Что такое hips в comodo
Перейти к содержимому

Что такое hips в comodo

  • автор:

Что такое HIPS

Это означает «Хост-система предотвращения вторжений» (Host Intrusion Prevention System). В сущности, это программа, которая выдает оповещения пользователю, когда вредоносная программа, такая как вирус, возможно пытается запуститься на компьютере пользователя, или когда неавторизованный пользователь, такой как хакер, возможно получил доступ к компьютеру пользователя.

Происхождение и предыстория

Несколько лет назад классифицировать вредоносные программы было относительно просто. Вирус был вирусом, были и другие виды, но они прекрасно различались! В наше время «жучки» изменились, и определяющие границы между ними стали более размытыми. Мало того, что стало больше угроз в виде троянских коней, червей и руткитов, теперь различные вредоносные продукты часто скомбинированы. Это и есть причина, почему вредоносные программы теперь часто упоминаются собирательно как «вредоносное ПО», а приложения, созданные для борьбы с ними, как программы «широкого спектра действия».

В прошлом программы обнаружения при выявлении вредоносного ПО опирались прежде всего на его сигнатуры. Этот метод, несмотря на то, что он надежен, хорош лишь настолько, насколько часто производятся обновления. Существует дополнительная сложность в том, что большая часть сегодняшних вредоносных программ постоянно видоизменяется. В процессе этого изменяются и их сигнатуры. Для борьбы с этим были разработаны HIPS-программы, способные «узнавать» вредоносное программное обеспечение скорее по его поведению, чем по сигнатурам. Это «поведение» может быть попыткой управлять другим приложением, запустить службу Windows или изменить ключ реестра.

fingerprints.png

Иллюстрация сайта EUobserver.com

Это слегка напоминает поимку преступника по его поведению, а не по отпечаткам пальцев. Если он действует как вор, он, вероятнее всего, вор. Так же и с компьютерной программой: если она действует как вредоносная, значит, вероятнее всего, она является вредоносной программой.

Проблема здесь состоит в том, что иногда совершенно легальные программы могут действовать немного подозрительно, и это может привести к тому, что HIPS ошибочно обозначит законную программу как вредоносное ПО. Эти так называемые ложные тревоги являются настоящей проблемой для HIPS-программ. Вот почему лучшие HIPS-программы это те, которые используют комбинированный сигнатурно-поведенческий метод. Но об этом позже.

Что в действительности делает HIPS-программа?

В общих чертах HIPS-программа стремится сохранить целостность системы, в которой она установлена, предотвращая произведение изменений в этой системе неодобренными источниками. Обычно она делает это, показывая всплывающее окно-предупреждение безопасности, спрашивая пользователя, должно ли быть разрешено то или иное изменение.

hips_alert.png

Comodo: Всплывающее окно-предупреждение HIPS

Эта система хороша настолько, насколько хороши ответы пользователя на всплывающие запросы. Даже если HIPS-программа правильно идентифицирует угрозу, пользователь может непреднамеренно одобрить неправильное действие, и ПК все же может подвергнуться заражению.

Правильное поведение также может быть неверно истолковано как вредоносное. Эти так называемые «ложные тревоги» являются настоящей проблемой для HIPS-продуктов, хотя, к счастью, они стали менее распространены, поскольку HIPS-программы становятся все более проработанными.

Положительная сторона здесь это то, что вы можете использовать некоторые HIPS-программы, чтобы управлять правами доступа легальных приложений, хотя это было бы желательно лишь для опытных пользователей. Позже я более подробно разъясню и это, и почему вам стоило бы использовать их. Другой взгляд на HIPS состоит в том, чтобы использовать ее в качестве фаервола, управляющего приложениями и службами, а не просто доступом в интернет.

Тип продукта

Современное вредоносное ПО стало настолько совершенным, что программы обеспечения безопасности больше не могут опираться лишь на один только сигнатурный метод обнаружения. Теперь для того, чтобы выявлять и блокировать угрозы вредоносного ПО, многие приложения используют комбинацию различных методов. В результате, в нескольких различных видах защитных продуктов теперь используют HIPS. Сегодня совсем не редкость увидеть HIPS в составе антивирусной или антишпионской программы, хотя, безусловно, наиболее распространена HIPS как составная часть фаервола. В самом деле, в наиболее современных фаерволах к их возможностям фильтрации IP теперь добавлены защитные HIPS-элементы.

comodo_is7final_2.png

Комплексный антивирус Comodo Internet Security

В целях повышения эффективности в HIPS-программах используют множество методов обнаружения. В дополнение к распознаванию по сигнатурам HIPS-программы также наблюдают за поведением, соответствующим действиям вредоносного ПО. Это значит, что они стремятся выявлять действия или события, которые, как известно, типичны для поведения вредоносного ПО.

Некоторые программы поведенческого анализа более автоматизированы, чем другие, и несмотря на то, что это может показаться хорошей идеей, на практике это может приводить к осложнениям. Иногда сложившиеся обстоятельства могут выглядеть так, что вполне легальное действие приложения окажется подозрительным, что вызовет его завершение. Вы можете даже не узнать об этом, пока что-нибудь не перестанет работать! Это довольно безопасно и просто раздражает, пока процесс обратим, но иногда это может приводить к нестабильности в системе. Несмотря на то, что такие события редки, их влияние может быть серьезным, поэтому желательно учитывать это во время принятия решения.

Установка и настройка

HIPS-программа должна устанавливаться с ее настройками по умолчанию и так же использоваться до тех пор, пока либо у нее не закончится некий требуемый период обучения, либо пока ее функциональность не станет для вас привычной. Позже вы всегда сможете отрегулировать уровни чувствительности и добавить дополнительные правила, если вы почувствуете, что это необходимо. Приложения, имеющие по умолчанию «период обучения», разработаны таким образом неспроста. Может появиться соблазн сократить срок обучения, но этим вы можете также понизить эффективность. Обычно производители прилагают PDF-руководство, и никогда не бывает лишним прочитать его перед установкой.

eset_nod32_antivirus_9.png

ESET NOD32 Антивирус: Настройка HIPS

Ранее я упоминал о возможности использования HIPS-программы с целью контроля над использованием еще и легальных приложений. Мы уже делаем это в наших фаерволах, ограничивая использование портов. Вы можете использовать HIPS-программу подобным образом, чтобы блокировать или ограничивать доступ к системным компонентам и службам. В общих словах, чем сильнее вы ограничиваете Windows, тем безопаснее в ней будет работать. Я где-то читал, что самая безопасная Windows-система называется Linux! Но это уже другая проблема. Иногда легальные программы при инсталляции устанавливают такой уровень доступа к системе, который сильно превышает то, что они фактически должны выполнять в рамках своих обычных функций. Ограничение работы приложений до уровня «разрешено считывать» (с жесткого диска), если они при этом по умолчанию не нуждаются в «разрешении на запись», является одним из способов снижения риска. Для этого вы можете, к примеру, использовать настройку модуля «Защита+» в составе Comodo Internet Security.

Когда потенциальная угроза выявлена

Большинство HIPS-программ, когда что-либо происходит, оповещают пользователей о потенциальных угозах с помощью интерактивного всплывающего окна. Некоторые программы автоматизируют этот процесс и сообщают об этом (может быть!) уже позже. Важно то, чтобы самому не стать «автоматизированным» при ответах. Ни от каких приложений безопасности не будет толку, если вы вслепую будете щелкать по кнопке «Да», отвечая на любые вопросы. Всего несколько секунд размышления перед принятием решения может сохранить часы работы в дальнейшем (если не упоминать о потере данных). Если уведомление оказывается ложной тревогой, вы можете иногда сохранять его как «исключение», чтобы предотвратить такое уведомление в будущем. Также, о ложных тревогах рекомендуется уведомлять производителей, чтобы они могли устранять их в последующих версиях.

Что, если вы не уверены?

Показатели разнятся в зависимости от того, что вы читаете, но до 90% всей вредоносной заразы приходит из интернета, поэтому большую часть всплывающих оповещений безопасности вы будете получать, будучи в онлайне. Рекомендуемое действие — остановить данное событие и поискать в Google информацию о показанном файле (-ах). Местонахождение зафиксированной угрозы может быть столь же важным, как и имя файла. Более того, «Ispy.exe» может быть легальным ПО, но «ispy.exe» может быть вредоносным. Отчеты журнала «HijackThis» в этом могли бы помочь, но результаты, предоставляемые автоматизированной службой, могут быть не совсем однозначными. Вообще, вы будете допускать некоторый вред, блокируя или изолируя происходящее событие, пока не научитесь, что с ним делать. Такое бывает лишь при удалении чего-либо и незнании, что это могло привести к плачевным результатам!

Насколько надежны рекомендации сообщества?

Сегодняшняя тенденция — включать во всплывающие уведомления рекомендации от сообщества. С помощью этих систем вам стараются помогать безошибочно отвечать на уведомления безопасности, сообщая, как ответили в подобных случаях другие.

Это привлекательная идея в теории, но на практике результаты могут быть неутешительными. Например, если 10 человек ранее видели определенное уведомление, и девять из них сделали неправильный выбор, то когда вы видите рекомендацию с 90%-м рейтингом о блокировании программы, вы следуете их примеру! Я называю это «синдром стада». С увеличением количества пользователей должна увеличиваться и надежность рекомендаций, но так бывает не всегда, поэтому необходима некоторая осторожность. Вы всегда можете поискать в Google другое мнение.

Несколько средств защиты или «многоуровневый подход»?

Несколько лет назад использование единых комплектов безопасности не давало уровня производительности, сопоставимого с использованием нескольких отдельных приложений безопасности для достижения «многоуровневой» защиты. Хотя, недавно производители инвестировали значительные средства на разработку комплектов, и это теперь отразилось на их продуктах. Впрочем, некоторые все еще содержат по крайней мере один слабый компонент, и если это фаервол, то вам следовало бы сделать выбор в пользу чего-то другого. Общее мнение таково, что комбинация отдельных элементов все еще будет давать высокую производительность и лучшую общую надежность. Что они делают по большому счету, это конечно предлагают больше выбора и большую гибкость. Comodo был первым серьезным комплектом, который действительно бесплатен, но теперь Outpost (примечание Comss.ru: к сожалению, данный продукт не развивается в последнее время) и ZoneAlarm также выпускают бесплатные комплекты. Все они предлагают серьезную альтернативу платному программному обеспечению.

zonealarm_avfree_2.png

Бесплатный ZoneAlarm Free Antivirus + Firewall

Рекомендации

Автомобиль хорош настолько, насколько хорош его водитель, то же применимо и к программному обеспечению. Нет такой вещи, как программа безопасности разряда «установил и забыл». Постарайтесь выбрать то, что вы можете понять и что вам нравится использовать. Это все равно, что сравнивать фаерволы Sunbelt-Kerio и Comodo. Да, если вы хотите твердо стоять на земле, Comodo может дать лучшую защиту, но он еще и более труден для понимания. Если вы полагаете, что с Kerio проще работать, вы скорее всего будете использовать его эффективно, и в конечном счете это было бы лучшим выбором (только вплоть до Windows XP. Пользователи Windows 7 и выше могут попробовать TinyWall). В качестве ориентира используйте результаты различных тестов, но только для этого. Никакой тест никогда не сможет подменить ваш компьютер, вашу программу и привычки вашего серфинга.

Приложения для себя я всегда выбирал следующим образом. Вы, конечно, можете думать по-другому!

Нужно ли оно мне?

Многие люди оспаривают целесообразность использования некоторого программного обеспечения, когда возражают против того, чего оно позволяет достичь. Если в вашем фаерволе уже есть хороший компонент HIPS (как, например, в Comodo, Privatefirewall или Online Armor) то, возможно, этого достаточно. Однако, такие программы, как Malware Defender, используют различные методы, которые позволяют предоставить дополнительную защиту при некоторых обстоятельствах. Только вы можете решить, необходимо ли вам это. Эксперты по прежнему не советуют запускать более чем одно защитное ПО одного и того же вида.

Смогу ли я им пользоваться?

Установка любой HIPS-программы создает немало работы в смысле необходимости настройки и управления оповещениями. В целом, то, что находят HIPS-программы, может быть несколько неоднозначным, поэтому вы должны быть готовы к проверке их результатов. Только со средними познаниями вы можете посчитать это проблемой при интерпретации результатов.

Поможет ли оно?

Методы на основе HIPS эффективны лишь там, где пользователь правильно отвечает на всплывающие оповещения, которые показывает HIPS. Новички и равнодушные пользователи вряд ли будут способны давать такие ответы.

У старательных и опытных пользователей для HIPS-программ есть место в сфете безопасности ПК, поскольку HIPS адаптирует иной подход к традиционному сигнатурному ПО. Используемый отдельно или вместе с фаерволом, HIPS добавит вам возможностей для обнаружения.

Не испортит ли оно мою систему?

Программы обеспечения безопасности по самой своей природе, чтобы быть эффективными, должны вторгаться в святая святых вашего ПК. Если у вас реестр уже похож на тарелку со спагетти, если у вас в программных файлах «папки-призраки», если у вас появляются «синий экран», сообщения Windows об ошибках и не запрашиваемые страницы в Internet Explorer, то установка HIPS-программы приведет лишь к неприятностям. Даже на чистой машине принятие неверного решения может привести к необратимой нестабильности. Хотя, в принципе вы можете нанести такой же ущерб и при работе в программе очистки реестра.

Могу ли я использовать более чем одно приложение?

Я не вижу преимущества в использовании совместно двух HIPS-программ. Эксперты все еще не советуют запускать более одного активного защитного приложения одного и того же вида. Опасность возникновения конфликта перевешивает любые возможные преимущества.

Пользователям, прежде чем размышлять о HIPS, может быть стоит позаботиться о повышении безопасности их браузера, первым делом заменив IE на Chrome, Firefox или Opera и используя песочницу. Люди, использующие стандартный фаервол, для дополнительной защиты могли бы ввести в работу Malware Defender. А пользователи CIS или Online Armor не получат от этого никаких преимуществ. Нагрузка на систему и использование ресурсов — это то, что должно учитываться, хотя это, главным образом, важно при использовании старых машин. В действительности, нет никакого категоричного решения, кроме того, чтобы сказать, что слишком много исключений из правил, слишком много! В общем, все дело в балансе. Самой большой угрозой для моего компьютера всегда буду я сам!

HIPS в COMODO Internet Security 10-12

Когда компонент HIPS включен, активность программ ограничивается в соответствии с правилами. Ситуации, для которых правило не задано, разрешаются в зависимости от режима HIPS, рейтинга программ и других условий.

Обычно разрешает доверенным программам любую активность, не запрещенную правилами, кроме запуска неопознанных файлов. Запуск неопознанных программ, а также любое действие этих программ пресекается оповещениями.

пресекает оповещениями любую активность любых программ, не предусмотренную правилами.

В при любой не предусмотренной правилами активности любых программ будут автоматически создаваться новые разрешающие правила.

Правила представлены на вкладке HIPS → Правила HIPS в виде списка приложений и назначенных им наборов правил.

В качестве могут выступать точные пути к файлам, шаблоны путей с символами * и ? , а также группы файлов. В путях и их шаблонах можно использовать переменные среды. — это наборы путей или шаблонов, они настраиваются на вкладке Рейтинг файлов → Группы файлов. Подчеркну, что приложения в правилах HIPS идентифицируются только по их путям, а не по хешам и т.п.

, назначенный приложению, состоит из двух вкладок: «Права доступа» и «Настройка защиты». На первой задаются права самого приложения, на второй — наоборот, его защита от других программ. Приложение может иметь либо собственный набор правил, либо какой-нибудь из заранее сформированных наборов: они настраиваются на вкладке HIPS → Наборы правил.

Предустановленный набор правил «Системное приложение Windows» разрешает любую активность, набор «Разрешенное приложение» — любую, но не регламентирует запуск дочерних процессов; набор «Изолированное приложение» жестко запрещает любую активность; набор «Ограниченное приложение» запрещает почти все, кроме оконных сообщений и доступа к монитору, и не регламентирует запуск дочерних процессов. Можно не только создавать свои наборы, но и менять предустановленные.

Начиная с версии CIS 10.0.1.6223 набор правил HIPS «Изолированное приложение» переименован в «Приложение, запущенное в Контейнере». На мой взгляд, это ошибочный перевод названия «Contained Application», так как в действительности правила HIPS не имеют никакого отношения к Контейнеру (виртуальной среде). Во избежание путаницы рекомендую переименовать этот набор обратно в «Изолированное приложение», и в статье он будет называться именно так.

Особый случай — набор правил «Установка или обновление», он наделяет приложения привилегиями установщика. Программы с такими привилегиями свободно выполняют любые действия (кроме явно запрещенных правилами), в т.ч. запускают любые программы, а их дочерние процессы также получают привилегии установщика. Исполняемые файлы, созданные такими программами, автоматически становятся доверенными.

Разные исходные конфигурации COMODO Internet Security различаются и первоначальным набором правил, и контролируемым спектром деятельности программ. Для наиболее полной HIPS-защиты необходимо изначально выбрать конфигурацию Proactive Security и уже от нее вести дальнейшую настройку.

Порядок работы HIPS

При ограничении доступа программ к различным ресурсам HIPS опирается на данные раздела HIPS → Защищенные объекты. Например, файл или каталог может быть защищен от модификации, только если его полное имя подходит под какой-либо из шаблонов на вкладке «Защищенные файлы». Так, если требуется запретить какой-либо программе изменение файлов на диске D: (независимо от их типа), необходимо сначала занести этот диск в список защищенных.

Защита всех файлов на диске D:

Затем при создании конкретных правил можно будет варьировать ограничения доступа к тем или иным защищенным объектам, нажав «Изменить» в столбце «Исключения».

Порядок ограничения доступа в HIPS

Наиболее целесообразно использовать HIPS в Безопасном режиме, отключив опцию Создавать правила для безопасных приложений, или в Параноидальном. Тогда порядок определения доступа программы к ресурсу будет таков:

  1. Если ресурс — это файл, ключ реестра или COM-интерфейс, и он не принадлежит к «Защищенным», то доступ к нему разрешается.
  2. В противном случае (т.е. если ресурс либо принадлежит к «Защищенным», либо является, например, процессом, а не файлом, ключом реестра или COM-интерфейсом), список HIPS-правил просматривается сверху вниз, пока не найдется данная программа или содержащая ее группа программ. Если не найдется, переходим к п. 7.
  3. Если в найденном правиле ресурс принадлежит к «Разрешенным» (в окне исключений этого правила), то доступ разрешается.
  4. Если же этот ресурс принадлежит к «Заблокированным» (в окне исключений найденного правила), но не принадлежит к «Разрешенным», то доступ блокируется.
  5. В оставшихся случаях (т.е. когда ресурс не «Разрешенный» и не «Заблокированный») учитывается действие, указанное в найденном правиле: доступ блокируется, если указана блокировка, или разрешается, если указано разрешение.
  6. Если же в правиле указано действие «Спросить», то поиск правил продолжится (далее вниз), так как данная программа может оказаться членом нескольких групп, и каждая группа может иметь свои правила. Иначе говоря, переходим к п. 2.
  7. Если так и не найдется разрешающего или запрещающего правила, то выбор действия будет зависеть от режима и опций работы HIPS, репутации программы, а также наличия у нее привилегий установщика. Если данная программа или ее родительский процесс имеет привилегии установщика, то доступ разрешается.
  8. Если режим — «Безопасный», а репутация программы — «доверенная», то доступ разрешается.
  9. Если режим — «Безопасный», а репутация программы — «неопознанная», то учитывается опция «Не показывать оповещения», т.е. переходим к п. 11.
  10. Если режим — «Параноидальный», то, независимо от репутации программы, переходим к п. 11.
  11. Если отмечена опция «Не показывать оповещения», то выполнится указанное в ней действие: «Разрешать запросы» или «Блокировать запросы». Если эта опция отключена, то появится оповещение с вопросом.

Порядок работы HIPS

Как видим, в HIPS действие «Спросить» выражает отсутствие правила (в отличие от фаервола, где оно предписывает показать оповещение).

Итак, наивысший приоритет имеет вкладка «Разрешенные» самого верхнего правила, подходящего для данной программы; затем — вкладка «Заблокированные»; затем — указанное в этом правиле действие, если оно однозначно; затем — вкладка «Разрешенные» следующего правила и т.д. В отсутствие однозначного правила доступ разрешается, если (i) действуют привилегии установщика, или (ii) программа является «доверенной», а режим HIPS — «Безопасным», или (iii) отмечена опция «Не показывать оповещения: Разрешать запросы». Когда не выполняется ни одно из этих условий — доступ блокируется, если отмечена опция «Не показывать оповещения: Блокировать запросы», или выдается оповещение, если эта опция отключена.

Особым образом обрабатываются попытки одной программы запустить другую. При «Безопасном режиме» HIPS разрешение дается автоматически (п. 8), когда обе программы — запускающая и запускаемая — являются доверенными. Если же хотя бы одна из них неопознанная, то в отсутствие разрешающего правила или привилегий установщика будет показано оповещение или выполнится действие по-умолчанию, как в п. 11. Более подробно контроль запуска программ рассмотрен отдельно.

Порядок работы «Безопасного режима» с включенной опцией «Создавать правила для безопасных приложений», а также «Режима обучения» рассмотрен ниже.

Особый случай: если программа выполняется в виртуальной среде и/или с ограничениями Auto-Containment, то в отсутствие правила ей будет дано разрешение (подобно опции «Не показывать оповещения: Разрешать запросы»). Кроме того, в виртуальной среде вообще отсутствует защита файлов и реестра, даже при явно заданных запретах.

Управление правами программ через оповещения

При ответах на оповещения HIPS приложениям назначаются правила: временно или постоянно, в зависимости от опции «Запомнить мой выбор».

Важный момент: правила назначаются приложению, которое указано в левой части оповещения. Например, если спрашивается о запуске неизвестной программы проводником, то правила будут назначены именно проводнику. Типичные ошибки новичков: выбрать в таком оповещении вариант «Заблокировать и завершить выполнение» (убив тем самым процесс проводника), или вариант «Изолированное приложение» (жестко ограничив права проводника), или вариант «Установка или обновление» (тем самым лишившись почти всей защиты). Обычно самый разумный выбор в оповещении о запуске программы — «Разрешить» или «Только заблокировать».

Как отвечать на оповещения HIPS

Варианты «Разрешить» или «Только заблокировать» в различных оповещениях HIPS означают разрешение или запрет только в отношении определеного ресурса. Например, если разрешить приложению создать файл C:\test\A.exe , то попытка создать файл C:\test\B.exe снова приведет к оповещению. Чтобы разрешить приложению создавать любые файлы в каталоге C:\test , придется редактировать правило через окно настройки CIS. К сожалению, в оповещениях не предусмотрены разрешения для каталогов, шаблонов, групп и т.п. Однако через оповещение можно применить к приложению какой-либо набор правил, заранее созданный на вкладке HIPS → Наборы правил.

Если при ответе на оповещение включить в нем опцию «Запомнить мой выбор», то изменится набор правил, назначенный указанному приложению; если же для этого приложения нет правила HIPS — оно будет создано вверху списка. При выборе варианта Разрешить или Только заблокировать к правилам добавится разрешение или запрет в точности для определенного ресурса (файла, COM-интерфейса и т.д.). При выборе какого-либо набора правил новые правила не добавятся к старым, а полностью заменят их, т.е. перестанут действовать правила, назначенные данному приложению ранее.

Если отключить в оповещении опцию «Запомнить мой выбор», то назначенные приложению разрешения, запреты или наборы правил прекратят действие с завершением работы данного приложения или даже раньше, и никаких изменений в конфигурации CIS не произойдет. Чтобы понять логику работы этих временных правил, удобно представить, что при каждом ответе на оповещение (без запоминания) создается воображаемая запись в списке правил HIPS. Все «воображаемые» записи располагаются в списке правил ниже «настоящих» записей, но новые «воображаемые» — выше других «воображаемых». Это значит, что одному и тому же приложению можно несколько раз назначать через оповещения различные наборы правил (без запоминания), и все эти наборы правил будут действовать. При этом наивысший приоритет будут иметь «настоящие» правила, затем — самое свежее из «воображаемых», затем — более раннее и т.д. Но как только будет создано какое-либо «настоящее» правило (с запоминанием) — все «воображаемые» правила для всех приложений уничтожатся.

Например, получив оповещение о какой-либо программе, назначим ей набор правил «Изолированное приложение», без запоминания. По умолчанию группе «Все приложения» разрешено изменять временные файлы, поэтому данная программа все еще сможет это делать, несмотря на то, что набор «Изолированное приложение» это запрещает. Если же назначить этот набор правил с запоминанием — изменение временных файлов будет запрещено, так как создастся новое правило HIPS вверху списка.

Замечены некоторые исключения из описанного порядка работы при отключенной опции «Запомнить мой выбор». Во-первых, не создаются «воображаемые» разрешения на запуск приложений (т.е. при повторном запуске того же приложения снова возникнет оповещение). Во-вторых, если какой-либо программе разрешить через оповещение «изменение пользовательского интерфейса другого приложения», то она временно сможет отправлять оконные сообщения любым приложениям, а не только указанному.

Контроль запуска программ

Возможность запуска какой-либо программы задается в HIPS правилом для запускающей программы, а не для запускаемой. При «Параноидальном режиме» запуск програм молча разрешается только при наличии явного разрешения в правилах. При «Безопасном режиме» в отсутствие правила запуск разрешается, если и запускающая, и запускаемая программа являются доверенными. Исключения — выполнение программ с привилегиями установщика, а также под действием виртуализации и/или ограничений Auto-Containment.

Так, предположим, что при «Безопасном режиме» HIPS программа parent.exe запущена и пытается запустить программу child.exe . В отсутствие дополнительных правил запуск произойдет молча, только если обе программы являются доверенными. Если же программа child.exe неопознанная, а в правилах HIPS для программы parent.exe (или содержащей ее группы) отсутствует разрешение на запуск программы child.exe (или содержащей ее группы), то вне зависимости от правил HIPS для самой программы child.exe и вне зависимости от рейтинга программы parent.exe перед запуском возникнет оповещение (причем относительно именно программы parent.exe ).

Таким образом, чтобы разрешить выполнение неопознанной программы, мало задать разрешающие правила для нее самой — требуется разрешение на ее запуск родительскому процессу, как вариант — группе «Все приложения».

Разрешение любым приложениям открывать chm-файлы

Если же требуется пресечь запуск программы, то, получив оповещение относительно родительского процесса, обычно следует отключить опцию о запоминании и выбрать Блокировать → Только заблокировать. Внимание! Пункт «Заблокировать и завершить выполнение» в оповещении о запуске программы означает завершение работы родительского процесса.

Возможность запуска какой-либо программы определяют правила не только HIPS, но и Auto-Containment. Запуск будет заблокирован, если того требует хотя бы один из этих компонентов. Если же запуск программы разрешен в правилах HIPS, а правила Auto-Containment предписывают изолировать данную программу — она будет запускаться изолированно.

Важно знать, что, в отличие от Auto-Containment, в HIPS дочерний процесс не наследует ограничения родительского: если разрешить сомнительной программе запустить безопасную, то от имени безопасной программы может быть нанесен ущерб.

Автоматическое создание правил HIPS в «Режиме обучения» и в «Безопасном режиме»

В определенных режимах создание правил HIPS происходит автоматически:

  • если включен «Режим обучения» и опция «Не показывать оповещения» отключена или установлена в режим «Блокировать запросы», то будут создаваться правила, разрешающие каждое замеченное действие любых приложений;
  • если включен «Безопасный режим», включена опция «Создавать правила для безопасных приложений», а опция «Не показывать оповещения» отключена или установлена в режим «Блокировать запросы», то будут создаваться правила, разрешающие каждое замеченное действие доверенных приложений.

В большинстве случаев данные режимы не несут пользы и применяются только для тестирования или подготовки к переключению в «Параноидальный режим».

Правила для программы (любой при «Режиме обучения» или доверенной при «Безопасном режиме») создаются следующим образом:

  • Когда программа пытается выполнить некое действие, происходит проверка списка правил, как описано выше, пока не встретится разрешение или запрет.
  • Если встретится запрет, то запрашиваемое действие будет заблокировано и правило не создастся.
  • Если встретится разрешение — действие будет разрешено, но правило также не создастся.
  • Если имеется правило для точного пути к этой программе, то оно будет модифицировано.
  • Наконец, если нет правила для точного пути (но, возможно, есть правило для шаблона пути или для группы, причем оно не регламентирует запрашиваемое действие), то будет создано новое правило.

Вид нового правила будет зависеть от запрашиваемого действия:

  • Когда одна программа запускает другую, для первой создается правило, разрешающее запускать конкретно определенную программу.
  • Когда программа изменяет файл или ключ реестра, входящий в список на вкладке HIPS → Защищенные объекты, вид правила будет зависеть от того, как записан шаблон этого ресурса.
    • Если в конце шаблона стоит знак | , то создастся правило, разрешающее изменение конкретно того объекта, к которому обратилась программа. Например, программа создает на рабочем столе файл text.txt . Он соответствует шаблону ?:\Users\*\Desktop\*| . Значит, будет создано правило, разрешающее изменение файла C:\Users\Name\Desktop\text.txt .
    • Если в конце шаблона отсутствует знак | , то создастся правило, разрешающее изменение любого объекта по данному шаблону. Например, программа создает файл D:\prog.exe . В списке защищенных объектов этот файл соответствует шаблону *.exe . Значит, создастся правило, разрешающее данной программе изменение любых exe-файлов.
    • Защищенные COM-интерфейсы,
    • Хуки Windows и хуки приложений,
    • Межпроцессный доступ к памяти,
    • Прерывание работы приложений,
    • DNS-запросы,
    • Диск (прямой доступ),
    • Клавиатура,
    • Монитор.
    Защита процессов

    В окне с правилами HIPS для какого-либо приложения можно ограничить не только собственную активность этого приложения, но и влияние на его работу других программ. Для этого вкладке Настройка защиты указывается, какие действия с данным приложением будут блокироваться, а в окне исключений (кнопка Изменить) — каким программам они будут разрешены. Оповещения здесь не предусмотрены — только разрешение или запрет, вне зависимости от рейтинга. Запрещенное таким образом действие будет блокироваться, независимо от правил и рейтинга других программ.

    В частности, с помощью этой функции осуществляется самозащита CIS от выгрузки его процессов и доступа к памяти. Поэтому, даже когда HIPS не нужен, желательно включить его хотя бы с опцией «Не показывать оповещения: Разрешать запросы» (в «Безопасном» или «Параноидальном» режиме).

    Побочным эффектом самозащиты CIS является огромное количество записей в журнале «События Защиты+» при использовании некоторых программ, например, ProcessExplorer. Можно избавиться от необязательных блокировок, разрешив отдельным приложениям доступ к памяти группы «COMODO Internet Security».

    Разрешение доступа к памяти Comodo Internet Security

    Отмечу, что сама по себе защита от прерывания работы приложений не охватывает всех способов выгрузить процесс. Так, многие приложения можно завершить посредством оконных сообщений или посредством доступа к памяти. Чтобы защитить приложение от таких способов завершения, понадобится отметить в его правилах на вкладке «Настройка защиты» не только пункт «Прерывание работы приложений», но и другие.

    Привилегии установщика

    Смысл привилегий установщика

    При определенных условиях приложение получает , которые заключаются в следующем:

    1. HIPS разрешает такому приложению все, что не запрещено ему в правилах явным образом, т.е. работает подобно режиму «Не показывать оповещения: Разрешать запросы»;
    2. Auto-Containment не изолирует программы, запускаемые этим приложением;
    3. пока это приложение работает, его дочерние процессы (а также их дочерние процессы и т.д.) выполняются с привилегиями установщика;
    4. исполняемые файлы, которые создает это приложение (или дочерние процессы, унаследовавшие его привилегии), автоматически становятся доверенными.

    Автоматическое занесение файлов в доверенные происходит только при включенной опции «Доверять приложениям, установленным с помощью доверенных установщиков» на вкладке Рейтинг файлов → Настройка рейтинга файлов. Также в некоторых особых случаях привилегии установщика даются приложениям в «усеченном» виде: без пункта d, несмотря на включение данной опции.

    Исключение дочерних процессов из изоляции Auto-Containment тоже выполняется не всегда, а лишь при включенной опции «Обнаруживать программы, требующие повышенных привилегий» на вкладке Containment → Настройка Containment.

    Наследование привилегий тоже имеет свои ограничения: когда приложение-установщик завершится, его дочерние процессы лишатся унаследованных привилегий, и HIPS станет контролировать их в обычном режиме. А дальнейшие их дочерние процессы попадут и под контроль Auto-Containment.

    Предположим, программа-установщик «A» запускает процесс «B», а «B» запускает процесс «C». Как правило, в результате процесс «C» получает привилегии установщика и обладает ими до тех пор, пока выполняется программа «А», даже после завершения процесса «B». Но после завершения программы «A» процесс «C» лишится этих привилегий.

    По сравнению с привилегиями установщика, игнорирующее правило Auto-Containment наследуется более «надежно»: оно продолжает действовать на дочерние процессы даже после завершения всех родительских.

    Программа получает привилегии установщика разными путями: либо когда она доверенная и имеет признак установщика, либо когда пользователь отвечает разрешением в оповещении Auto-Containment (если программа неопознанная и имеет признак установщика), либо когда программе назначено соответствующее правило HIPS, либо когда это правило применено к ней через оповещение HIPS, либо когда программа наследует эти привилегии от родительского процесса.

    Автоматическое наделение приложения привилегиями установщика

    Приложение автоматически получает привилегии установщика, если оно является доверенным и имеет признак установщика. Увидеть, имеет ли приложение признак установщика, можно в списке акивных процессов.

    Программы-установщики

    В каких свойствах приложения заключается признак установщика, говорилось в другой статье: судя по экспериментам, установщиками считаются программы, у которых в имени файла либо в File Version Info (в поле FileDescription , ProductName , InternalName или OriginalFilename ) содержится слово install , setup или update ; также установщиками считаются msi-файлы.

    В старых версиях CIS признаки установщика были другими, в частности, установщиками считались программы, запрашивающие при запуске права администратора, программы, чей размер превышает 40 МБ, и др. Из-за этого многие прикладные программы ошибочно наделялись привилегиями установщика (в частности, PortableApps-сборки), что создавало очевидную опасность. В версии CIS 10 эта угроза значительно ниже.

    Назначение привилегий установщика через оповещения Auto-Containment

    В стандартной конфигурации «Proactive Security» при запуске неопознанной программы, имеющей признак установщика, появляется оповещение, предлагающее выбор из четырех вариантов: «Блокировать», «Изолированный запуск», «Запуск без ограничений» при отключенной опции «Доверять этому приложению» и «Запуск без ограничений» при включенной опции «Доверять этому приложению».

    Оповещение о неопознанном установщике

    Вариант «Блокировать» означает запрет запуска. Вариант «Изолированный запуск» означает, что программа будет запущена изолированно в соответствии с правилами Auto-Containment.

    Если включить опцию «Доверять этому приложению» и выбрать пункт «Запуск без ограничений», то программа станет доверенной и запустится с привилегиями установщика. Вместе с тем создастся правило Auto-Containment, исключающее дочерние процессы этой программы из изоляции. Обычно это правило не имеет смысла, и я рекомендую его удалить.

    Если же выбрать пункт «Запуск без ограничений» при отключенной опции «Доверять этому приложению», то программа временно запустится с «усеченными» привилегиями установщика, без доверия к создаваемым файлам. Т.е. выполнятся пункты a, b и c, но не d.

    Вообще говоря, такое оповещение возникает, если выполняются следующие условия:

    • компонент Auto-Containment включен,
    • на вкладке Containment → Настройка Containment включена опция «Обнаруживать программы, требующие повышенных привилегий»,
    • там же отключена опция «Не показывать оповещения при запросах повышенных привилегий»,
    • запускаемая программа должна, согласно правилам Auto-Containment, запускаться виртуально и/или с ограничениями,
    • запускаемая программа имеет признак установщика или запрашивает при запуске права администратора.

    Как видим, для показа оповещения запускаемая программа не обязательно должна быть неопознанной — требуется лишь, чтобы правила Auto-Containment предписывали ее изолировать. Кроме того, программа может запрашивать при запуске права администратора, но не быть установщиком.

    Если включить опцию «Не показывать оповещения при запросах повышенных привилегий», то в меню этой опции можно будет выбрать автоматическую изоляцию (рекомендуется) или блокировку неопознанных установщиков без оповещений. Также там представлены варианты «Запускать без ограничений» и «Запускать без ограничений и доверять» — разумеется, выбирать их весьма опасно.

    Назначение привилегий установщика через оповещения и правила HIPS

    Привилегии установщика могут быть назначены программе явным образом через HIPS: им соответствует правило «Установка или обновление».

    Когда возникает оповещение HIPS относительно активности какого-либо приложения, можно в окне этого оповещения выбрать Обработать как → Установка или обновление, с запоминанием или без.

    Если отметить опцию о запоминании и выбрать вариант «Установка или обновление», то создастся соответствующее правило HIPS и приложение получит привилегии установщика. Если же выбрать этот вариант без опции о запоминании, то правило не создастся, а приложение получит «усеченный» вариант привилегий установщика, без доверия создаваемым файлам (аналогично временному запуску неопознанного установщика без ограничений Auto-Containment).

    Через окно настройки CIS можно заранее назначить приложению правило HIPS «Установка или обновление». Очевидно, в этом случае приложение получит привилегии установщика без оповещений и в полной мере.

    Доверие файлам, созданным с привилегиями установщика

    Как уже сказано, исполняемые файлы, создаваемые доверенными установщиками, автоматически становятся доверенными, если включена опция «Доверять приложениям, установленным с помощью доверенных установщиков» на вкладке Рейтинг файлов → Настройка рейтинга файлов. Также в другой статье говорилось, что информация о создании файлов доверенными установщиками заносится в базу данных, даже если эта опция отключена.

    Судя по экспериментам, при отключенной опции ДПУПДУ в базу CIS заносится информация о создании файлов именно непосредственно доверенными установщиками, а не любыми программами, имеющими привилегии установщика. Т.е. если файл создан дочерним процессом доверенного установщика или программой, получившей привилегии установщика на основании правил HIPS, то не считается, что этот файл создан доверенным установщиком. Но если опция ДПУПДУ включена, то файлы, созданные любыми программами, так или иначе получившими привилегии установщика, отмечаются в базе как созданные довереннымми установщиками.

    Определяя, создан ли файл под действием привилегий установщика, CIS различает создание и копирование файла. Так, если программа, имеющая привилегии установщика, выполнит обычное копирование файла, то файл от этого еще не станет доверенным. Но если под действием привилегий установщика произойдет, например, извлечение файла из архива — CIS будет доверять этому файлу и всем идентичным ему (при включенной опции ДПУПДУ ).

    В некоторой мере привилегиии установщика работают в виртуальной среде: если доверенный установщик выполняется виртуально, но создает файлы в реальной среде (в области общего доступа), то эти файлы отмечаются в базе как созданные доверенным установщиком. Аналогичная ситуация возникает при работе в реальной среде с ограничениями Auto-Containment. На мой взгляд, это недоработка, причем потенциально опасная.

    Хотя опция ДПУПДУ повышает удобство использования CIS, есть определенный смысл в ее отключении. В частности, когда эта опция включена, CIS может доверять потенциально нежелательным программам, которые устанавливаются вместе с безопасными приложениями.

    Запуск программ с привилегиями установщика через контекстное меню

    Бывает, что установщик какого-либо приложения, даже если является доверенным, в процессе работы создает и запускает неопознанные программы. Обычно CIS не препятствует их работе, поскольку они наследуют привилегиии установщика. Однако, как сказано выше, унаследованные привилегии действуют не постоянно (что оправдано соображениями безопасности), и иногда в процессе установки может сработать проактивная защита. Если это проявится лишь оповещением HIPS, то для продолжения установки достаточно ответить на него. Но если HIPS настроен на блокировку без оповещений или если используется Auto-Containment, то возникает риск некорректной установки приложения. Этот риск особенно высок, если отключена опция «Доверять приложениям, установленным с помощью доверенных установщиков» или «Обнаруживать программы, требующие повышенных привилегий».

    Чтобы установка приложений проходила без помех со стороны CIS, предлагаю запускать установщики через специальный пункт контекстного меню. Для этого будет использоваться простейшая программа, которая запускает файл, указанный в ее аргументах командной строки. Понадобится скачать архив с программой (пароль cis ), поместить программу в любое удобное место, добавить ее в доверенные и запустить — будет предложено добавить в контекстное меню проводника новый пункт (его удаление выполняется повторным запуском). Программа написана на AutoIt3, в папке source прилагается исходный код и конвертер: в случае сомнений вы можете сгенерировать аналогичную программу, проверив ее код и подпись конвертера.

    Затем понадобится назначить этой программе правило HIPS «Установка и обновление», а также правило Auto-Containment:

    • выбрать действие «Игнорировать»,
    • в критериях указать расположение программы,
    • оставить отключенной опцию «Не применять выбранное действие к дочерним процессам».

    Теперь, чтобы установка какого-либо безопасного приложения прошла беспрепятственно, будет достаточно вызвать на установщике, удерживая нажатой клавишу Shift , контекстное меню и выбрать пункт «COMODO: запустить как установщик». В результате, даже когда сама программа-установщик завершит работу, ее дочерние процессы продолжат выполняться с привилегиями установщика. Эти привилегии снимутся после закрытия специального окна с текстом «Нажмите Ok по завершении установки». Но даже тогда эти процессы останутся исключенными из контроля Auto-Containment.

    Comodo Internet Security

    Print HelpDownload Help

    Comodo Internet Security

    If enabled, you can configure the HIPS security level and monitoring settings:

    Configure HIPS Security Level

    • Choose the security level from the drop-down under the ‘Enable HIPS’ check-box:

    The choices available are:

    • Paranoid Mode: This is the highest security level setting and means that HIPS monitors and controls all executable files apart from those that you have deemed safe. Comodo Internet Security does not attempt to learn the behavior of any applications — even those applications on the Comodo safe list and only uses your configuration settings to filter critical system activity. Similarly, the Comodo Internet Security does not automatically create ‘Allow’ rules for any executables — although you still have the option to treat an application as ‘Trusted’ at the HIPS alert. Choosing this option generates the most amount of HIPS alerts and is recommended for advanced users that require complete awareness of activity on their system.
    • Safe Mode: While monitoring critical system activity, HIPS automatically learns the activity of executables and applications certified as ‘Safe’ by Comodo. It also automatically creates ‘Allow’ rules for these activities, if the checkbox ‘Create rules for safe applications’ is selected. For non-certified, unknown, applications, you will receive an alert whenever that application attempts to run. Should you choose, you can add that new application to the HIPS rules list by choosing ‘Treat as’ and selecting ‘Allowed Application’ at the alert with ‘Remember my answer’ checked. This instructs the HIPS not to generate an alert the next time it runs. If your machine is not new or known to be free of malware and other threats then ‘Safe Mode’ is recommended setting for most users — combining the highest levels of security with an easy-to-manage number of HIPS alerts.
    • Training Mode: HIPS monitors and learns the activity of any and all executables and creates automatic ‘Allow’ rules until the security level is adjusted. You do not receive any HIPS alerts in ‘Training Mode’. If you choose the ‘Training Mode’ setting, we advise that you are 100% sure that all applications and executables installed on your computer are safe to run.

    Configure Monitoring Settings

    The activities, entities and objects that should be monitored by HIPS can be configured by clicking the Monitoring Settings link.

    Note: The settings you choose here are universally applied. If you disable monitoring of an activity, entity or object using this interface it completely switches off monitoring of that activity on a global basis — effectively creating a universal ‘Allow‘ rule for that activity . This ‘Allow’ setting over-rules any Ruleset specific ‘Block’ or ‘Ask’ setting for that activity that you may have selected using the ‘Access Rights’ and ‘Protection Settings’ interface.

    Activities To Monitor:

    • Interprocess Memory Access — Malware programs use memory space modification to inject malicious code for numerous types of attacks. These include recording your keyboard strokes; modifying the behavior of applications and stealing data by sending confidential information from one process to another. One of the most serious aspects of memory-space breaches is the ability of the offending malware to take the identity of a compromised process to ‘impersonate’ the application under attack. This makes life harder for traditional virus scanning software and intrusion-detection systems. Leave this box checked and HIPS alerts you when an application attempts to modify the memory space allocated to another application (Default = Enabled).
    • Windows/WinEvent Hooks — In the Microsoft Windows® operating system, a hook is a mechanism by which a function can intercept events before they reach an application. Example intercepted events include messages, mouse actions and keystrokes. Hooks can react to these events and, in some cases, modify or discard them. Originally developed to allow legitimate software developers to develop more powerful and useful applications, hooks have also been exploited by hackers to create more powerful malware. Examples include malware that can record every stroke on your keyboard; record your mouse movements; monitor and modify all messages on your computer and take remote control of your computer. Leaving this box checked means that you are warned every time a hook is executed by an untrusted application (Default = Enabled).
    • Device Driver Installations — Device drivers are small programs that allow applications and/or operating systems to interact with hardware devices on your computer. Hardware devices include your disk drives, graphics card,wireless and LAN network cards, CPU, mouse, USB devices, monitor, DVD player etc.. Even the installation of a perfectly well-intentioned device driver can lead to system instability if it conflicts with other drivers on your system. The installation of a malicious driver could, obviously, cause irreparable damage to your computer or even pass control of that device to a hacker. Leaving this box checked means HIPS alerts you every time a device driver is installed on your machine by an untrusted application (Default = Enabled).
    • Processes’ Terminations — A process is a running instance of a program. (for example, the Comodo Internet Security process is called ‘cis.exe’. Press ‘Ctrl+Alt+Delete’ and click on ‘Processes’ to see the full list that are running on your system). Terminating a process, obviously, terminates the program. Viruses and Trojan horses often try to shut down the processes of any security software you have been running in order to bypass it. With this setting enabled, HIPS monitors and alerts you to all attempts by an untrusted application to close down another application (Default = Enabled).
    • Process Execution — Malware such as rootkits and key-loggers often execute as background processes. With this setting enabled, HIPS monitors and alerts you to whenever a process is invoked by an untrusted application. (Default = Enabled)
    • Windows Messages — This setting means Comodo Internet Security monitors and detects if one application attempts to send special Windows Messages to modify the behavior of another application (e.g. by using the WM_PASTE command). (Default = Enabled)
    • DNS/RPC Client Service This setting alerts you if an application attempts to access the ‘Windows DNS service’ — possibly in order to launch a DNS recursion attack. A DNS recursion attack is a type of Distributed Denial of Service attack whereby a malicious entity sends several thousand spoofed requests to a DNS server. The requests are spoofed so that they appear to come from the target or ‘victim’ server but in fact come from different sources — often a network of ‘zombie’ PCs which are sending out these requests without their owners’ knowledge. The DNS servers are tricked into sending all their replies to the victim server — overwhelming it with requests and causing it to crash. Leaving this setting enabled prevents malware from using the DNS Client Service to launch such an attack. (Default = Enabled)

    Background Note: DNS stands for Domain Name System. It is the part of the internet infrastructure that matches a familiar domain name, such as ‘example.com’ to an IP address like 123.456.789.04. This is essential because the internet routes messages to their destinations using these IP addresses, not the domain name you type into your browser. Whenever you enter a domain name, your internet browser contacts a DNS server and makes a ‘DNS Query’. In simple terms, this query is ‘What is the IP address of example.com?’. The DNS server replies to your browser, telling it to connect to the IP in question.

    Objects To Monitor Against Modifications:

    • Protected COM Interfaces enables monitoring of COM interfaces you specified from the COM Protection pane. (Default = Enabled)
    • Protected Registry Keys enables monitoring of Registry keys you specified from the Registry Protection pane. (Default = Enabled)
    • Protected Files/Folders enables monitoring of files and folders you specified from the File Protection pane. (Default = Enabled)

    Objects To Monitor Against Direct Access:

    Determines whether or not Comodo Internet Security should monitor access to system critical objects on your computer. Using direct access methods, malicious applications can obtain data from storage devices, modify or infect other executable software, record keystrokes and more. Comodo advises the average user to leave these settings enabled:

    • Physical Memory: Monitors your computer’s memory for direct access by applications and processes. Malicious programs attempt to access physical memory to run a wide range of exploits — the most famous being the ‘Buffer Overflow’ exploit. Buffer overruns occur when an interface designed to store a certain amount of data at a specific address in memory allows a malicious process to supply too much data to that address. This overwrites its internal structures and can be used by malware to force the system to execute its code. (Default = Enabled)
    • Computer Monitor: Comodo Internet Security raises an alert every time a process tries to directly access your computer monitor. Although legitimate applications sometimes require this access, spyware can also use such access to take screen shots of your current desktop, record your browsing activities and more(Default = Enabled).
    • Disks: Monitors your local disk drives for direct access by running processes. This helps guard against malicious software that need this access to, for example, obtain data stored on the drives, destroy files on a hard disk, format the drive or corrupt the file system by writing junk data. (Default = Enabled)
    • Keyboard: Monitors your keyboard for access attempts. Malicious software, known as ‘key loggers’, can record every stroke you make on your keyboard and can be used to steal your passwords, credit card numbers and other personal data. With this setting checked, Comodo Internet Security alerts you every time an application attempts to establish direct access to your keyboard. (Default = Enabled)
    • Do not show popup alerts — Configure whether or not you want to be notified when the HIPS encounters malware. Choosing ‘Do NOT show popup alerts’ will minimize disturbances but at some loss of user awareness. (Default = Disabled)

    If you choose not to show alerts then you have a choice of default responses that CIS should automatically take — either ‘Block Requests’ or ‘Allow Requests’.

    • Set popup alerts to verbose mode — HIPS alerts provide more information and options for the user to allow or block the requests(Default = Disabled).
    • Create rules for safe applications — HIPS trusts applications if:
    • The application is on the Comodo safe list, a global white-list of trusted software.
    • The application has a ‘Trusted’ rating in the local file list. See File List if you need more details.
    • The file is published and signed by a trusted vendor. The ‘vendor’ is the software company that created the file. See Vendor List if you need more details.

    By default, CIS does not automatically create ‘allow’ rules for safe applications. This helps to reduce resource usage, to simplify the rules interface by reducing the number of ‘Allow’ rules, and can reduce the number of pop-up alerts. Enabling this check-box instructs CIS to begin learning the behavior of safe applications so that it can automatically generate ‘Allow’ rules. These rules are listed in the HIPS Rules interface. Advanced users can edit / modify the rules as they wish.

    Background Note: Prior to version 4.x, CIS would automatically add an allow rule for ‘safe’ files to the rules interface. This allowed advanced users to have granular control over rules but could also lead to a cluttered rules interface. The automatic addition of ‘allow’ rules and the corresponding requirement to learn the behavior of applications that are already considered ‘safe’ also took a toll on system resources. In version 4.x and above, ‘allow’ rules for applications considered ‘safe’ are not automatically created — simplifying the rules interface and cutting resource overhead with no loss in security. Advanced users can re-enable this setting if they require the ability to edit rules for safe applications (or, informally, if they preferred the way rules were created in CIS version 3.x).

    • Set new on-screen alert time out to: Determines how long the HIPS shows an alert for without any user intervention. By default, the timeout is set at 120 seconds. You may adjust this setting to your own preference.

    Advanced HIPS Settings

    Note: These settings are recommended for advanced users only.

    • Enable adaptive mode under low system resources — Very rarely (and only in a heavily loaded system), low memory conditions might cause certain CIS functions to fail. With this option enabled, CIS will attempt to locate and utilize memory using adaptive techniques so that it can complete its pending tasks. However, enabling this option may reduce performance in even lightly loaded systems. (Default = Disabled)
    • Block all unknown requests when the application is not running — Selecting this option blocks all unknown execution requests if Comodo Internet Security is not running/has been shut down. This is option is very strict indeed and in most cases should only be enabled on seriously infested or compromised machines while the user is working to resolve these issues. (Default = Disabled)

    Our Products

    • Free Antivirus
    • Free Internet Security
    • Website Malware Removal
    • Free Anti-Malware
    • Anti-Spam (Free Trial)
    • Windows Antivirus
    • Antivirus for Windows 7
    • Antivirus for Windows 8
    • Antivirus for Windows 10
    • Antivirus for MAC
    • Antivirus for Linux
    • Free Endpoint Security
    • Free ModSecurity
    • Free RMM
    • Free Website Malware Scanner
    • Free Device Manager for Android
    • Free Demo
    • Network Security
    • Endpoint Protection
    • Antivirus for Android
    • Comodo Antivirus
    • WordPress Security

    Enterprise

    • Patch Management Software
    • Patch Manager
    • Service Desk
    • Website Down
    • Endpoint Protection Solutions
    • Website Security Check
    • Remote Monitoring and Management
    • Website Security
    • Device Manager
    • ITSM
    • CRM
    • MSP
    • Android Device Manager
    • MDR Services
    • Ransomware Prevention
    • Managed IT Support Services
    • Free EDR

    © Comodo Group, Inc. 2024. All rights reserved.

    Comodo Internet Security

    Print HelpDownload Help

    Comodo Internet Security

    HIPS constantly monitors system activity and only allows executables and processes to run if they comply with the prevailing security rules that have been enforced by the user. For the average user, Comodo Internet Security ships with a default HIPS ruleset that works ‘out of the box’ — providing extremely high levels of protection without any user intervention. For example, HIPS automatically protects system-critical files, folders and registry keys to prevent unauthorized modifications by malicious programs. Advanced users looking to take a firmer grip on their security posture can quickly create custom policies and rulesets using the powerful rules interface.

    Note for beginners:This page often refers to ‘executables’ (or ‘executable files’). An ‘executable’ is a file that can instruct your computer to perform a task or function. Every program, application and device you run on your computer requires an executable file of some kind to start it. The most recognizable type of executable file is the ‘.exe’ file. (e.g., when you start Microsoft Word, the executable file ‘winword.exe’ instructs your computer to start and run the Word application). Other types of executable files include those with extensions .cpl .dll, .drv, .inf, .ocx, .pf, .scr, .sys.

    Unfortunately, not all executables can be trusted. Some executables, broadly categorized as malware, can instruct your computer to delete valuable data; steal your identity; corrupt system files; give control of your PC to a hacker and much more. You may also have heard these referred to as Trojans, scripts and worms.

    • The HIPS Settings panel allows you to enable/disable HIPS, set its security level and configure its general behavior.
    • The HIPS Settings panel can be accessed by clicking Security Settings > Defense+ > HIPS > ‘HIPS Settings’ tab from ‘Advanced Settings’ interface

    • Enable HIPS — Allows you to enable/disable the HIPS protection. (Default = Disabled)

    Note: The HIPS settings can also be configured in the ‘Advanced View’ of the ‘Home’ screen by clicking the status link beside HIPS in the ‘Defense+ and Sandbox’ pane.

    If enabled, you can choose the security level and configure the monitoring settings for the HIPS component.

    Configuring Security Level of HIPS

    The security level can be chosen from the drop-down that becomes active only on enabling HIPS:

    The choices available are:

    • Paranoid Mode: This is the highest security level setting and means that Defense+ monitors and controls all executable files apart from those that you have deemed safe. Comodo Internet Security does not attempt to learn the behavior of any applications — even those applications on the Comodo safe list and only uses your configuration settings to filter critical system activity. Similarly, the Comodo Internet Security does not automatically create ‘Allow’ rules for any executables — although you still have the option to treat an application as ‘Trusted’ at the HIPS alert. Choosing this option generates the most amount of HIPS alerts and is recommended for advanced users that require complete awareness of activity on their system.
    • Safe Mode: While monitoring critical system activity, Defense+ automatically learns the activity of executables and applications certified as ‘Safe’ by Comodo. It also automatically creates ‘Allow’ rules for these activities, if the checkbox ‘Create rules for safe applications’ is selected. For non-certified, unknown, applications, you will receive an alert whenever that application attempts to run. Should you choose, you can add that new application to the safe list by choosing ‘Treat this application as a Trusted Application’ at the alert. This instructs the Defense+ not to generate an alert the next time it runs. If your machine is not new or known to be free of malware and other threats as in ‘Clean PC Mode’ then ‘Safe Mode’ is recommended setting for most users — combining the highest levels of security with an easy-to-manage number of HIPS alerts.
    • Clean PC Mode: From the time you set the slider to ‘Clean PC Mode’, Defense+ learns the activities of the applications currently installed on the computer while all new executables introduced to the system are monitored and controlled. This patent-pending mode of operation is the recommended option on a new computer or one that the user knows to be clean of malware and other threats. From this point onwards HIPS alerts the user whenever a new, unrecognized application is being installed. In this mode, the files with ‘Unrecognized’ rating in the ‘File List’ are excluded from being considered as clean and are monitored and controlled.
    • Training Mode: Defense+ monitors and learns the activity of any and all executables and creates automatic ‘Allow’ rules until the security level is adjusted. You do not receive any HIPS alerts in ‘Training Mode’. If you choose the ‘Training Mode’ setting, we advise that you are 100% sure that all applications and executables installed on your computer are safe to run.

    Configuring the Monitoring Settings

    The activities, entities and objects that should be monitored by HIPS can be configured by clicking the Monitoring Settings link.

    Note:The settings you choose here are universally applied. If you disable monitoring of an activity, entity or object using this interface it completely switches off monitoring of that activity on a global basis — effectively creating a universal ‘Allow‘ rule for that activity . This ‘Allow’ setting over-rules any Ruleset specific ‘Block’ or ‘Ask’ setting for that activity that you may have selected using the ‘Access Rights’ and ‘Protection Settings’ interface.

    Activities To Monitor:

    • Interprocess Memory Access — Malware programs use memory space modification to inject malicious code for numerous types of attacks, including recording your keyboard strokes; modifying the behavior of the invaded application; stealing confidential data by sending confidential information from one process to another process etc. One of the most serious aspects of memory-space breaches is the ability of the offending malware to take the identity of the invaded process, or ‘impersonate’ the application under attack. This makes life harder for traditional virus scanning software and intrusion-detection systems. Leave this box checked and HIPS alerts you when an application attempts to modify the memory space allocated to another application (Default = Enabled).
    • Windows/WinEvent Hooks — In the Microsoft Windows® operating system, a hook is a mechanism by which a function can intercept events (messages, mouse actions, keystrokes) before they reach an application. The function can act on events and, in some cases, modify or discard them. Originally developed to allow legitimate software developers to develop more powerful and useful applications, hooks have also been exploited by hackers to create more powerful malware. Examples include malware that can record every stroke on your keyboard; record your mouse movements; monitor and modify all messages on your computer; take over control of your mouse and keyboard to remotely administer your computer. Leaving this box checked means that you are warned every time a hook is executed by an untrusted application (Default = Enabled).
    • Device Driver Installations — Device drivers are small programs that allow applications and/or operating systems to interact with a hardware device on your computer. Hardware devices include your disk drives, graphics card,wireless and LAN network cards, CPU, mouse, USB devices, monitor, DVD player etc.. Even the installation of a perfectly well-intentioned device driver can lead to system instability if it conflicts with other drivers on your system. The installation of a malicious driver could, obviously, cause irreparable damage to your computer or even pass control of that device to a hacker. Leaving this box checked means HIPS alerts you every time a device driver is installed on your machine by an untrusted application (Default = Enabled).
    • Processes’ Terminations — A process is a running instance of a program. (for example, the Comodo Internet Security process is called ‘cis.exe’. Press ‘Ctrl+Alt+Delete’ and click on ‘Processes’ to see the full list that are running on your system). Terminating a process, obviously, terminates the program. Viruses and Trojan horses often try to shut down the processes of any security software you have been running in order to bypass it. With this setting enabled, Defense+ monitors and alerts you to all attempts by an untrusted application to close down another application (Default = Enabled).
    • Process Execution — Typical malware like rootkits, keylogger etc. would often invoke by itself and runs its process mostly at the background. These processes, invisible at the foreground will act as agents for infecting your computer and to steal your confidential and sensitive information like your credit card details and passwords and pass to hackers. With this setting enabled, the HIPS monitors and alerts you to whenever a process is invoked by an untrusted application. (Default = Enabled).
    • Windows Messages — This setting means Comodo Internet Security monitors and detects if one application attempts to send special Windows Messages to modify the behavior of another application (e.g. by using the WM_PASTE command) (Default = Enabled).
    • DNS/RPC Client Service This setting alerts you if an application attempts to access the ‘Windows DNS service’ — possibly in order to launch a DNS recursion attack. A DNS recursion attack is a type of Distributed Denial of Service attack whereby a malicious entity sends several thousand spoofed requests to a DNS server. The requests are spoofed so that they appear to come from the target or ‘victim’ server but in fact come from different sources — often a network of ‘zombie’ PCs which are sending out these requests without their owners’ knowledge. The DNS servers are tricked into sending all their replies to the victim server — overwhelming it with requests and causing it to crash. Leaving this setting enabled prevents malware from using the DNS Client Service to launch such an attack (Default = Enabled).

    Background Note:DNS stands for Domain Name System. It is the part of the Internet infrastructure that translates a familiar domain name, such as ‘example.com’ to an IP address like 123.456.789.04. This is essential because the Internet routes messages to their destinations on the basis of this destination IP address, not the domain name. Whenever you type a domain name, your Internet browser contacts a DNS server and makes a ‘DNS Query’. In simplistic terms, this query is ‘What is the IP address of example.com?’ Once the IP address has been located, the DNS server replies to your computer, telling it to connect to the IP in question.

    Objects To Monitor Against Modifications:

    • Protected COM Interfaces enables monitoring of COM interfaces you specified from the COM Protection pane. (Default = Enabled).
    • Protected Registry Keys enables monitoring of Registry keys you specified from the Registry Protection pane. (Default = Enabled).
    • Protected Files/Folders enables monitoring of files and folders you specified from the File Protection pane. (Default = Enabled).

    Objects To Monitor Against Direct Access:

    Determines whether or not Comodo Internet Security should monitor access to system critical objects on your computer. Using direct access methods, malicious applications can obtain data from storage devices, modify or infect other executable software, record keystrokes and more. Comodo advises the average user to leave these settings enabled:

    • Physical Memory: Monitors your computer’s memory for direct access by applications and processes. Malicious programs attempt to access physical memory to run a wide range of exploits — the most famous being the ‘Buffer Overflow’ exploit. Buffer overruns occur when an interface designed to store a certain amount of data at a specific address in memory allows a malicious process to supply too much data to that address. This overwrites its internal structures and can be used by malware to force the system to execute its code (Default = Enabled).
    • Computer Monitor: Comodo Internet Security raises an alert every time a process tries to directly access your computer monitor. Although legitimate applications sometimes require this access, there is also an emerging category of spyware programs that use such access to monitor users’ activities. (for example, to take screen shots of your current desktop; to record your browsing activities etc) (Default = Enabled).
    • Disks: Monitors your local disk drives for direct access by running processes. This helps guard against malicious software that need this access to, for example, obtain data stored on the drives, destroy files on a hard disk, format the drive or corrupt the file system by writing junk data (Default = Enabled).
    • Keyboard: Monitors your keyboard for access attempts. Malicious software, known as ‘key loggers’, can record every stroke you make on your keyboard and can be used to steal your passwords, credit card numbers and other personal data. With this setting checked, Comodo Internet Security alerts you every time an application attempts to establish direct access to your keyboard (Default = Enabled).

    Checkbox Options

    • Do NOT show popup alerts — Configure whether or not you want to be notified when the HIPS encounters a malware. Choosing ‘Do NOT show popup alerts’ will minimize disturbances but at some loss of user awareness. (Default = Disabled)

    If you choose not to show alerts then you have a choice of default responses that CIS should automatically take – either ‘Block Requests’ or ‘Allow Requests’.

    • Set popup alerts to verbose mode — Enabling this option instructs CIS to display HIPS Alerts in verbose mode, providing more informative alerts and more options for the user to allow or block the requests. (Default = Disabled)
    • Create rules for safe applications — Automatically creates rules for safe applications in HIPS Ruleset (Default = Disabled).

    Note: HIPS trusts the applications if:

    • The application/file is rated as ‘Trusted’ in the File List
    • The application is from a vendor included in the Trusted Software Vendors list
    • The application is included in the extensive and constantly updated Comodo safelist

    By default, CIS does not automatically create ‘allow’ rules for safe applications. This helps saving the resource usage, simplifies the rules interface by reducing the number of ‘Allowed’ rules in it, reduces the number of pop-up alerts and is beneficial to beginners who find difficulties in setting up the rules.

    Enabling this checkbox instructs CIS to begin learning the behavior of safe applications so that it can automatically generate the ‘Allow’ rules. These rules are listed in the HIPS Rules interface. The Advanced users can edit / modify the rules as they wish.

    Background Note: Prior to version 4.x , CIS would automatically add an allow rule for ‘safe’ files to the rules interface. This allowed advanced users to have granular control over rules but could also lead to a cluttered rules interface. The constant addition of these ‘allow’ rules and the corresponding requirement to learn the behavior of applications that are already considered ‘safe’ also took a toll on system resources. In version 4.x and above, ‘allow’ rules for applications considered ‘safe’ are not automatically created — simplifying the rules interface and cutting resource overhead with no loss in security. Advanced users can re-enable this setting if they require the ability to edit rules for safe applications (or, informally, if they preferred the way rules were created in CIS version 3.x).

    • Set new on-screen alert time out to: Determines how long the HIPS shows an alert for without any user intervention. By default, the timeout is set at 120 seconds. You may adjust this setting to your own preference.

    Advanced HIPS Settings

    • Enable adaptive mode under low system resources — Very rarely (and only in a heavily loaded system), low memory conditions might cause certain CIS functions to fail. With this option enabled, CIS will attempt to locate and utilize memory using adaptive techniques so that it can complete its pending tasks. However, the cost of enabling this option may be reduced performance in even lightly loaded systems (Default = Disabled).
    • Block all unknown requests if the application is not running — Selecting this option blocks all unknown execution requests if Comodo Internet Security is not running/has been shut down. This is option is very strict indeed and in most cases should only be enabled on seriously infested or compromised machines while the user is working to resolve these issues. If you know your machine is already ‘clean’ and are looking just to enable the highest CIS security settings then it is OK to leave this box unchecked (Default = Disabled).
    • Enable enhanced protection mode — On 64 bit systems, enabling this mode will activate additional host intrusion prevention techniques to countermeasure extremely sophisticated malware that tries to bypass regular countermeasures. Because of limitations in Windows 7/8 x64 systems, some HIPS functions in previous versions of CIS could theoretically be bypassed by malware. Enhanced Protection Mode implements several patent-pending ways to improve HIPS. CIS requires a system restart for enabling enhanced protection mode (Default = Disabled).
    • Do heuristic command-line analysis for certain applications — Selecting this option instructs Comodo Internet Security to perform heuristic analysis of programs that are capable of executing code such as Visual Basic scripts and Java applications. Example programs that are affected by enabling this option are wscript.exe, cmd.exe, java.exe and javaw.exe. For example, the program wscipt.exe can be made to execute Visual Basic scripts (.vbs file extension) via a command similar to ‘wscript.exe c:/teststest.vbs’. If this option is selected, CIS detects c:/teststest.vbs from the command-line and applies all security checks based on this file. If test.vbs attempts to connect to the internet, for example, the alert will state ‘test.vbs’ is attempting to connect to the internet (Default = Enabled).
    • If this option is disabled, the alert would only state ‘wscript.exe’ is trying to connect to the Internet’.

    Background note: ‘Heuristics’ describes the method of analyzing a file to ascertain whether it contains codes typical of a virus. Heuristics is about detecting virus-like behavior or attributes rather than looking for a precise virus signature that matches a signature on the virus blacklist. This helps to identify previously unknown (new) viruses.

    • Detect shellcode injections (i.e. Buffer overflow protection) — Enabling this setting turns-on the Buffer over flow protection.

    Background: A buffer overflow is an anomalous condition where a process/executable attempts to store data beyond the boundaries of a fixed-length buffer. The result is that the extra data overwrites adjacent memory locations. The overwritten data may include other buffers, variables and program flow data and may cause a process to crash or produce incorrect results. They can be triggered by inputs specifically designed to execute malicious code or to make the program operate in an unintended way. As such, buffer overflows cause many software vulnerabilities and form the basis of many exploits.

    Turning-on buffer overflow protection instructs the Comodo Internet Security to raise pop-up alerts in every event of a possible buffer overflow attack. You can allow or deny the requested activity raised by the process under execution depending on the reliability of the software and its vendor.

    Comodo recommends that this setting to be maintained selected always. (Default = Enabled)

    To exclude some of the file types from being monitored under Detect Shellcode injections

    • Select the ‘Detect shellcode injections’ checkbox and click the Exclusions link. The ‘Manage Exclusions’ dialog will appear.

    • Click the handle from the bottom of the interface and choose ‘Add’
    • You can add items by selecting the required option from the drop-down:
    • File Groups — Enables you to select a category of pre-set files or folders. For example, selecting ‘Executables’ would enable you to create a ruleset for all files with the extensions .exe .dll .sys .ocx .bat .pif .scr .cpl . Other such categories available include ‘Windows System Applications’ , ‘Windows Updater Applications’, ‘Start Up Folders’ etc. For more details on file groups, refer to the section File Groups.
    • Running Processes — As the name suggests, this option allows you to select an application or executable from the processes that are currently running on your PC.
    • Folders — Opens the ‘Browse for Folders’ window and enables you to navigate to the folder you wish to add.
    • Files — Opens the ‘Open’ window and enables you to navigate to the application or file you wish to add.

    Note: These settings are recommended for advanced users only.

    • Show alert in case any other software attempts to modify current settings of installed browsers – Improves online security by warning you when a process tries to change your browser security settings without your consent. Each time a program attempts to modify your browser’s settings you will see an alert. (Default = Enabled)
    • Click ‘OK’ to implement your settings.

    Our Products

    • Free Antivirus
    • Free Internet Security
    • Website Malware Removal
    • Free Anti-Malware
    • Anti-Spam (Free Trial)
    • Windows Antivirus
    • Antivirus for Windows 7
    • Antivirus for Windows 8
    • Antivirus for Windows 10
    • Antivirus for MAC
    • Antivirus for Linux
    • Free Endpoint Security
    • Free ModSecurity
    • Free RMM
    • Free Website Malware Scanner
    • Free Device Manager for Android
    • Free Demo
    • Network Security
    • Endpoint Protection
    • Antivirus for Android
    • Comodo Antivirus
    • WordPress Security

    Enterprise

    • Patch Management Software
    • Patch Manager
    • Service Desk
    • Website Down
    • Endpoint Protection Solutions
    • Website Security Check
    • Remote Monitoring and Management
    • Website Security
    • Device Manager
    • ITSM
    • CRM
    • MSP
    • Android Device Manager
    • MDR Services
    • Ransomware Prevention
    • Managed IT Support Services
    • Free EDR

    © Comodo Group, Inc. 2024. All rights reserved.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *