Исключения в HIPS

С самого появления в Авасте такого модуля как HIPS, у меня возник вопрос - Почему для этого модуля не предусмотрена функция “Исключения”? То есть, если HIPS посчитала какое-то действие безобидной программы подозрительным, то она будет постоянно об этом сигнализировать, в том случае, если этой программе нужно постоянно выполнять данное действие, а не разово. И что делать? Отключать HIPS? Нет возможности вручную внести программу в исключения для HIPS. По-моему, это недоработка разрабов, которую надо поправить.

Привет, Dmitriy Fox. Я видел твою темку в англоязычной ветке форума, тебе там больше помогут, чем сдесь. Там вроде как специалистов из компании аваст много, не так ли?

Виды HIPS
Классические HIPS
Классические HIPS-продукты предоставляют пользователю информацию об активности того или иного приложения, однако решение о разрешении/запрещении той или иной операции должен принимать пользователь, т.о. классические HIPS-продукты позволяют пользователю тонко настроить те или иные правила контроля, но создание правил требует высокой квалификации пользователя.
Экспертные HIPS
В отличие от классических HIPS-продуктов, экспертные HIPS могут самостоятельно принимать решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком продукта. Для использования экспертных HIPS-продуктов пользователю не обязательно обладать определенной квалификацией, однако экспертные HIPS-продукты в ряде случаев могут блокировать легитимную активность пользовательского программного обеспечения, или могут не признать данную активность программы за вредоносную.
Аваст, судя по всему, использует второй вариант, рассчитанный на массовость. Средний пользователь использующий стандартный набор софта естессно предпочтёт тоже (как и Аваст) второй вариант без разных “тонких настроек”.
В настоящее время с существующими сегодня угрозами средний пользователь скорее смириться с незапуском какой-либо относительно редкой программы, чем с угрозой ВСЕЙ своей информации.
Не думаю, что Авасту нужно делать какие-либо “тонкие настройки” в реализации HIPS, “самоделкины” при любом раскладе останутся недовольны - для одних слишком часто будут блокирования, для других слишком редко.

Да ладно не возможно сделать HIPS который удовлетворил бы всех. Конкуренты умеют сочетать оба варианта в одном продукте. Сравните хотя бы с контролем активности п.о. в KIS это яркий пример сочетаний обоих вариантов HIPS в одном продукте. Там есть вариант настройки для профессионалов, когда все правила пользователь будет задавать в ручную. Есть автоматический режим, когда на основе встроенного интеллектуального алгоритма и информации из облака (Правила предопределены для известного п.о. уже разработчиками защиты), контроль активности принимает решения автоматически. Есть и третий вариант, полуавтоматический режим. Если малоизвестное п.о. не имеющее уже предопределённых правил от разработчиков продукта попало в группу, которая ограничивает его функционал, но пользователь считает, что данному п.о. можно доверять, он может сам перенести его в группу доверенного и пользоваться свободно. Именно к такой системе должен и аваст стремиться, разрабатывая режимы работы, которые устроят все категории пользователей.

Всё кроме “полностью автоматического режима” HIPS нужно и интересно только 5% пользователей Аваст. И что, для них надрываться и потом еще получать от них регулярно тут топики навроде “а у касперского лучше работает”? :smiley:
Я если бы и позволил что-то пользователю в HIPS от аваста регулировать, так только сделал бы кнопку с разрешением продолжения работы на компе ЛЮБЫХ алгоритмов шифрования (не связанных с сетью), как симметричных, так и ассиметричных. Чтобы они в случае обнаружения начала их работы могли её продолжать только после однозначного разрешения пользователя. Для чего я это предлагаю сделать, думаю объяснять не надо.

Судя по чему?
Вы можете привести примеры, когда хипс Аваст “…самостоятельно принимал решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком…”?
Вы можете предоставить скриншоты алертов хипс, в которых в поле “Целевой объект” есть что-нибудь отличное от ключей реестра?

Откуда взялись 5%? Вы провели исследование?
Где скрывается “полностью автоматический режим” в настройках хипс в Авасте?

http://i11.pixs.ru/thumbs/4/9/3/ScreenShot_9001083_19776493.jpg

Тонкая настройка HIPS в авасте есть? Нет? Это ответ на первый вопрос.
По второму вам в ответ “алаверды” - предъявите разработчикам и нам тут заинтересованность в тонких настройках HIPS аваста более чем у 5% пользователей. Если и эти 5% наберёте.

Т.е. из-за отсутствия тонких настроек в HIPS Аваста его можно причислить к экспертным? Бред, бред и еще раз бред! Как и то, что в Авасте вообще есть HIPS.
Или примитивную защиту нескольких ключей реестра, по вашему, можно причислить к HIPS?

Т.е. 5% плод Ваша воображения…

В настройках HIPS есть три уровня чувствительности. У меня стоит на 1. Если поставить на 2 и более, то начинают вылезать сообщения, что Аваст заблокировал ту или иную безобидную программу, RTSS например … или вот Assassin`s Creed Syndicate вылетает во время загрузок больших “глав” (возможно, там что-то пытается залезть в интернет), а когда поставишь чувствительность на 1, то не вылетает.

Очень информативно. И что, вы таки собрались нам тут заявить, что никакого HIPS от аваста нет, а какой он должОн быть, знает только один умник и это естессно ВЫ? ;D
По второму вопросу мне вспоминается присказка про “Божью росу” :wink:

В данный момент, на версии Аваст 11.1.2245, сообщения у меня появляются только на максимальном уровне чувствительности.

Переведите чувствительность на максимум и посмотрите поле “Целевой объект” всплывающего сообщения.

Пока что, в этом топике, в роли “умника” выступает автор поста №3, который без ссылки и кавычек цитирует Википедию, выдавая за свои мысли. :wink:
Желаете информативности? Плиз.

http://i10.pixs.ru/thumbs/2/3/1/itogoajpg_8177096_19794231.jpg

Из скриншота следует, что “Ненадежная программа”, несмотря на выбор “Запретить” в алерте HIPS, выполнила поставленную перед ней конечную задачу.
Это стало возможным потому, что “Ненадежная программа” обратилась к системному процессу "Диспетчер сеанса Windows (smss.exe - Session Manager Subsystem Service) - получила значение переменных - создала исполняемый файл во временной директории - запустила в системе посторонний процесс. Это позволяет сделать вывод об отсутствии анализа поведения программ и анализа, основанного на мониторинге системных событий.
Для сравнения привожу скриншот всплывающего сообщения экспертного HIPS в интерактивном режиме при попытке приложения создать в системе посторонний процесс.

http://i10.pixs.ru/thumbs/4/2/2/ScreenShot_8702948_19796422.jpg

ИМХО…
https://safety-gate.me/threads/klassifikacija-hips-host-based-intrusion-prevention-system.77/
…Основу любой HIPS составляет таблица правил….”
За этим, на мой взгляд, и стоит ответ на вопрос топикстартера.
Нет правил - нет исключений.

Зачем было скрывать на первом скриншоте, какую программу не удалось блокировать? Так что считаем, что неубедительный довод высосанный из пальца.
Очень любопытно было увидеть скриншот работы файрволла на втором скриншоте. Мы тут про HIPS, если что, а не про “приватефайрвол”, который при “обчении” “рубит” всё подряд, пока его клиент не научит.
Касательно “экспертного” варианта и вики, то вы видимо попутали тёплое с мягким, потому как именно в “экспертном” варианте тупому по умолчанию в софте юзеру НЕ ПРЕДЛАГАЮТ самостоятельно решать , что блокировать, а что нет. Есть определённый набор софта, который при том или другом уровне “ползунка” пропускается в работу или нет. У разных реализаторов этот может быть разный набор того самого софта, но видимо только один умник в этом топике знает, какой он должен быть на самом деле ;D

Ну вот пример настройки HIPS в действии :slight_smile: поставил на максимум… варианты ответа: запретить, разрешить. Поставил в “разрешить” - теперь то спрашивает, то не спрашивает… Посмотрю, что дальше будет.

У меня так же.
Запускаю и разрешаю одну “Ненадежную программу”. Выхожу из нее. После этого ее можно запускать (открывать) сколько угодно (в течении сессии) без всплывающих сообщений Аваста. Запускаю и разрешаю другую “Ненадежную программу”. После этого ее тоже можно запускать (открывать) пока не надоест без какой-либо реакции этого “Hips”. Возвращаюсь к первой - опять алерт! :smiley:
Т.е. на максимальной чувствительности эта поделка не юзабельна.
И во всех алертах, как и на Вашем скриншоте, в поле “Целевой объект” только ключи реестра.

Поменяйте очки и тогда может разберете название модуля на скриншоте (Process Monitor).

Персонально Вы, тут, про новые ворота, которые только что увидели, а не про HIPS. :wink:
По умолчанию экспертный хипс в этом продукте работает полностью в автоматическом режиме. Если через некоторое время переключиться в интерактивный режим, то алерты будут появляться только при запуске новых или измененных приложений, т.к. для того, что запускалось ранее уже созданы правила, которые можно изменять, удалять и вновь создавать.

…в Авасте обозвали свою поделку HIPS. И он в это верит. Соболезную.

j.bonzo, расскажите подробнее, как по-вашему мнению должен работать HIPS в Авасте и какие действия должен контролировать, какие сообщения должен выдавать (какая конкретная информация должна быть в сообщениях), и какая должна быть защита ключей реестра и каких именно ключей?

Кроме контроля доступа к защищенным ключам реестра HIPS должен контролировать (перехватывать) и другие функции API.
http://compress.ru/article.aspx?id=16494
"…практика показывает, что для полноценного контроля за работой приложений требуется перехват как минимум 10-15 различных функций…"
Например, «Контроль процессов» Privatefirewall контролирует двадцать одну функцию.

http://i9.pixs.ru/thumbs/8/1/9/ScreenShot_8271463_19908819.jpg

Если вести речь об экспертном HIPS, работающем в автоматическом режиме, то никаких сообщений кроме блокировки/удаления в карантин не должно быть.
В интерактивном же режиме сообщения напрямую зависят от правил конкретного HIPS.
Например…

http://i10.pixs.ru/thumbs/5/7/7/366367jpg_3840853_19909577.jpg

Что ещё Аваст должОн кроме описываемого вами HIPS иметь? Искусственный интеллект? ;D
Я сам на одной из машин пользуюсь Privatefirewall, рекламировать его тут не нужно. Однако, это нишевый продукт, а не “комбайн” как тот же Аваст. В настоящий момент невозможно свалить в кучу лучшие достижения человечества и получить стабильный продукт. Как по технологическим соображениям, так и по маркетинговым.

На мой взгляд, странное поведение (2015):
Минимальное (1): никаких заметных действий.
Среднее (2): блокирует “подозрительные” проги без всяких вопросов.
Максимальное (3): постоянно спрашивает разрешить/запретить про одну и ту же прогу.
По идее 2 и 3 надо бы поменять местами?

Под “подозрительной” прогой понимается твикер реестра (управление видеокартой). Блокируется только при выключении, что-то связаное с автозапуском (ключ реестра Run). Куда бы его прописать, чтобы Аваст оставил его в покое?

Я думаю, что работу HIPS в Авасте надо проверять, запуская вредоносные программы (которых нет в вирусной базе Аваста, так правильнее ? ) , а не легитимные. Но как узнать, что программа была заблокирована именно Хипсом, а не сигнатурным или эвристическим анализатором ?

j.bonzo, вы написали “«Контроль процессов» Privatefirewall контролирует двадцать одну функцию.” . А может HIPS в Авасте контролирует это, просто не выдает сообщения, а сообщает только о попытках изменить ключ реестра ?

Где Вам удалось обнаружить в моем предыдущем посте слово “Аваст”? И где Вы нашли “описываемый мной HIPS”?
По-моему, я избежал плагиата, сославшись на статью Олега Зайцева при помощи ссылки и кавычек.