение да протече гладко, ще бъде достатъчно да отворите контекстното меню на инсталатора, като задържите клавиша Shift и изберете „COMODO: стартирай като инсталатор“. В резултат на това, дори когато самият инсталатор излезе, неговите дъщерни процеси ще продължат да работят с привилегии на инсталатора. Тези привилегии ще бъдат премахнати след затваряне на специалния прозорец с текста „Щракнете върху OK, когато инсталацията приключи“. Но дори и тогава тези процеси ще останат изключени от контрола на Auto-Containment.

Принцип на работа на HIPS (базирана на хост система за предотвратяване на проникване): подробно описание. Общи параметри HIPS и Auto-Sandbox в Comodo Internet Security 8. Viruscope

БЕДРА

HIPS режими

Когато HIPS е активиран, активността на програмата е ограничена според правилата. Първоначално наличните правила задават разрешения за някои системни програми, а в други случаи изискват запитване от потребителя. Потребителят може да добави свои собствени правила чрез интерфейса на раздела Правила на HIPS или те ще бъдат създадени чрез неговите отговори на предупреждения или автоматично, когато е активиран „Режим на обучение“. Можете да деактивирате предупрежденията, като посочите, че дейността винаги трябва да бъде разрешена или дейността винаги трябва да бъде отказана, ако няма правило.

Показването на програмни предупреждения зависи от програмата и нейния HIPS режим. В „Безопасен режим“ ще се издават предупреждения само относно неидентифицирани програми, докато на доверените ще бъде дадено мълчаливо разрешение (при липса на забраняващо правило) да предприемат каквото и да е действие, освен да стартират неидентифицирано приложение. В параноичен режим ще се появяват сигнали за всички програми, независимо от репутацията.

В режим Clean PC се появяват предупреждения само за нови неидентифицирани програми, т.е. които преди това не са били на диска, а „старите“ се възприемат като надеждни в „Безопасен режим“. Режимът „Чист компютър“ работи по следния начин: от момента, в който този режим е включен, се следи създаването на нови програми, т.е. изпълними файлове. Ако нова програмае по-малко от 40 MB и няма „доверена“ репутация, тогава се въвежда като „неидентифициран“. Само програмите от списъка „неидентифицирани“ ще имат ограничени права. Останалите програми, по-малки от 40 MB, ще бъдат възприемани като надеждни: те ще бъдат възприемани като такива от HIPS, Auto-Sandbox и защитната стена.

Режимът Clean PC е доста проблематичен и не препоръчвам да го използвате. По-специално, ако в този режим поставите нова неизвестна програма в директория и промените името й, тогава програмата ще се счита за „стара“, т.е. ще получат разрешителни. Можете обаче да приложите правилно работещ аналог на режима „Чист компютър“ в „Безопасен режим“, като добавите всички изпълними файлове към надеждните по начина, предложен в .

Как работи „Безопасен режим“ с активирана опция „Създаване на правила за безопасни приложения“, както и „Режим на обучение“. Работата в режим „Чист компютър“ е подобна на „Безопасен“, но се различава по това, че неидентифицираните файлове, които са били на диска преди включване на този режим, ще бъдат обработени подобно на надеждните („те ще бъдат доверени“ не само от HIPS, но също и от Auto-Sandbox и защитната стена).

Ще посоча специален случай: ако програмата се изпълнява във виртуална среда и/или с ограничения на Auto-Sandbox, тогава при липса на правило за разрешаване или отказ ще бъде дадено разрешение (подобно на опцията „Не показвай предупреждения : Разрешаване на заявки“). Във виртуална среда изобщо няма да има защита на файловете и регистъра, дори и при изрично зададени ограничения. Но, разбира се, виртуална среда и/или Auto-Sandbox ще бъдат насложени върху тази програма и нейните дъщерни процеси.

Управление на програмни права чрез известия

Ако изберете Разрешаване или Блокиране само в HIPS предупреждение, това разрешение или блокиране ще се прилага само за този конкретен ресурс. Например, ако позволите на приложение да създаде файла C:\test\A.exe, опитът за създаване на файла C:\test\B.exe отново ще доведе до предупреждение. За да позволите на приложение да създава всякакви файлове в директорията C:\test, ще трябва да редактирате правилото през прозореца с настройки на CIS. За съжаление, сигналите не предоставят разрешения за директории, шаблони, групи и т.н.

Беше отбелязано едно изключение: ако на дадена програма е разрешено чрез предупреждение да „промени потребителския интерфейс на друго приложение“, ще бъде създадено правило, което позволява на тази програма да изпраща съобщения в прозореца до всяко приложение, а не само до посоченото.

Въпреки това чрез предупреждение можете да приложите предварително създадена политика към приложението. Тези правила се създават в раздела HIPS > Набори от правила. Предварително зададената политика „Windows System Application“ позволява всяка дейност, политиката „Allowed Application“ позволява всяка дейност, но не регулира стартирането на дъщерни процеси; Политиката за изолирано приложение строго забранява всяка дейност; Политиката за ограничено приложение деактивира почти всичко с изключение на съобщенията в прозореца и монитора и не регулира стартирането на дъщерни процеси. Можете не само да създавате свои собствени правила, но и да променяте предварително зададени.

Разрешенията, ограниченията и правилата, присвоени на приложение чрез предупреждения, имат различни ефекти в зависимост от това дали опцията „Запомни моите избори“ е активирана в предупреждението. Ако активирате тази опция и изберете опцията „Разрешаване“ или „Блокиране само“, наборът от правила, присвоени на това приложение, ще се промени: то ще бъде добавено, за да разреши или блокира точно определен ресурс (файл, интерфейс и т.н.). Ако активирате опцията „Запомни моя избор“ и изберете някоя набор от правила— новите правила няма да се добавят към старите, а напълно ще ги заменят; тези. правилата, определени преди това за това приложение, вече няма да се прилагат. Ако няма HIPS правило за това приложение, то ще бъде създадено в горната част на списъка.

Ако деактивирате опцията „Запомни моите избори“ в предупреждение, разрешенията, ограниченията или правилата, присвоени на приложение, ще изтекат, когато приложението бъде прекратено или дори по-рано, и няма да настъпят промени в правилата. За да разберете логиката на това как работят тези временни правила, е удобно да си представите, че всеки път, когато се отговори на предупреждение (без да се помни), се създава „фантомен“ запис в списъка с правила на HIPS. Всички „фантомни“ записи се намират под „истинските“ записи в списъка с правила, но новите „фантомни“ записи се намират над други „фантомни“ записи. Това означава, че на едно и също приложение могат да бъдат зададени различни политики чрез предупреждения няколко пъти (без запомняне) и всички тези политики ще бъдат в сила. В този случай „истинските“ правила ще имат най-висок приоритет, след това най-новите от „фантомните“, след това по-ранните и т.н. Но веднага щом бъде създадено „истинско“ правило (със запаметяване), всички „фантомни“ правила за всички приложения ще бъдат унищожени.

Например, нека присвоим политиката „Изолирано приложение“ на някоя програма, без да я помним. По подразбиране на групата „Всички приложения“ е разрешено да променя временни файлове, така че тази програма все още ще може да го прави, въпреки че политиката за изолирано приложение го предотвратява. Ако присвоите тази политика със запомняне, промяната на временните файлове ще бъде забранена, тъй като в горната част на списъка ще бъде създадено ново HIPS правило.

Контрол на стартирането на програмата

Възможността за стартиране на всяка програма е определена в HIPS чрез правило за стартиранепрограма, а не за тази, която се стартира. В „параноичен режим“ стартирането на програми е разрешено тихо само ако има изрично разрешение в правилата (за). В „Безопасен режим“, при липса на правило, стартирането е разрешено, ако и стартираната, и стартираната програма имат „доверена“ репутация.

Ако искате да спрете стартирането на програмата, след като получите известие относно родителския процес, трябва да деактивирате опцията за запомняне и да изберете „Блокиране“ > „Блокиране само“.

внимание! Елемент „Блокиране и завършване на изпълнението“ в известието относно стартирането на програматаозначава изключване родителски процес. Също така, избирането на която и да е политика (т.е. набор от правила) в това известие ще я присвои конкретно на родителския процес. Съответно активирането на опцията „Запомни моя избор“ в такова предупреждение ще доведе до създаване/модифициране на HIPS правило за родителския процес. Типична грешка, допускана от потребителите, е изборът на политика в известието за програмата, стартирана от Explorer. Правилният курс на действие е първо да разрешите само стартирането и да изберете политиката в последващото известие за собствената дейност на програмата.

Важно е да знаете, че за разлика от Auto-Sandbox, в HIPS дъщерният процес не наследява ограниченията на родителя: позволяването на съмнителна програма да изпълнява програма, която има разрешения, ще компрометира сигурността.

Способността да се изпълнява всяка програма се определя не само от правилата на HIPS, но и от . Стартирането ще бъде блокирано, ако поне един от тези компоненти го изисква. Ако стартирането е разрешено в правилата на HIPS и правилата на Auto-Sandbox изискват тази програма да бъде изолирана, тя ще се стартира изолирано.

Има някои изключения от описаната процедура. Първото изключение се отнася за програми, които вече са в пясъчна среда. Дъщерните процеси на тези програми ще бъдат изолирани по същия начин, без да подлежат на различни правила на Auto-Sandbox. Няма да има HIPS известия за тяхното стартиране: блокиране ще се извърши само ако има изрично забраняващо HIPS правило. С други думи, работата на HIPS за такива програми е подобна на активирането на опцията „Не показвай предупреждения: Разрешаване на заявки“.

Друго изключение са програмите, които имат привилегии за инсталиране. Техните дъщерни процеси не се подчиняват на правилата на Auto-Sandbox (това е поведение) и не предизвикват HIPS предупреждения. Те са предмет само на изрични забрани в правилата на HIPS, като активираната опция „Не показвай предупреждения: Разрешаване на заявки“ (това поведение не може да бъде конфигурирано).

Третото изключение са програми, които имат правилото за действие „Игнориране“ в Auto-Sandbox с деактивирана опция „ “. Такива програми просто са изключени от контрола на Auto-Sandbox заедно с техните дъщерни процеси. Правилата на HIPS важат за тях както обикновено.

Автоматично създаване на HIPS правила в „Режим на обучение“ и „Безопасен режим“

В определени режими HIPS правилата се създават автоматично:

ако „Режим на обучение“ е активиран и опцията „Не показвай известия“ е деактивирана или зададена на режим „Блокиране на заявки“, тогава активността на всички приложения ще бъде наблюдавана и ще бъдат създадени правила, които позволяват всяко от техните открити действия;
Ако „Безопасен режим“ е активиран, опцията „Създаване на правила за защитени приложения“ е активирана и опцията „Не показвай известия“ е деактивирана или зададена на „Блокиране на заявки“, тогава ще бъдат създадени правила, които позволяват всяко открито действие на надеждни приложения.

Типът на новото правило ще зависи от исканото действие:

Когато една програма изпълнява друга, се създава правило за първата, което позволява изпълнението на конкретната програма.
Когато програма модифицира файл или ключ на системния регистър, който е посочен в раздела HIPS > Защитени обекти, типът на правилото ще зависи от това как е написан шаблонът на ресурса.
- Ако в края на шаблона има знак | , тогава ще бъде създадено правило, което позволява промени конкретно на обекта, до който програмата е имала достъп. Например, програмата създава файл text.txt на работния плот. Съвпада с модела " ?:\Users\*\Desktop\*| " Това означава, че ще бъде създадено правило, което позволява промени във файла C:\Users\Name\Desktop\text.txt.
- Ако няма | в края на шаблона , тогава ще бъде създадено правило, което позволява промяна на всеки обект според този шаблон. Например, програмата създава файла D:\prog.exe. В списъка със защитени обекти този файл съответства на шаблона *.exe. Това означава, че ще бъде създадено правило, което позволява на тази програма да променя всички exe файлове.
Когато програма има достъп до някой от следните ресурси, автоматично се създават правила, които й позволяват достъп до всички тях едновременно:
- „Защитени COM интерфейси“
- „Кукички за Windows и кукички за приложения“
- „Междупроцесен достъп до паметта“
- „Прекъсване на приложението“
- "DNS заявки"
- "Диск" (директен достъп),
- "Клавиатура",
- "Монитор".

Обикновено действителната процедура на работа на HIPS съвпада с описаната, но възникват различни отклонения. Например, понякога HIPS правилата се създават автоматично дори за програми, работещи с привилегии на инсталатора; това беше наблюдавано, когато Auto-Sandbox беше деактивиран. Имаше и ситуация, при която правилата за програмата, създадена в „Режим на обучение“, не записват достъп до всички файлови обекти, поискани от нея в „Параноиден режим“.

Идентифициране на приложения по техните пътища

Изричните правила вземат предвид само пътя до програмата. Неговата цялост или по-скоро рейтингът му се проверява само при липса на правила в „Безопасен режим“. Вместо уникален път можете да използвате шаблони и променливи на средата по подобен начин, както и самите файлови групи.

Преди това понякога се наблюдаваше, че след преименуване или преместване на програма, HIPS я възприема като на същото място. Това се изразяваше във факта, че за тази програма бяха в сила правилата, където беше написано по стария път, а правилата с новия път не важаха. Проблемът беше решен чрез рестартиране.

Поради факта, че правилата на HIPS са базирани на пътя, опцията „Създаване на правила за защитени приложения“ е опасна. Например, ако е активиран и Explorer изпълнява надеждната (подписана) програма C:\myDownloads\test.exe, тогава HIPS „Безопасен режим“ автоматично ще създаде правила; а друг път на мястото на test.exe ще се появи нещо друго. Затова препоръчвам да деактивирате тази опция.

Защита на процеса

В прозореца с HIPS правила за приложение можете да ограничите не само собствената активност на приложението, но и влиянието на други програми върху работата му. За да направите това, в раздела „Настройки за защита“ изберете кои действия с това приложение ще бъдат блокирани, а в прозореца за изключения (бутон „Промяна“) - кои програми ще имат право да го правят. Тук няма известия - само разрешение или забрана, независимо от рейтинга. Действие, забранено по този начин, ще бъде блокирано, независимо от правилата и оценките на други програми.

Страничен ефект от CIS самозащитата е огромен брой записи в дневника на Protection Events+ при използване на някои програми, например ProcessExplorer. Можете да премахнете ненужните заключвания, като позволите на отделни приложения да имат достъп до CIS паметта.

Отбелязвам, че самата защита срещу прекъсване на приложението не покрива всички начини за разтоварване на процес. По този начин много приложения (но не и CIS процеси) могат да бъдат прекратени чрез съобщения в прозореца (например от System Explorer) или чрез достъп до паметта. За да защитите приложение от такива методи за прекратяване, ще трябва да проверите в правилата му в раздела „Настройки за защита“ не само елемента „Прекъсване на приложението“, но и елементите „Съобщения в прозореца“ и „Достъп до паметта между процесите“.

Методът за прекъсване на процеса на Process Hacker може дори да разтовари CIS. За да забраните използването на този метод, можете да промените правилото HIPS за групата „Всички приложения“: в елемента „Защитени COM интерфейси“ щракнете върху „Редактиране“ и добавете реда LocalSecurityAuthority.Restore в раздела „Блокирани“. Не се препоръчва обаче да правите тази забрана, тъй като ще създаде проблеми при актуализиране на Windows.

Привилегии на инсталатора

Значението на привилегиите на инсталатора

При определени условия приложението получава привилегии за инсталиране, които са както следва:

HIPS позволява такова приложение на всичко, което не е изрично забранено в правилата, т.е. работи подобно на режима „Не показвай предупреждения: Разрешаване на заявки“;
Auto-Sandbox не изолира програмите, стартирани от това приложение;
докато това приложение работи, неговите дъщерни процеси (както техните дъщерни процеси и т.н.) се изпълняват с привилегии на инсталатора;
изпълними файлове, които това приложение създава (или дъщерни процеси, които наследяват неговите привилегии), автоматично ще бъдат добавени към списъка с надеждни (с изключение на скриптове и файлове, по-големи от 40 MB).

Файловете се добавят автоматично към надеждни файлове само когато опцията „Доверяване на приложенията, инсталирани чрез надеждни инсталатори“ е активирана в раздела „Оценка на файлове“ > „Настройки за оценка на файлове“. Също така, в някои специални случаи, привилегиите на инсталатора се дават на приложенията в „скъсена“ форма: без, въпреки включването на тази опция.

И накрая, имайте предвид, че когато приложението за инсталиране излезе, неговите дъщерни процеси ще загубят своите наследени привилегии и HIPS ще ги контролира както обикновено. И техните по-нататъшни дъщерни процеси ще попаднат под контрола на Auto-Sandbox.

Да кажем, че инсталаторът "A" стартира процес "B", а "B" стартира процес "C". Това обикновено води до процес "C", който получава привилегии на инсталатора и ги поддържа, докато програмата "A" работи, дори след като процес "B" е прекратен. Но след като програмата "A" приключи, процес "C" ще загуби тези привилегии.

В сравнение с привилегиите на инсталатора, наследяването е по-„надеждно“: то продължава да засяга дъщерните процеси дори след като всички родителски процеси са прекратени. (Беше забелязана грешка обаче: наследяването на това правило се прекратява, ако не се отговори на HIPS предупреждението в продължение на 2 минути преди стартиране на дъщерния процес.)

Една програма получава привилегии на инсталатор по различни начини: или когато , или когато (ако програмата е неидентифицирана и има атрибут на инсталатор), или когато , или когато , или когато програмата наследи тези привилегии от родителския процес. На програмата могат да бъдат предоставени привилегии на инсталатор само когато се изпълнява в среда на живо без ограничения за Auto-Sandbox. Ако програмата се стартира изолирано, тя не получава тези привилегии, въпреки никакви знаци и правила.

Автоматично предоставяне на права за инсталиране на приложение

Едно приложение автоматично получава привилегии за инсталиране, ако е надеждно и има . Този статус се присвоява на приложения, които изискват администраторски права при стартиране и някои други.

В предишните версии на CIS на дадена програма автоматично се предоставяха привилегии за инсталиране само когато ограниченията за проактивна защита зависеха от рейтинга на програмата. Ако дадена програма е била изключена от Auto-Sandbox и й е присвоена напълно дефинирана HIPS политика (като системно приложение), тогава тя не е получила привилегии на инсталатора. В CIS 8 привилегиите на инсталатора се дават дори когато HIPS и Auto-Sandbox са деактивирани. Единствената наблюдавана ситуация, когато дадена програма има статус на доверен инсталатор, е ако нейните ограничения в HIPS не зависят от рейтинга и правилата на Auto-Sandbox я изключват от изолация родителскипроцес заедно със своите деца.

Присвояване на привилегии на инсталатора чрез предупреждения и правила на HIPS

Привилегиите на инсталатора могат да бъдат изрично присвоени на програма чрез HIPS: те се присвояват на правилата за инсталиране или актуализиране.

Когато възникне HIPS предупреждение относно активността на приложение, можете да изберете желаната политика от прозореца за предупреждение, със или без запомняне.

Ако поставите отметка на опцията за запомняне и изберете правилото „Инсталиране или актуализиране“, ще бъде създадено съответното HIPS правило и приложението ще получи права за инсталиране. Ако изберете това правило без опцията за запомняне, тогава правилото няма да бъде създадено и приложението ще получи „скъсена“ версия на привилегиите на инсталатора: без автоматично добавяне на създадени файлове към надеждни (временно стартиране на „неидентифициран инсталатор“ без автоматичен -Ограничения в пясъчника).

Чрез прозореца за конфигурация на CIS можете предварително да зададете на приложение политика за инсталиране или актуализиране в списъка с правила на HIPS. Очевидно в този случай приложението ще получи привилегии на инсталатора без уведомление и в пълен размер.

Общи характеристики и параметри на проактивната защита

Нека да разгледаме опциите, които засягат работата на проактивната защита като цяло: както HIPS, така и Auto-Sandbox.

Различни опции за проактивна защита

Опцията „Активиране на режим на подобрена защита“ в раздела „Настройки на HIPS“ има за цел да предотврати заобикалянето на проактивна защита в 64-битов Windows версии, така че трябва да се отбележи в такива системи. Но в същото време включва поддръжка за хардуерна виртуализация, която заплашва конфликти с виртуални машини.

Опцията „Адаптиране на режим на работа при недостиг на системни ресурси“ е необходима само при липса на оперативна памет. Когато е активиран, CIS използва техники за пестене на памет, за да избегне срив на своите задачи. Това обаче намалява производителността.

Опцията „Блокиране на неизвестни заявки, ако приложението не работи“ е предназначена само за заразени системи и не се препоръчва за постоянна употреба, тъй като предотвратява правилното стартиране на безопасни приложения. Ако тази опция е активирана, докато CIS GUI не се зареди, всички програми, независимо от техния рейтинг, ще бъдат блокирани за всяка дейност, различна от тази, която е изрично разрешена в правилата на HIPS. С други думи, преди да зареди GUI, поведението на HIPS ще бъде подобно на „Параноиден режим“ с опцията „Не показвай предупреждения: Блокирай заявки“. Няма да има блокиране, ако HIPS е деактивиран или активиран с опцията „Не показвай предупреждения: Разрешаване на заявки“.

Освен това общите параметри на проактивната защита включват опцията „Доверете се на приложенията, инсталирани с помощта на доверени инсталатори“ в раздела „Задаване на рейтинг на файлове“, за това.

Друга опция, която засяга работата на проактивната защита, въпреки че се намира в различен раздел, е „ Максимален размерфайл" в раздела "Антивирусен мониторинг". Ако даден файл не е подписан от надежден доставчик и размерът му надвишава посочения размер, тогава този файл ще се възприема като неидентифициран, дори ако ръчно го добавите към списъка с надеждни. Размерът по подразбиране е 40 MB, той може да бъде увеличен, но не и намален. Ако файлът е подписан от доверен доставчик, това ограничение не се прилага.

Параметрите, зададени в раздела HIPS > Защитени обекти, са важни не само за HIPS, но и за Auto-Sandbox. Така че, ако приложението работи, тогава точно онези файлове и ключове в системния регистър, които са изброени в съответните раздели на този раздел, ще бъдат защитени. За приложения, работещи във виртуална среда, настройките в този раздел също са важни: съдържанието на директориите, изброени в раздела „Папки със защитени данни“, ще бъде скрито.

На обектите, включени в списъка „HIPS“ > „Защитени обекти“ > „Блокирани файлове“, е отказан всякакъв достъп, включително писане и четене. IN този списъквъвеждат се пътеки и шаблони за файлови пътища. Блокирането работи само когато HIPS е активиран.

Ще спомена специален случай: режимът „Чист компютър“. Формално този режим се отнася за HIPS, но в действителност той определя работата на цялата проактивна защита. Ако активирате този режим, само файловете, които впоследствие се появяват на диска, ще се считат за „неидентифицирани“. Файловете, които са присъствали на диска преди активирането на този режим, ще получат доверени права: както HIPS, Auto-Sandbox, така и защитната стена ще възприемат тези „стари“ файлове, сякаш са включени в списъка с доверени. какво има режимът "Чист компютър". определени проблемии не се препоръчва за употреба.

Функции за защита на файлове

Както вече споменахме, само онези файлове, които са включени в списъка „HIPS“ > „Защитени обекти“ > „Защитени файлове“, са обект на защита чрез HIPS или Auto-Sandbox (при липса на виртуализация). Можете да използвате заместващи знаци (* и ?) и променливи на средата (%temp%, %windir% и т.н.), за да посочите тези файлове, точно като .

Бих искал да отбележа особеността на използването на шаблони при защита на директории. Обикновено, ако посочите директория през CIS интерфейса, тя ще бъде написана като шаблон: D:\Docs\* . Този тип шаблон съответства на файлове и папки, намиращи се в избраната директория D:\Docs, както и в нейните поддиректории. Добавянето на този шаблон към списъка със защитени файлове означава защита на файловете и папките, съответстващи на него, от модификация и промяна. Самата избрана директория с документи обаче не става защитена от преименуване. Ако го преименувате, съдържанието му вече няма да бъде защитено. За да защитите дадена директория от преименуване, трябва да я напишете без наклонена черта и звездичка в края: D:\Docs. По този начин, за да защитите напълно директорията и нейното съдържание, трябва да се добавят два реда към защитения списък: D:\Docs\* и D:\Docs . (Възможен е вариант с един ред - оставете звездичка накрая, но без наклонена черта: D:\Docs*. Но такъв модел ще защити едновременно директориите D:\Docs, D:\Docs2 и т.н.)

В списъка HIPS > Защитени елементи > Защитени файлове много от шаблоните имат | . Използването на този знак засяга ограниченията, наложени от Auto-Sandbox. Ако която и да е програма се изпълнява в Auto-Sandbox с ограничения без виртуализация, тогава ще й бъде забранено да създава, изтрива или модифицира файлове, които са посочени от шаблони с | накрая. Файлове, които са посочени чрез шаблони без | накрая също ще бъдат защитени от промени, но програма, ограничена от Auto-Sandbox, има право да създава такива файлове, както и да изтрива създадените от нея (но не и да променя). Например, по подразбиране на програма, изпълнявана с ниво на ограничение частично ограничено, е разрешено да създава изпълними файлове в директорията %PROGRAMFILES%, но не й е разрешено да създава изпълними файлове в директорията за стартиране. Нека подчертая, че символът | Това е Auto-Sandbox в режими без виртуализация, което влияе върху ограниченията. Когато са защитени чрез HIPS, създаването, изтриването и модифицирането на файлове е забранено, независимо от наличието на | в техните шаблони.

Има проблем с посочването на пътища на сменяеми устройства. Формално можете да създадете правило за HIPS, Auto-Sandbox или друг компонент, като използвате път към сменяемо устройство като H:\Docs\* , но такова правило няма да работи: CIS не приема букви на сменяеми устройства. На сменяеми носители обаче правилата, които не са обвързани с буква на устройство, ще работят, например защита на exe файлове. От друга страна, все още е възможно да се създадат правила за Auto-Sandbox, които ще се изпълняват специално за програми, разположени на преносим носител. Даден е пример за такова правило.

Както при преносимите устройства, CIS не работи правилно с буквите на мрежовото устройство: данните на мрежовото устройство Y: може да не съвпадат с шаблона Y:\* или дори ?:\*. Вместо шаблони с буква мрежово устройствоМожете да използвате шаблони като \\network_resource_name* - експериментите са показали, че работят правилно. По-специално, за да защитите данните на Yandex.Disk, свързани като мрежово устройство чрез протокола WebDAV, можете да добавите реда \\webdav.yandex* към списъка „Защитени обекти“ > „Защитени файлове“.

Трябва също да се каже, че CIS възприема не само физически файлове, но също и различни системни обекти, например физически или виртуални устройства. От една страна, това осигурява гъвкавост на конфигурацията. От друга страна, помнете това. Следователно такива обекти няма да бъдат защитени от виртуално работещи програми, дори ако има строги забрани в правилата на HIPS.

Функции за защита на регистъра

Както при файловете, само онези ключове на регистъра, които са изброени в списъка HIPS > Защитени обекти > Ключове на регистъра, са защитени с помощта на HIPS и Auto-Sandbox.

Когато задавате ключове в системния регистър, можете да пишете модели на пътища в системния регистър, като използвате * и? .

Помислете например за низа *\Software\Microsoft\Windows\CurrentVersion\Run* . * в началото означава, че покрива както ключа на системния регистър HKEY_LOCAL_MACHINE, така и ключа HKEY_CURRENT_USER на всеки потребител поотделно. Моля, обърнете внимание, че * в края на този ред не е разделена с наклонена черта. Това означава, че редът обхваща и двата подсекции: Run и RunOnce. Значението на този конкретен ред е едновременно да защитава различни видове автоматично зареждане: както общо автоматично зареждане, така и потребителско автоматично зареждане; както постоянни, така и еднократни.

Групите регистър, предварително инсталирани в CIS, използват съкратените имена на ключове: HKLM, HKCU и HKUS. Освен това, когато се указват пътеки в регистъра през CIS интерфейса, тези съкращения се заместват автоматично. В действителност обаче правилата на HIPS, които съкращават ключовете на системния регистър, може да не работят. Следователно винаги трябва да указвате пълните имена на ключовете в системния регистър: например не HKCU\SOFTWARE\Policies\* , а HKEY_CURRENT_USER\SOFTWARE\Policies\* . Ще трябва също да коригирате пътищата в предварително дефинираните групи в раздела HIPS Groups > Registry Groups:

заменете HKLM с HKEY_LOCAL_MACHINE
заменете HKCU с HKEY_CURRENT_USER
заменете HKUS с HKEY_USERS

От моите наблюдения CIS не разбира правилно съкращенията на основния регистър в случаите, когато посоченият път е връзка, а не "реално" местоположение в регистъра. Примери за такива връзки са HKLM\SYSTEM\CurrentControlSet\*, HKCU\*.

Възможен вариантраздел инструкции HKEY_CURRENT_USER - шаблон HKEY_USERS* . Можете да добавите част от потребителския идентификатор към този шаблон. Например, редът HKEY_USERS*1002\SOFTWARE\Policies\* указва клона SOFTWARE\Policies на секцията HKEY_CURRENT_USER за един конкретен потребител. Тази техника може да се използва, за да попречи на потребител с ограничен достъп да променя стартирането, асоциациите и други параметри.

За удобно и визуално създаване на правила се препоръчва използването на групи от регистър:

отворете раздела „HIPS“ > „HIPS групи“ > „Групи в регистъра“ и използвайте контекстното меню, за да създадете нова група;
добавете ключове в регистъра към тази група и редактирайте пътищата, ако е необходимо;
отворете раздела “HIPS” > “Защитени обекти” > “Ключове в регистъра” и добавете нова група към списъка;
в раздела „Правила на HIPS“ задайте необходимите разрешения и ограничения, като използвате групи.

Защита от четене

Можете да защитите данните не само от промени, но и до известна степен от четене от определени приложения. За да направите това, използвайте раздела „HIPS“ > „Защитени обекти“ > „Папки със защитени данни“. Директориите, добавени към списъка в този раздел, са защитени, както следва:

изпълняваните виртуално програми възприемат тези директории като празни;
на програми, работещи в реална среда с ограничения на Auto-Sandbox, е забранено да преглеждат съдържанието на тези директории;
на програмите, които имат дисковия ресурс, блокиран чрез HIPS, е забранено да преглеждат съдържанието на тези директории (но остава възможно да се отварят файловете, които съдържат).

Бих искал да подчертая, че когато се използва виртуализация, защитените папки ще се възприемат от изолираните приложения като празни, а техните файлове като несъществуващи. Ако програмата е ограничена само от HIPS, тогава тя ще може да отваря файлове, като „познава“ пътищата им.

Чрез CIS интерфейса можете да добавите към списъка „Папки със защитени данни“ само тези директории, които са видими в Explorer. Ако трябва да защитите данни в някоя скрита директория, трябва временно да разрешите показването скрити файловеи папки в Explorer (например чрез „Контролен панел“).

CIS интерфейсът ви позволява да добавяте само недвусмислени пътища на директория към списъка „Защитени папки с данни“, но не и модели като *\ReadProtected\* . Опит за добавяне на шаблон към този списък чрез редактиране на конфигурационния файл може да доведе до BSOD.

Трябва да добавите директории, разположени само на локални дискове, към списъка с „Папки със защитени данни“. Формално можете да добавите към този списък сменяеми носителиили виртуални криптирани дискове, но защитата за тях, като правило, не работи.

Тази защита може да бъде напълно заобиколена от приложения, работещи като администратор. Такива приложения ще могат да виждат съдържанието на защитената директория и да четат данните в нея, дори ако им е блокиран достъпът до диска, дори ако работят във виртуална среда и дори ако са поставени в пясъчна среда в Auto-Sandbox като „Частично ограничено“ или „Подозрително“. Горещо препоръчвам да поддържате UAC активиран.

Защита на паметта на процеса

CIS е в състояние да попречи на някои процеси да променят паметта на други. По този начин на програмите, които се изпълняват виртуално и/или с ограничения на Auto-Sandbox, е забранено да променят паметта на процесите, изпълнявани в реалната среда. Допълнителни ограниченияза промени в паметта между процесите са посочени в правилата на HIPS.

CIS защитава паметта на процеса от модификация, но не и от четене. Дори ако блокирате злонамерения софтуер от междупроцесен достъп до паметта и дори ако го стартирате виртуално, той ще може да чете чувствителни данни от паметта на процесите, изпълнявани в реалната среда. Отбелязвам, че този проблем засяга не само виртуалната среда на Comodo Sandbox, но и Sandboxie.

В същото време защитата срещу модификация на паметта между процесите предотвратява създаването на дъмп на паметта. Очевидно е забранено спирането на процеса, необходимо за създаване на дъмп, но не и самото четене на паметта.

Анализ на командния ред

Някои видове приложения не се изпълняват самостоятелно, а чрез програми за интерпретатор. Например, изпълнението на bat скриптове се извършва от системния интерпретатор cmd.exe, изпълнението на vbs скриптове от системния интерпретатор wscript.exe, а изпълнението на jar приложения от програмата javaw.exe, включена в виртуална машина Java и др. Когато стартирате скрипт (или подобно приложение), той всъщност изпълнява свързаната с него програма за интерпретатор, като получава пътя на скрипта като аргументи на командния ред.

CIS следи стартирането на определени интерпретатори и прилага към тях ограниченията, които има файлът, посочен в аргументите на командния ред. Благодарение на това някои типове скриптове се възприемат от CIS като независими приложения: тяхната активност е ограничена от правилата на HIPS или задейства предупреждения, а Auto-Sandbox изолира работата на скриптове, които не са надеждни. (Някои функции на Auto-Sandbox, работещи със скриптове, са описани в съответната статия: невъзможност или.) Скриптовете, които изпълняват, също се показват на мястото на интерпретаторите.

По описания начин се контролира стартирането и активността на различни видове приложения: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, * .jar и т.н. Те се управляват по същия начин като библиотечните файлове, когато се изпълняват системна програма rundll32.exe.

Това поведение се задава от опцията „Извършване на евристичен анализ на командния ред за конкретни приложения“ в раздела „Конфигуриране на HIPS“, която е активирана по подразбиране. Ако го деактивирате, тогава скриптове и подобни приложения ще се изпълняват със същите права, които имат техните интерпретатори.

Имаше грешка в CIS 7: стартирането на скриптове с дълги пътища не беше контролирано. Грешката е коригирана в CIS 8.0. Освен това във всички версии от 5.10 до 8.1 имаше сериозна уязвимост при анализиране на командния ред, която направи възможно стартирането на една програма с правата на друга. Тази уязвимост е почти елиминирана в CIS 8.2.

Опция за защита от инжектиране на shellcode

В раздела „HIPS Configuration“ има опция „Detect shell code injection“. Както подсказва името, активирането му има за цел да предотврати атаки при препълване на буфера.

Опцията „Откриване на инжектиране на код на обвивка“ обаче все още засяга работата на CIS. Или по-скоро списъкът с изключения за тази опция има ефект, независимо дали самата тя е активирана. Следните характеристики се наблюдават при работата на приложенията, добавени към списъка с изключения за „защита на shellcode“:

В същото време HIPS следи приложенията, изключени от „защитата на shellcode“ за стартиране на програми, достъп до паметта на други процеси, изпращане на съобщения в прозорци, промяна на файлове и регистър, достъп до клавиатурата и достъп до диска. Също така, ако тези приложения се изпълняват виртуално (или ръчно, или въз основа на правилата на Auto-Sandbox), промените във файловете и регистъра не трябва да засягат реалната среда.

Очевидно реализацията на библиотеката guard(32|64).dll е отговорна за онези CIS функции, които не работят за приложения, изключени от "защита на shellcode".

Понякога добавянето на програми към изключения в опцията „Откриване на инжектиране на код на обвивката“ ще разреши някои конфликти. По този начин обикновено се препоръчва към тези изключения да добавите програмната директория на VMware Player/Workstation, програмата Alcohol, програмата и нейната директория на пясъчника. Имаше и конфликт между CIS версия 8.2.0.4674 и Google браузър Chrome 45.0.2454.85, който беше разрешен чрез добавяне на файла chrome.exe към изключенията на тази опция.

вирусоскоп

Сигнали за вируси

В допълнение към основните инструменти за проактивна защита - HIPS и Auto-Sandbox - има компонент Viruscope, предназначен за динамично откриване на подозрителна активност на процеса. Трябва да открие опасно поведение неидентифициранпрограми и издава предупреждение с молба да отмените промените, направени от конкретна програма и нейните дъщерни процеси, и да изтриете самата програма.

Ако опцията „Не показвай предупреждения“ е активирана в раздела „Viruscope“, тогава програмите ще бъдат деинсталирани и промените ще бъдат върнати автоматично (по подобен начин, ако не отговорите на предупреждението в рамките на 2 минути).

Ръчно връщане назад на промените

Завършването на програми и връщането назад на направените от тях промени може да се извърши не само при откриване на подозрителна дейност, но и ръчно. За да направите това, стартирайте диспечера на задачите KillSwitch, извикайте контекстното меню на желания процес и изберете „Прекратяване на дървото на процеса и връщане на направените промени“. Програмният файл не се изтрива. Този елемент от контекстното меню на KillSwitch е достъпен само когато Viruscope е активиран.

Друг начин за ръчно прекратяване на програми и връщане назад на направените от тях промени е чрез HIPS и предупреждения на защитната стена. Когато Viruscope е активиран, в тези предупреждения се появява допълнителна опция: „Блокиране, завършване на изпълнението и отхвърляне на промените.“ Когато изберете този елемент, програмата, посочена в предупреждението, и всички нейни дъщерни процеси ще приключат и направените от тях промени ще бъдат отменени; програмният файл няма да бъде изтрит.

Отчет за дейността

С активиран Viruscope контекстно меню, извикан от главния прозорец на CIS, се появява нов елемент: „Показване на активността“. Щракването върху него ще отвори прозорец с отчет за активността на избраната програма и нейните дъщерни процеси.

Освен това, когато Viruscope е активиран, бутонът „Показване на активност“ се появява в предупрежденията на различни CIS компоненти. Щракването върху него също отваря отчет за активността на програмата, посочена в предупреждението.

Трябва да се каже, че представянето на отчета за дейността в прозореца на CIS далеч не е удобно. Можете обаче да използвате контекстното меню, за да експортирате този отчет в XML файл и да го изучавате отделно.

Можете също да видите отчета за дейността чрез диспечера на задачите KillSwitch: в прозореца със свойства на процеса, извикан чрез контекстното меню, има раздел „Активност на процеса“. KillSwitch обаче представя този отчет дори по-зле от CIS и няма функция за експортиране във файл.

Ограничаване на контрола на Viruscope само до програми в пясъчна среда

По подразбиране в конфигурацията „Проактивна защита“ в раздела „Viruscope“ опцията „Use Viruscope“ е активирана, а опцията „Apply Viruscope action only to applications in Sandbox“ е деактивирана. При тази конфигурация се наблюдават всички процеси в реалната и виртуалната среда. Работата на Viruscope специално за този режим е описана по-горе.

Ако поставите отметка на опцията „Прилагане на действие на Viruscope само към приложения в Sandbox“, тогава ще се наблюдава активността само на онези програми, които се изпълняват във виртуална среда или са ограничени от Auto-Sandbox. За програми, работещи в реална среда без ограничения на Auto-Sandbox, дейността няма да се записва и съответно няма да се дава отчет за нея.

Въпреки това, след активиране на тази опция, предупрежденията за HIPS и защитната стена все още ще съдържат опцията „Блокиране, прекратяване на изпълнението и отхвърляне на промените“, а в контекстното меню на KillSwitch ще има опция „Край на дървото на процеса и връщане на направените промени“. Всъщност избирането на тези елементи няма да отмени промените, а само ще прекрати избраната програма и нейните дъщерни процеси.

Управление на разпознавателя

Разделът „Viruscope“ показва файл, въз основа на чиито данни определена активност на приложението се счита за подозрителна. Този файл определя модели на поведение, които трябва да задействат предупреждения на Viruscope. Ако зададете състоянието на такъв файл на забранено, тогава съответното поведение на приложенията няма да доведе до известия и блокиране на Viruscope; Програмата за наблюдение ще продължи.

Ограничения при използване и проблеми на Viruscope

Viruscope не ви позволява да връщате назад действия като изтриване на файлове от диска. Освен това промените, направени по време на предишни цикли на подозрителния процес, не могат да бъдат върнати назад. Отмяната на действията на процес, който погрешно е идентифициран като опасен, може да доведе до загуба на данни (този риск възниква в режим „Не показвай предупреждения“).

Във версия CIS 7 имаше сериозен проблем - когато Viruscope беше активиран, в защитени приложения възникваха непредвидими сривове. Тези повреди са възникнали при липса на известия или записи в регистрационните файлове на CIS, което затруднява намирането на причината. Очевидно неуспехите са причинени от самото наблюдение на процеса, а не от откриването на подозрително поведение.

В CIS 8 предишните известни конфликти вече не се появяват. Проблемът може да е решен. Въпреки това, поради неговата сериозност и трудността на откриване, аз все още препоръчвам срещу Viruscope. Като се вземат предвид всички ограничения, ползите от защитата на Viruscope са малки.

За безопасна употреба Viruscope може да бъде активиран с опцията „Прилагане на действие на Viruscope само към приложения в Sandbox“. Но в този случай целта на Viruscope няма да е защита, а изследване на работата на приложения, работещи във виртуална среда.

Моля, активирайте JavaScript, за да видите

Какво означава HIPS в общ смисъл?

Това означава „Система за предотвратяване на проникване в хост“ ( зост азпроникване Ппредотвратяване Ссистема). По същество това е програма, която предупреждава потребителя, когато злонамерена програма, като вирус, може да се опитва да стартира на компютъра на потребителя или когато неоторизиран потребител, като хакер, може да е получил достъп до компютъра на потребителя.

Произход и история

Преди няколко години класифицирането на зловреден софтуер беше относително лесно. Вирусът си беше вирус, имаше и други видове, но те бяха много различни! В днешно време „бъговете“ са се променили и определящите граници между тях са станали по-размити. Не само, че има повече заплахи във формата Троянски коне, червеи и руткитове, различни злонамерени продукти вече често се комбинират. Това е причината, поради която зловреден софтуер сега често се нарича колективно „зловреден софтуер“, а приложенията, предназначени да се борят с него, като „програми“. широк обхватдействия“.

В миналото програмите за откриване разчитаха предимно на сигнатури на злонамерен софтуер, за да идентифицират злонамерен софтуер. Този метод, макар и надежден, е толкова добър, колкото честотата на актуализациите. Има допълнително усложнение в това, че голяма част от днешния зловреден софтуер непрекъснато се променя. В процеса се променят и техните подписи. За да се бори с това, са разработени HIPS програми, които могат да „разпознаят“ злонамерен софтуер по поведението му, а не по сигнатурите му. Това „поведение“ може да е опит за контрол на друго работещо приложение Windows услугаили променете ключа на системния регистър.

Илюстрация от EUobserver.com

Това е малко като залавянето на престъпник по поведението му, а не по пръстовите му отпечатъци. Ако се държи като крадец, най-вероятно е крадец. Същото с компютърна програма: Ако действа като злонамерен софтуер, най-вероятно е злонамерен софтуер.

Проблемът тук е, че понякога напълно легитимните програми могат да действат малко подозрително и това може да накара HIPS погрешно да маркира легитимна програма като злонамерен софтуер. Тези така наречени фалшиви аларми са истински проблем за HIPS програмите. Ето защо най-добрите HIPS програми са тези, които използват комбиниран сигнатурно-поведенчески подход. Но повече за това по-късно.

Какво всъщност прави програмата HIPS?

Най-общо казано, програмата HIPS се стреми да запази целостта на системата, на която е инсталирана, като не позволява на неодобрени източници да правят промени в тази система. Обикновено прави това, като показва изскачащ прозорец с предупреждение за сигурност, питайки потребителя дали определена промяна трябва да бъде разрешена.

Comodo: изскачащ прозорец с предупреждение за HIPS

Тази система е толкова добра, колкото и отговорите на потребителя на изскачащи запитвания. Дори ако програмата HIPS правилно идентифицира заплахата, потребителят може по невнимание да одобри неправилното действие и компютърът пак може да се зарази.

Правилното поведение също може да бъде изтълкувано погрешно като вредно. Тези така наречени „фалшиви аларми“ са истински проблем с продуктите на HIPS, въпреки че за щастие те са станали по-рядко срещани, тъй като програмите на HIPS са станали по-сложни.

Предимството тук е, че можете да използвате някакъв HIPS софтуер за управление на разрешенията на законни приложения, въпреки че това би било препоръчително само за напреднали потребители. Ще обясня това по-подробно по-късно и защо трябва да ги използвате. Друг начин да разгледате HIPS е да го използвате като защитна стена, управляваща приложения и услуги, а не просто достъп до Интернет.

вид продукт

Съвременният зловреден софтуер е станал толкова напреднал, че програмите за сигурност вече не могат да разчитат само на откриване, базирано на сигнатури. Много приложения вече използват комбинация от различни методи за идентифициране и блокиране на заплахи от зловреден софтуер. В резултат на това в няколко различни видовезащитните продукти вече използват HIPS. Днес изобщо не е необичайно да видите HIPS като част от антивирусна или антишпионска програма, въпреки че HIPS е най-често срещаната като компонентзащитна стена. Всъщност повечето съвременни защитни стени сега добавят HIPS защитни елементи към своите възможности за IP филтриране.

Comodo Internet Security Comprehensive Antivirus

За да подобрят ефективността, програмите HIPS използват различни методи за откриване. В допълнение към разпознаването на сигнатура, HIPS програмите също търсят поведение, съвместимо със зловреден софтуер. Това означава, че те имат за цел да идентифицират действия или събития, за които е известно, че са типично поведение на зловреден софтуер.

Някои програми за анализ на поведението са по-автоматизирани от други и макар това да изглежда като добра идея, на практика може да доведе до усложнения. Понякога обстоятелствата могат да накарат да изглежда, че напълно легитимната дейност на приложението е подозрителна, което да доведе до нейното прекратяване. Може дори да не го знаете, докато нещо не спре да работи! Това е доста безопасно и просто досадно, докато процесът е обратим, но понякога може да доведе до нестабилност в системата. Въпреки че подобни събития са редки, тяхното въздействие може да бъде тежко, така че е препоръчително това да се вземе предвид при вземане на решения.

Монтаж и конфигурация

Програмата HIPS трябва да се инсталира с настройките по подразбиране и да се използва, докато има необходим период на обучение или докато свикнете с нейната функционалност. Винаги можете да коригирате нивата на чувствителност по-късно и да добавите допълнителни правила, ако смятате, че е необходимо. Приложенията, които имат „период на обучение“ по подразбиране, са проектирани по този начин с причина. Може да е изкушаващо да съкратите обучението си, но това може също да намали ефективността ви. Производителите обикновено включват PDF ръководство и никога не е лоша идея да го прочетете преди инсталиране.

ESET NOD32 Antivirus: Настройка на HIPS

По-рано споменах възможността за използване на програма HIPS за контрол на използването на легални приложения. Вече правим това в нашите защитни стени, като ограничаваме използването на портове. Можете да използвате софтуера HIPS по този начин, за да блокирате или ограничите достъпа до системни компоненти и услуги. Като цяло, колкото повече ограничавате Windows, толкова по-безопасно ще бъде. Четох някъде, че най-сигурната Windows система се казва Linux! Но това е друг проблем. Понякога легитимните програми, когато са инсталирани, установяват ниво на достъп до системата, което значително надхвърля това, което те всъщност трябва да изпълняват като част от нормалните си функции. Ограничаване на приложенията до ниво „разрешено за четене“ (с харддиск), ако не се нуждаят от „разрешение за запис“ по подразбиране е един от начините за намаляване на риска. За да направите това, можете например да използвате настройката на модула "Protection+" в Comodo Internet Security.

Когато бъде идентифицирана потенциална заплаха

Повечето HIPS програми предупреждават потребителите за потенциални заплахи с интерактивен изскачащ прозорец, когато нещо се случи. Някои програми автоматизират този процес и го докладват (може би!) по-късно. Важното е да не ставате „автоматизирани“, когато отговаряте. Нито едно приложение за сигурност няма да е от полза, ако щракнете сляпо върху „Да“, за да отговорите на всеки въпрос. Само няколко секунди мислене, преди да вземете решение, могат да спестят часове работа по-късно (да не говорим за загуба на данни). Ако дадено известие се окаже фалшива аларма, понякога можете да го запазите като „изключение“, за да предотвратите подобно известие в бъдеще. Също така се препоръчва производителите да бъдат уведомявани за фалшиви аларми, за да могат да ги коригират в бъдещи версии.

Ами ако не сте сигурни?

Цените варират в зависимост от това, което четете, но до 90% от целия зловреден софтуер идва от интернет, така че ще получавате повечето изскачащи предупреждения за сигурност, докато сте онлайн. Препоръчителното действие е спиране това събитиеи потърсете в Google информация за показаните файлове. Местоположението на откритата заплаха може да бъде толкова важно, колкото и името на файла. Освен това „Ispy.exe“ може да е легитимен софтуер, но „ispy.exe“ може да е злонамерен. Докладите на списание HijackThis биха могли да помогнат с това, но предоставените резултати автоматизирана услуга, може да не е съвсем еднозначно. Като цяло ще позволите известна вреда, като блокирате или изолирате събитие, което се случва, докато не научите какво да правите с него. Това се случва само когато премахнете нещо и не знаете, че може да доведе до катастрофални резултати!

Днешната тенденция е да се включват препоръки от общността в изскачащи известия. Тези системи се опитват да ви помогнат да отговорите точно на известията за сигурност, като ви казват как са реагирали други в подобни случаи.

Това е привлекателна идея на теория, но на практика резултатите могат да бъдат разочароващи. Например, ако 10 души преди това са видели определено известие и девет от тях са направили грешен избор, тогава когато видите препоръка с 90% рейтинг за блокиране на програмата, вие следвате примера им! Наричам това „стаден синдром“. С нарастването на броя на потребителите, надеждността на препоръките също трябва да нараства, но това не винаги е така, така че е необходимо известно внимание. Винаги можете да поискате в Google друго мнение.

Множество защити или „пластов подход“?

Преди няколко години използването на един пакет за сигурност не осигуряваше ниво на производителност, сравнимо с използването на няколко индивидуални приложениясигурност за постигане на "многостепенна" защита. Напоследък обаче производителите инвестираха много в разработването на комплекти и това вече е отразено в техните продукти. Някои обаче все още съдържат поне един слаб компонент и ако това е защитна стена, тогава трябва да изберете нещо друго. Общият консенсус е, че комбинацията отделни елементивсе пак ще осигури висока производителност и по-добра цялостна надеждност. Това, което правят като цяло, разбира се, е да предлагат повече избор и повече гъвкавост. Comodo беше първият сериозен пакет, който е наистина безплатен, но сега Outpost ( бележка за сайта: за съжаление този продукт не се разработва в напоследък ) и ZoneAlarm също пускат безплатни комплекти. Всички те предлагат сериозна алтернатива на платения софтуер.

Безплатна ZoneAlarm Безплатна антивирусна програма+ Защитна стена

Една кола е толкова добра, колкото е добър нейният водач и същото важи и за софтуера. Няма такова нещо като програма за сигурност при освобождаване от отговорност „настрой и забрави“. Опитайте се да изберете нещо, което можете да разберете и което ви харесва да използвате. Все едно да сравнявате защитните стени Sunbelt-Kerio и Comodo. Да, ако искате да сте стъпили на земята, Comodo може да ви даде по-добра защита, но е и по-трудно за разбиране. Ако смятате, че с Kerio е по-лесно да работите, е по-вероятно да го използвате ефективно и в крайна сметка ще бъде най-добър избор(само до Windows XP. Потребители на Windows 7 и по-нови можете да опитате TinyWall). Използвайте резултатите от различни тестове като ръководство, но само за тази цел. Никой тест не може да замени вашия компютър, вашата програма и вашите навици за сърфиране.

Критерии за избор

Винаги съм избирал приложения за себе си по следния начин. Разбира се, вие може да мислите различно!

трябва ли ми

Много хора оспорват целесъобразността на използването на някои софтуеркогато възразяват срещу постигнатото. Ако вашата защитна стена вече има добър HIPS компонент (като Comodo, Privatefirewall или Online Armor), тогава това може да е достатъчно. Програми като Malware Defender обаче използват различни техники, които могат да осигурят допълнителна защита при определени обстоятелства. Само вие можете да решите дали това е необходимо за вас. Експертите все още съветват да не използвате повече от един защитен софтуер от един и същи тип.

Дали ще могаизползваи го?

Инсталирането на която и да е HIPS програма създава много работа по отношение на настройката и управлението на предупреждения. Като цяло това, което откриват програмите HIPS, може да бъде донякъде двусмислено, така че трябва да сте готови да тествате техните резултати. Само със средни познания бихте намерили това за проблем при интерпретирането на резултатите.

ще помогне ли

Базираните на HIPS методи са ефективни само когато потребителят реагира правилно на изскачащите предупреждения, които HIPS показва. Новобранците и безразличните потребители едва ли ще могат да дадат такива отговори.

Усърдните и опитни потребители имат място за софтуера HIPS в областта на сигурността на компютъра, тъй като HIPS възприема различен подход спрямо традиционния софтуер за подписване. Използван самостоятелно или във връзка със защитна стена, HIPS ще добави възможности за откриване към вашата защитна стена.

Ще съсипе ли системата ми?

Програмите за сигурност, по своята същност, трябва да нахлуят във вътрешното светилище на вашия компютър, за да бъдат ефективни. Ако вашият регистър вече изглежда като чиния със спагети, ако имате програмните файлове"призрачни папки", ако имате " син екран“, съобщения за грешка на Windows и страници, които не са поискани в Internet Explorer, тогава инсталирането на HIPS програма ще доведе само до проблеми. Дори на чиста машина вземането на грешно решение може да доведе до необратима нестабилност. Въпреки че по принцип можете да причините същата вреда, когато работите в програма за почистване на системния регистър.

Мога ли да използвам повече от едно приложение?

Не виждам полза от използването на две HIPS програми заедно. Експертите все още съветват да не се изпълнява повече от едно активно приложение за сигурност от един и същи тип. Рискът от конфликт надвишава всички възможни ползи.

Заключение

Потребителите, преди да обмислят HIPS, може да помислят за подобряване на сигурността на своя браузър, като първо заменят IE с Chrome, Firefox или Opera и използват sandboxing. Хората, използващи стандартна защитна стена, могат да използват Malware Defender за допълнителна защита. И потребителите на CIS или Online Armor няма да получат никакви ползи от това. Системното натоварване и използването на ресурси е нещо, което трябва да се вземе предвид, въпреки че това е важно главно при използване на по-стари машини. Наистина няма категоричен отговор, освен да се каже, че има твърде много изключения от правилата, твърде много! Като цяло всичко опира до баланс. Най-голямата заплаха за моя компютър винаги ще бъда аз!

Открихте правописна грешка? Маркирайте и натиснете Ctrl + Enter

Всеки ден се появяват нови вируси, шпионски софтуер, модули показващи реклами. Работата без антивирус е подобна на самоубийство: ако по-рано въпросът звучеше като „Ще се заразите ли или не?“, сега звучи като „Колко бързо ще се заразите?“ Колкото по-активно потребителят прекарва време в интернет, изтегляйки файлове, посещавайки съмнителни сайтове, толкова по-голяма е вероятността от заразяване на компютъра. Файловете, получени от мрежи за обмен, са особено опасни. Именно тези мрежи, заедно със спама, се използват за разпространение на нови вируси. И в този случай антивирусите се отказват: все още няма подписи в техните бази данни, те предават изтеглените файлове като „чисти“. Само след като стартира такъв файл, потребителят може, въз основа на косвени признаци (внезапно появяващ се голям изходящ трафик, странни съобщения на екрана, намалена производителност на компютъра, работеща програма, която не изпълнява функциите, за които се предполага, че е създадена и т.н.), предполагам, че компютърът е заразен. Повечето потребители няма да забележат нищо и стартирането на антивирусен мониторинг ще създаде фалшиво чувство за сигурност. Само няколко часа, а понякога и дни, след като описанието на новия вирус бъде добавено към антивирусните бази данни, след като антивирусът изтегли и инсталира актуализации, нов вирус, вероятно ще бъдат открити. И едва след това ще започне компютърното лечение. И през тези дни или часове компютърът разпространяваше нов вирус със скоростта на интернет връзка, изпращаше спам, използваше се за извършване на атаки срещу сървъри, с други думи, имаше зомби, което се присъедини към армията от същите зомбита , внасяйки още една капка хаос в мрежата.

На този етап от развитието компютърно оборудванеСтигаме до разбирането, че настоящите технологии за откриване на вируси, използването на антивирусни бази данни със сигнатури, не са ефективни. При сегашната скорост на разпространение на файлове в интернет (мрежи за обмен, спам), антивирусите винаги ще бъдат в ролята на догонващи.

Съвсем наскоро авторът на тази статия ръчно почисти компютъра от нов вирус, който не беше открит от антивирусната програма, инсталирана на компютъра на потребителя. По очевидни причини няма да назова производителя на антивирусна програма, много известна и успешна компания в целия свят. След като вирусната библиотека беше открита, тя беше сканирана от всички налични антивируси с най-новите бази данни с описание. Никой, с изключение на Dr.Web, не намери нищо опасно в библиотеката. Вирусът обаче успешно събра информация за адресите на сайтовете, посетени от потребителя, неговите потребителски имена и пароли, въведени на тези сайтове, и след това изпрати събрана информацияавторът на вируса. Съдейки по механизма на заразяване, компютърът е бил заразен при посещение на сайт и много вероятно източникът на вируса е бил банер, показан на една от страниците (проучване на хронологията на сърфиране в браузъра не разкрива престъпление в списък).

Още по-депресиращо е заразяването на компютър с вирус, който изпраща спам пощенски адресидомейн Microsoft.com, отвори порт за слушане и съобщи на неговия автор IP и порта на готов за използване прокси сървър. Преди да отвори порта, вирусът буквално разруши защитната стена, вградена в Windows XP SP2, изтривайки цялата информация за услугата в системния регистър. След като вирусната библиотека беше открита, тя беше сканирана от няколко от най-популярните антивируси. Само Dr.Web и Kaspersky Anti-Virus го идентифицираха като вирус. Две известни и популярни западни антивируси все още не откриват този файл, въпреки факта, че, съдейки по информация от търсачки, първите съобщения за този вирус се появиха в интернет преди 4 месеца.

Има огромен брой такива примери. Днес има разбиране, че антивирусите в сегашния си вид нямат бъдеще. Това е задънена улица. Разликата във времето между появата на нови вируси и добавянето на техните сигнатури към антивирусните бази данни само ще се увеличи, което неизбежно ще доведе до нови вълни от вирусни епидемии. Небрежното отношение на западните антивирусни компании към търсенето на нови вируси и добавянето на техните описания към базите данни води до фалшиво чувство за сигурност у потребителя. В резултат на това вредата от такова „отпускане“ на потребителя може да бъде Опо-добре, отколкото да работите без антивирусна програма изобщо, когато потребителят ще мисли сто пъти дали да работи под сметкас администраторски права и дали да отваря прикачени файлове от писмо от неизвестен подател, предлагащо стартиране на прикачения файл.

В допълнение към самите вируси активно се разпространяват няколко други вида злонамерен софтуер: шпионски софтуер - който събира и изпраща информация за потребителя, рекламен софтуер - който самостоятелно отваря прозорци на браузъра с реклами и т.н. Този софтуер не се класифицира като вирус, защото не уврежда директно вашия компютър или данни. Въпреки това, когато се зарази, потребителят изпитва дискомфорт и е принуден да инсталира освен антивирусната програма и друг вид софтуер за борба с шпионския и рекламния софтуер. Този тип софтуер, подобно на антивирусната програма, има собствена база данни с описания на злонамерени обекти, които търси и унищожава в системата.

Абсолютно същата ситуация се наблюдава и при борбата със спама. Ако по-рано всъщност единственото средство за борба бяха „черните списъци“ на сървъри или дори цели подмрежи, от които се изпраща спам, днес всичко голямо количествоадминистраторите са убедени, че технологията на „черните списъци“ остарява. Той е твърде бавен, не е гъвкав и изисква много усилия от администратора на списъка, за да поддържа уместност. Много често поради двама или трима спамери, които са закупили комутируем достъп за поща, цели подмрежи на доставчици попадат в черен списък, след което пощата от потребители от тези подмрежи започва да се маркира като спам и да се филтрира от получателите. В резултат на това сме свидетели на нарастващо разпространение на интелигентни системи за оценка на съдържанието на имейлите. Системи, които могат да „четат“ писмо, включително заглавки на услуги, извършват серия от проверки и правят заключение: това е спам или не. Безопасно е да се каже, че след няколко години тази анти-спам технология напълно ще замени използването на черни списъци.

Ние тихомълком губим войната: появяват се нови и нови заплахи и вместо да се подобряват и създават нови технологии за борба с тях, методът за описване и разпространение на бази данни с описания се изкоренява.

За щастие се предприемат първите стъпки за коригиране на ситуацията и нов класпрограми за цялостна защита на компютъра от вируси и различни видове рекламен шпионски софтуер, който не използва бази данни с описание. Подобно на антиспама, това е вид интелигентен алгоритъм, който следи действията на стартираните приложения. Ако някои действия изглеждат опасни за алгоритъма, той ги блокира. Човек може да спори дълго време за твърде голямата независимост на такива програми, но няма алтернатива. Нека е по-добре да имате няколко фалшиви положителни резултати, отколкото десетки мегабайта трафик за актуализиране на антивирусни бази данни и 2-3 приложения, които са постоянно в паметта, намаляват производителността на файловите операции и изискват значителни системни ресурси.

В това ревю ще се запознаем с един от представителите на нов клас програми за проактивна компютърна защита: Defense Стена HIPS. Нестандартен подход към борбата със зловреден софтуер, лекота на настройка и незабележима работа отличават този продукт от масата на другите. Не изтегля никакви бази данни с описания. Вместо това потребителят самостоятелно определя приложенията, чрез които заразен файл може да бъде получен на компютъра. По подразбиране популярните приложения са включени в ненадеждните приложения. имейл клиенти, браузъри, някои системни помощни програми (ftp.exe). Така се създава списък с всички „врати“, през които може да проникне заразен файл.

Всеки файл, получен от мрежата чрез ненадеждно приложение, ще бъде маркиран като ненадежден от Defense Wall HIPS. След стартиране на такъв файл, всички действия, които изпълняваното приложение предприема в системата, ще бъдат регистрирани, т.е. потребителят винаги ще има възможност да види, например, списък с ключове в регистъра, които са били създадени работещо приложениеи ги изтрийте с едно натискане на бутон.

Уебсайт на програмата
Размерът на разпространението е 1,2 мегабайта.
Цена Defence Wall HIPS 500 рубли Монтаж

Монтажът на Defence Wall HIPS се извършва от майстор. По време на нейната работа трябва да се съгласите с условията на лицензионното споразумение, да изберете папката за инсталиране на програмата и да изберете режим на работа между експертен и нормален. Компютърът трябва да се рестартира, за да завърши инсталацията.

Разликите между експертния работен режим и нормалния работен режим са значителни: в нормалния работен режим всички файлове, създадени от ненадеждно приложение, автоматично се добавят към списъка с ненадеждни. В експертен режим никакви файлове не се добавят автоматично към списъка с ненадеждни файлове - това трябва да се направи ръчно от потребителя. Препоръчително е да работите в нормален режим.

След рестартирането ще се покаже прозорецът за регистрация на продукта.

Ако програмата е закупена, за да я регистрирате, можете да въведете ключа, получен от разработчика. В демо режим програмата ще работи 30 дни, без да ограничава функционалността й. Интерфейс

Програмата добавя икона в трея, с която можете да промените режимите на работа и да отворите главния прозорец.

Център за почистване

Център за почистване предоставя бърз достъпза преглед на следи от ненадеждни приложения.

С помощта на бутона Следи на диска и в системния регистърМожете да видите списък с всички промени, направени от ненадеждни приложения.

Тази екранна снимка изброява ключовете на системния регистър, създадени от FAR, и файла text.txt, който е създаден от командния ред. Вдясно от списъка има бутони, с които можете да управлявате промените. За съжаление, от имената изобщо не става ясно какво действие ще извърши програмата след натискане на бутона. Целта на бутоните става повече или по-малко ясна, след като прочетете подсказките, които се появяват над бутоните, ако задържите показалеца на мишката върху тях. Помощна системаНевъзможно е да се извикат елементи от този прозорец: няма нито бутон Помощ във формата, нито бутон в заглавието на прозореца.

Първият бутон е Приберете- премахва ред от списъка. Промените, направени от процеса (ключове в регистъра, файлове), не се изтриват.

Бутон Изтрийви позволява да отмените извършена промяна: изтрийте ключ в системния регистър, папка или файл, създадени от приложението.

Бутон Връщане назадви позволява да отмените няколко извършени промени наведнъж. За да направите това, трябва да изберете запис и да натиснете бутона. Всички промени, от първите до избраните, ще бъдат отменени (ключовете в регистъра, файловете и папките ще бъдат изтрити).

Премахнете всичкови позволява да изчистите списъка.

Когато извършвате връщане назад, Defense Wall HIPS ви моли да потвърдите извършеното действие.

В тази заявка няма бутони Изтрийте всичкоИ Отменете връщането назад. Ако е направен опит за връщане назад на 50, например промени, тогава на такава заявка ще трябва да се отговори 50 пъти.

Записите в списъка нямат контекстно меню с десен бутон. Вместо да щракнете двукратно, за да отворите редактора на системния регистър и да видите създадения ключ или да стартирате Explorer, трябва да ги стартирате ръчно и да потърсите файла или ключа.

Регистърът на промените не се актуализира автоматично. Ако ненадеждно приложение създаде ключ в системния регистър, докато списъкът е отворен, тогава нов входще се покаже в списъка само след затваряне и отваряне на списъка.

За да изтриете обекти, създадени от ненадеждно приложение, трябва да затворите всички ненадеждни приложения. Например, ако браузърът, мрежовият клиент за обмен и FAR са отворени (и всички те са включени в списъка с ненадеждни приложения), тогава, за да изтриете ключа на регистъра, създаден от FAR, ще трябва да затворите и двете клиента и браузъра.

Вторият бутон в раздела Център за почистване ви позволява да видите списъци с надеждни и ненадеждни процеси, изпълнявани в системата.

В този прозорец няма опция за преместване на процес от надеждния списък в ненадежден. Освен това можете да прекратите всеки процес, изпълняван в системата.

Малко вероятно е необучен потребител да бъде доволен от такъв екран. Да не говорим за факта, че в момента, в който winlogon.exe приключи, потребителят може да има отворени файлове, върху които е работил дълго време, но не е имал време да запази промените.

Трети бутон в Центъра за почистване голям размер и червен цвят. Резултатът от натискането му съответства на оцветяването - независимо колко и какви ненадеждни процеси (браузър, имейл клиент) са стартирани - всички те ще бъдат завършени без никакви предупреждения и без запис на данни.

Добавяне или премахване на ненадеждни

Този списък съдържа всички ненадеждни приложения, открити на компютъра по време на инсталирането на Defense Wall HIPS. Списъкът с приложения, които по подразбиране се считат за ненадеждни от програмата, е доста широк: включва най-популярните браузъри, имейл клиенти, клиенти за незабавни съобщения и т.н. Към списъка могат да се добавят всякакви процеси, папки или приложения, с изключение на системните. Например explorer.exe не може да се добави.

При натискане на бутона ПриберетеОтваря се меню, чрез чиито елементи приложението може да бъде премахнато от списъка или можете временно да го изключите, като го направите надеждно. Бутон Колко надежден.ви позволява да стартирате екземпляр на приложение от списъка като доверен. С помощта на бутона Пързалям се на гореЗаписите в списъка могат да се местят. Не беше възможно да се разбере защо трябва да се направи това и защо няма бутон Преместване надолу (няма подсказки или споменавания в помощта).

Събитията, причинени от ненадеждни процеси, се записват в дневника. В този раздел можете да ги видите и, ако е необходимо, с помощта на филтър, да оставите в списъка събития, причинени от работата на определен процес. Както в предишния случай, събитията, които се случват, докато списъкът е отворен, не се включват в него. За да ги видите, трябва да затворите и отворите прозореца.

Затворени файлове

Всяко ненадеждно приложение няма да има достъп до всички файлове и папки, изброени в този списък. Интеграция

Defense Wall HIPS създава група преки пътища в контекстното меню на Explorer. Като щракнете с десния бутон върху който и да е файл или папка, можете бързо да извършите основни действия върху тях.

Когато се стартират ненадеждни приложения, към заглавието им се добавя статус.

Тестване

Първата стъпка беше опит да се заобиколи забраната за добавяне към списъка с ненадеждни приложения системни процеси. След добавяне към Ненадеждни приложения Windows папки, всичко стандартни приложениязапочна да работи като недоверен.

Клондайк - ненадеждно приложение

Както може да очаквате, Explorer, който не може да бъде добавен към списъка с ненадеждни чрез елемент от менюто Добавете приложение към ненадеждно, загуби доверие в Defence Wall HIPS. В менюто "Старт" елементите Run, Search, Help и Support спряха да работят. Notepad започна да създава ненадеждни файлове и след връщане назад на промените и съгласие с изискването първо да затвори всички ненадеждни приложения, обвивката се рестартира.

След като обвивката се рестартира, Windows поиска да постави компактдиск, за да възстанови файловете. За да не се влоши ситуацията, беше решено да се откаже възстановяването на файлове. Списъкът с ненадеждни процеси след рестартиране на Explorer е показан на фигурата по-долу.

Естествено, натискайки големия червен бутон Прекратете всички ненадеждни процесидоведе до BSOD, тъй като winlogon.exe беше включен в ненадеждния списък. По време на рестартирайте Windowsсъобщи, че:

След щракване Добре Windows премина в циклично рестартиране със същото съобщение на всеки ход. За да възстановя, трябваше да стартирам безопасен режим, намерете настройките на Defense Wall HIPS в регистъра (самата програма не работи в този режим, защото услугата й не се зарежда) и я премахнете от списъка с ненадеждни Windows папка. След това операционната система стартира нормално в нормален режим.

Беше решено да проверим какво ще се случи, ако добавим папката, в която е инсталиран Defense Wall HIPS, към списъка с ненадеждни.

Рецептата за лечение е същата: премахнете папката Defense Wall HIPS от списъка с ненадеждни папки, като редактирате регистъра.

По същество това са малки забележки по интерфейса на програмата, които могат да бъдат премахнати от автора без никакви проблеми. На следващия етап беше тествана основната функция на програмата: наблюдение на активността на процесите и маркиране на създаваните от тях файлове като ненадеждни.

Беше написан vbs скрипт за извършване на теста. Той имитира поведението на вируса и извършва следните действия:

Изтрих секцията в системния регистър, където се съхраняват настройките на Защитната стена, списъкът с ненадеждни приложения и дневникът на техните действия.
Изтеглих малък изпълним файл dwkill.exe от сайта.
Процесът беше прекратен от defendwall.exe (контролна конзола).
Създадена задача Windows Scheduler, който стартира помощната програма dwkill.exe под акаунта SYSTEM, след като потребителят влезе.

Тази последователност от действия е определена след дълго и задълбочено проучване на механизмите на работа на защитната стена. Ясно е, че този скрипт е фокусиран върху работата с Defense Wall и едва ли ще се използва от вируси до масовото разпространение на продукта на пазара. Този скрипт обаче разкри няколко съществени недостатъка в работата на Defense Wall:

Списъкът с ненадеждни приложения може лесно да бъде изчистен. След първото рестартиране всички предварително изтеглени и изпратени по имейл файлове ще започнат да се изпълняват като надеждни файлове.
Списъкът с действия на ненадеждни приложения също може да бъде изтрит, което прави невъзможно връщане назадпромени.
След стартиране на скрипта и първото рестартиране е възможно да стартирате всяко приложение като надеждно.

Освен това беше открит много неприятен проблем: при преместване на ненадежден файл от една папка в друга, той се премахваше от списъка с ненадеждни файлове и съответно се стартираше от новата папка като надежден.

Помощният файл на Defense Wall съдържа много правописни и грешки.

Въпреки всички сериозни недостатъци, програмата заслужава внимание. Бих искал да вярвам, че авторът ще коригира грешките и ще разшири функционалността. В идеалния случай виждаме създаването на модул, който ще прихване целия мрежов трафик, ще определи приложението, което го създава, и ако е ново, след заявка към потребителя, ще го добави към списъка с надеждни или ненадеждни. Въз основа на резултатите от тестването е очевидно, че всички настройки на програмата трябва да се съхраняват не в системния регистър, а в собствената база данни на Defense Wall. Услугата трябва да защити своето зареждане чрез проверка за подходящи ключове в системния регистър, когато е спряна.

Въпреки това Defense Wall HIPS изпълнява основните си функции: ненадеждно приложение не може да създава или променя ключове в системния регистър и не може да изтрива или презаписва файлове. Както показа тестването, тази защита във версия 1.71 на програмата е доста проста.

Продължавайки нашата дискусия за 3D печат на пластмаси, нека насочим вниманието си към HIPS. Какви са неговите характеристики? За какво е най-добро? Познаването на отговорите на тези въпроси, както и на някои от нюансите, обсъдени по-долу, може да добави към вашия арсенал от знания за 3D принтирането, което в крайна сметка ще ви помогне да постигнете оптимални резултати. И така, какво е HIPS?

Състав на HIPS филамент

Удароустойчивият полистирен (HIPS) е термопластичен полимер. Получава се чрез добавяне на полибутадиен към полистирол по време на полимеризация. В резултат на образуването на химически връзки полистиролът придобива еластичността на бутадиеновия каучук и се получава висококачествена, издръжлива и еластична нишка.

Предимства на HIPS като материал за печат

Много от характеристиките на HIPS са подобни на тези на ABS, PLA или SBS, но се различават към по-добро:

Материалът не абсорбира влага, понася по-добре условията на околната среда и не се разлага. Съхранява се по-дълго при отваряне без опаковка.
Мека, по-добре податлива на механична последваща обработка.
Лекотата и ниската водопоглъщаемост позволяват при определени условия да се създаде обект, който не потъва във вода.
Небоядисаният HIPS има ярко бял цвят, което му придава естетически предимства. Матовата текстура визуално изглажда наслояванията и грапавините на щампата.
От него се правят пластмасови прибори. Още по-важен е фактът, че е безвреден за хората и животните и не е канцерогенен.

Приложение на HIPS като основен печатен материал

След като HIPS обектът бъде отпечатан, той може да бъде шлайфан, грундиран и боядисан, за да му се придаде желания вид. Ако сравним характеристиките на HIPS на този последен етап, трябва да се отбележи, че всички процедури, свързани с последващата обработка - довършителни работи, шлайфане, полиране и т.н. - се извършват изключително лесно върху този материал. Получените части и предмети, които са създадени само с помощта на тази нишка, са здрави и умерено пластични и преди всичко доста леки. HIPS е по-мек и гладък материал, по-лесно се обработва механично, за разлика от PLA или ABS. Когато използвате HIPS пластмаса, препоръчваме да включите издухването на дюзата (охлаждане), това ще позволи на слоевете да се втвърдят равномерно и отпечатаната повърхност ще бъде по-гладка.

Моделите са с щампа HIPS пластмаса

HIPS като поддържащ материал, разтворимост на HIPS

HIPS е разтворим в лимонен, безцветен течен въглеводород със силна цитрусова миризма. Тъй като те (HIPS и лимонен) не взаимодействат по никакъв начин с ABS, HIPS е отличен за изработка на опори и е много по-евтин от PVA.

Използване на HIPS за създаване на сложни форми.

Ако принтерът има два екструдера, просто добавете ABS макара и HIPS макара и сте готови да печатате сложни дизайни, които биха били трудни за постигане с друг поддържащ материал. Между другото, можете да закупите проба от този материал от нас, проба HIPS с дължина 10 метра.

Добре е, когато печатате в различни цветове: по време на процеса на отстраняване на опорите от HIPS, това ще помогне да се гарантира, че те са напълно разтворени и остава само ABS обектът.

Какво обикновено се прави от HIPS в промишленото производство?

Много често от HIPS се правят играчки, както и опаковки и домакински консумативи, домакински уреди. Тъй като материалът е безвреден, от него често се правят прибори за еднократна употреба, както и чинии и чаши.

Екструдиране на нишки HIPS (опции за печат)

Правилната температура за работа с всяка нишка варира от принтер до принтер, но е по-добре да започнете да експериментирате с 230-260° C. Ако принтерът има нагреваема платформа, когато печатате HIPS, задайте температурата върху нея на 100° C - това ще помогне за производството на по-гладки и по-солидни предмети. Освен това, за да направите нещата още по-добри, опитайте да поставите полиамидна (каптонова) лента върху платформата, така че ивиците да не се пресичат.

Предпазни мерки при работа с HIPS

Въпреки че HIPS не е токсичен, по време на екструдирането той освобождава вещества, които могат да причинят дразнене. респираторен тракти очите, затова се препоръчва да печатате на добре проветриво място.

Ако платформата на принтера е отворена, осигурете подходяща вентилация и винаги работете с изключително внимание. Незащитеният контакт с нагорещени вещества може да причини сериозни изгаряния на кожата.