Теплый пол

HIPS. Общие параметры проактивной защиты. Лучший экспертный HIPS (проактивная защита)

16.03.2022

Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она отслеживает только процессы, запущенные в операционной системе.

Параметры системы предотвращения вторжений на узел находятся в разделе Дополнительные настройки (F5). Чтобы открыть систему предотвращения вторжений на узел, в дереве расширенных параметров, выберите Компьютер > HIPS . Состояние системы предотвращения вторжений на узел (включена или отключена) отображается в главном окне ESET Smart Security в области Настройка в правой части раздела «Компьютер».

Предупреждение. Изменения в параметры системы предотвращения вторжений на узел должны вносить только опытные пользователи.

В ESET Smart Security есть встроенная технология самозащиты , которая не позволяет вредоносным программам повредить или отключить защиту от вирусов и шпионских программ. Самозащита обеспечивает защиту файлов и разделов реестра, которые считаются важными для работы программы ESET Smart Security, и гарантирует отсутствие у потенциально вредоносных программ прав на внесение каких-либо изменений в эти расположения.

Изменения параметров Включить систему предотвращения вторжений на узел и Включить самозащиту вступают в силу после перезапуска операционной системы Windows. Для отключения системы предотвращения вторжений на узел также нужно будет перезагрузить компьютер.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Дополнительную информацию об этом типе защиты см. в глоссарии .

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов для усиления защиты от вредоносных программ, которые могут избегать обнаружения обычными продуктами для защиты от вредоносных программ за счет использования умышленного запутывания и/или шифрования. Дополнительную информацию об этом типе защиты см. в глоссарии .

Фильтрация HIPS может выполняться в одном из описанных далее четырех режимов.

· Режим обучения : операции включены, причем после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в разделе Редактор правил , но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. После выбора варианта Режим обучения становится доступна функция Уведомлять об окончании режима обучения через X дней . После того, как истечет период времени, указанный в параметре Уведомлять об окончании режима обучения через X дней , режим обучения опять выключается. Максимальная продолжительность периода времени составляет 14 дней. По окончании такого периода времени на экран будет выведено всплывающее окно, в котором можно изменить правила и выбрать другой режим фильтрации.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам персонального файервола в ESET Smart Security. Выберите команду Конфигурировать правила... , чтобы открыть окно управления правилами системы предотвращения вторжений на узел. Здесь можно выбирать, создавать, изменять и удалять правила. Дополнительные сведения о создании правил и операциях системы предотвращения вторжений на узел приводятся в главе Изменить правило .

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

Если выбрать Спрашивать в качестве действия по умолчанию, ESET Smart Security будет отображать диалоговое окно после каждого запуска операции. Для операции также можно выбрать другие действия: Запретить или Разрешить . Если не выбрать действие, действие будет выбрано на основе предварительно заданных правил.

В диалоговом окне Разрешение доступа к другому приложению можно создать правило на основе нового действия, обнаруживаемого системой предотвращения вторжений на узел, а затем определить условия, в соответствии с которыми это действие будет разрешено или запрещено. Нажмите Показать параметры , чтобы определить точные параметры для нового правила. Правила, создаваемые таким способом, считаются равнозначными созданным вручную правилам, поэтому правило, созданное в диалоговом окне, может быть менее подробным, чем правило, которое вызвало появление такого диалогового окна. Это означает, что после создания такого правила, та же операция может вызвать еще одно диалоговое окно, если параметры, установленные в предыдущем наборе правил не применимы к этой ситуации.

Выбор параметра Временно запомнить это действие для данного процесса приводит к использованию действия (Разрешить /Запретить ) до тех пор, пока не будут изменены правила или режимы фильтрации, не будет обновлен модуль системы предотвращения вторжений на узел или не будет выполнена перезагрузка компьютера. После выполнения любого из этих действий временные правила удаляются.

В настоящее время существует бесчисленное количество разнообразных вредоносных программ. Эксперты в области антивирусного ПО прекрасно понимают, что решения, основанные только на базах данных сигнатур вирусов не могут быть эффективны против некоторых видов угроз. Многие вирусы умеют адаптироваться, изменять размер, имена файлов, процессов и служб.

Если нельзя обнаружить потенциальную опасность файла по внешним признакам, можно определить его вредоносную природу по поведению. Именно поведенческим анализом занимается система предотвращения вторжений Host Intrusion Prevention System (HIPS).

HIPS является специализированным программным обеспечением, которое наблюдает за файлами, процессами и службами в поисках подозрительной активности. Другими словами, проактивная защита HIPS служит для блокировки вредоносных программ по критерию опасного выполнения кода. Применение технологии позволяет поддерживать оптимальную безопасность системы без необходимости обновления баз.

HIPS и фаерволы (брандмауэры) являются тесно связанными компонентами. Если брандмауэр управляет входящим и исходящим трафиком, основываясь на наборах правил, то HIPS управляет запуском и работой процессов на основании выполняемых изменений в компьютере согласно правилам контроля.

Модули HIPS защищают компьютер от известных и неизвестных видов угроз. При выполнении подозрительных действий вредоносной программой или злоумышленником, HIPS блокирует данную активность, уведомляет пользователя и предлагает дальнейшие варианты решения. На какие именно изменения обращает внимание HIPS?

Приведем приблизительный список действий, за которыми в первую очередь пристально наблюдает HIPS:

Управление другими установленными программами. Например, отправление электронных сообщений с помощью стандартного почтового клиента или запуск определенных страниц в браузере по умолчанию;

Попытка внести изменения в определенные записи системного реестра, чтобы программа запускалась при определенных событиях;

Завершение других программ. Например, отключение антивирусного сканера;

Установка устройств и драйверов, которые запускаются перед другими программами;

Межпроцессорный доступ к памяти, который позволяет внедрять вредоносный код в доверительную программу

Что ожидать от успешной HIPS?

HIPS должна иметь достаточные полномочия для прекращения активности вредоносной программы. Если для остановки работы опасной программы требуется подтверждение пользователя, эффективность системы мала. Система предотвращения вторжений должна иметь определенный набор правил, который может применить пользователь. Должны быть доступны операции создания новых правил (хотя должны быть и определенные исключения). Пользователь, работая с HIPS должен четко понимать последствия своих изменений. В противном случае, возможен конфликты программного обеспечения и системы. Дополнительную информацию о работе системы предотвращения вторжения можно узнать на специализированных форумах или в файле справке антивируса.

Обычно технология HIPS работает при запуске процесса. Она прерывает действия во время их выполнения. Однако встречаются HIPS-продукты с предварительным обнаружением, когда потенциальная опасность исполняемого файла определяется еще до его непосредственного запуска.

Существуют ли риски?

Рисками, связанными с HIPS являются ложные срабатывания и неверные пользовательский решения. Система отвечает за определенные изменения, выполняемые другими программами. Например, HIPS всегда отслеживает путь системного реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run , отвечающий за автозагрузку программ при старте системы.

Очевидно, что множество безопасных программ использует данную запись реестра для автоматического запуска. Когда будут выполняться изменения в данном ключе, HIPS опросит пользователя о дальнейшем действии: разрешить или запретить изменения. Очень часто пользователи просто нажимают разрешить, не вникая в информацию, особенно если они в этот момент устанавливают новое ПО.

Некоторые HIPS информируют об аналогичных решениях других пользователей, однако при небольшом их количестве они нерелевантны и могут вводить пользователя в заблуждение. Остается надеяться, что большинство пользователей сделали правильный выбор до Вас. Система прекрасно работает при определении потенциальной опасности и выводе тревожного сообщения. Далее, даже если HIPS корректно определила угрозу, пользователь может выполнить неправильное действие и тем самым инфицировать ПК.

Заключение: HIPS является важным элементом многоуровневой защиты. Рекомендуется также использовать совместно с системой другие модули защиты. Для оптимальной и эффективной работы HIPS пользователь должен обладать определенными знаниями и квалификацией.

По материалам блога Malwarebytes Unpacked

Нашли опечатку? Выделите и нажмите Ctrl + Enter

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС . В случае попытки выполнения потенциально опасного действия со стороны ПО , HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.

Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы:

  • файлы и системный реестр (объект – файлы, ключи реестра);
  • системные права (объект – системные права на выполнение тех или иных действий);
  • сети (объект – -адреса и их группы, порты и направления).

Виды HIPS

  • HIPS, в которых решение принимается пользователем - когда перехватчик Application Programming Interface (API) -функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
  • HIPS, в которых решение принимается системой - решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
  • «Смешанная» HIPS система - решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.

Преимущества HIPS

  • Низкое потребление системных ресурсов.
  • Не требовательны к аппаратному обеспечению компьютера.
  • Могут работать на различных платформах.
  • Высокая эффективность противостояния новым угрозам.
  • Высокая эффективность противодействия руткитам , работающим на прикладном уровне (user-mode).

Недостатки HIPS

  • Низкая эффективность противодействия руткитам , работающим на уровне ядра.
  • Большое количество обращений к пользователю.
  • Пользователь должен обладать знаниями о принципах функционирования

Системы предотвращения вторжений (IPS-системы).
Защита компьютера от несанкционированного доступа.

Системы предотвращения вторжений – активные средства информационной защиты, которые не только обнаруживают, но и защищают от вторжений и нарушений безопасности. Для таких систем традиционно используется аббревиатура IPS (от англ. Intrusion Prevention System – система предотвращения вторжений). IPS-системы являются улучшенной версией систем обнаружения вторжений , в которых реализуется функционал автоматической защиты от киберугроз. Системы предотвращения вторжений способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать подозрительные процессы, разрывать или блокировать сетевое соединение, по которому идёт атака на хранилища данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Наибольшее распространение на сегодняшний день получил такой тип систем предотвращения вторжений, как HIPS (от англ. Host-based Intrusion Prevention System – система предотвращения вторжений на уровне хоста). Технология HIPS является основой продуктов и систем по обеспечению безопасности, кроме того элементы HIPS-защиты стали использовать традиционные средства борьбы с вредоносным ПО – например, антивирусные программы.


Если говорить о преимуществах систем предотвращения вторжений типа HIPS, то главным, несомненно, является исключительно высокий уровень защиты. Эксперты по информационной безопасности сходятся во мнении, что системы HIPS способны дать практически 100% защиту от любого, даже новейшего, вредоносного ПО, а также любых попыток несанкционированного доступа к конфиденциальной информации. Это защита, которая превосходно выполняет свою главную функцию – защищать. Ни одно традиционное средство информационной безопасности не способно похвастать таким уровнем защиты.


Инструменты и методики HIPS лежат в основе средств информационной безопасности компании SafenSoft. В наших продуктах сочетаются все преимущества систем предотвращения вторжений и традиционных средств защиты. Проактивная защита SoftControl предотвращает любые попытки несанкционированного доступа к данным и программной среде домашних ПК (продукты SysWatch Personal и SysWatch Deluxe), рабочих станций корпоративных сетей (комплекс Enterprise Suite), банкоматов и платёжных терминалов (TPSecure и TPSecure Teller). Наша запатентованная технология контроля приложений V.I.P.O.® объединяет в себе 3 уровня защиты: контролирует все исполняемые приложения, использует динамическую песочницу для запуска подозрительных процессов и управляет доступом приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам. Решения SoftControl способны работать параллельно с антивирусными пакетами, обеспечивая полную защиту программной среды компьютера. При работе в локальной сети, продукты SoftControl имеют удобное централизованное управление и систему оповещения администратора об угрозах. В отличие от традиционных средств защиты, решения SoftControl не требуют постоянных обновлений баз данных сигнатур.

В этом сравнительном тестировании мы проводили анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host Intrusion Prevention Systems), на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows. Если вредоносной программе удается проникнуть на уровень ядра, то она получает полный контроль над компьютером жертвы.

Краткое содержание:

Введение

Технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста (Host Intrusion Prevention Systems - HIPS) набирают популярность среди производителей антивирусов, сетевых экранов (firewalls) и других средств защиты от вредоносного кода. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Наиболее сложная задача защиты при этом сводится к недопущению проникновения вредоносной программы на уровень ядра операционной системы (анг. Kernel Level), работающего в «нулевом кольце процессора» (Ring 0). Этот уровень имеет максимальные привилегии при выполнении команд и доступа к вычислительным ресурсам системы в целом.

Если вредоносной программе удалось проникнуть на уровень ядра, то это позволит ей получить полный и, по сути, неограниченный контроль над компьютером жертвы, включая возможности отключения защиты, сокрытия своего присутствия в системе. Вредоносная программа может перехватывать вводимую пользователем информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Поэтому для современных средств защиты становится особенно важно не допустить проникновения вредоносной программы в Ring 0.

В данном тестировании мы проводили сравнение популярных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS, на возможности предотвращения проникновения вредоносных программ на уровень ядра (далее Ring 0) операционной системы Microsoft Windows XP SP3.

Отбор вредоносных программ для тестирования

Мы решили не моделировать проникновение в Ring 0 какими-либо искусственными средствами, а провести тест на реальных вредоносных программах. При этом последние отбирались таким образом, чтобы охватить все используемые способы записи в Ring 0, которые реально применяются в «дикой природе» (In The Wild):

  1. StartServiceA - загрузка вредоносного драйвера производится путем подмены файла системного драйвера в каталоге %SystemRoot%\System32\Drivers с последующей загрузкой. Позволяет загрузить драйвер без модификации реестра.
    Встречаемость ITW: высокая
  2. SCM - использование для регистрации и загрузки драйвера менеджера управления сервисами. Этот метод используется как легитимными приложениями, так и вредоносными программами.
    Встречаемость ITW: высокая
  3. KnownDlls - модификация секции \KnownDlls и копии одной из системных библиотек с целью загрузки вредоносного кода системным процессом.
    Встречаемость ITW: средняя
  4. RPC - создание драйвера и загрузка посредством RPC. Пример использования: загрузчик знаменитого Rustock.C
    Встречаемость ITW: редкая
  5. ZwLoadDriver - подмена системного драйвера вредоносным, путем перемещения и последующая прямая загрузка.
    Встречаемость ITW: высокая
  6. ZwSystemDebugControl - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя debug-привилегии.
    Встречаемость ITW: высокая
  7. \ Device \ PhysicalMemory - снятие перехватов, установленных HIPS для контроля системных событий, в SDT, используя запись в секцию физической памяти.
    Встречаемость ITW: средняя
  8. ZwSetSystemInformation - загрузка драйвера без создания ключей в реестре вызовом ZwSetSystemInformation с параметром SystemLoadAndCallImage.
    Встречаемость ITW: средняя
  9. CreateFileA \\.\PhysicalDriveX - посекторное чтения/запись диска (модификация файлов или главной загрузочной записи диска).
    Встречаемость ITW: средняя

Таким образом, было отобрано девять различных вредоносных программ, использующих приведенные выше способы проникновения в Ring 0, которые потом использовались в тестировании.

Методология сравнительного тестирования

Тестирование проводилось под управлением VMware Workstation 6.0. Для теста были отобраны следующие персональные средства антивирусной защиты и сетевые экраны:

  1. PC Tools Firewall Plus 5.0.0.38
  2. Jetico Personal Firewall 2.0.2.8.2327
  3. Online Armor Personal Firewall Premium 3.0.0.190
  4. Kaspersky Internet Security 8.0.0.506
  5. Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
  6. Comodo Internet Security 3.8.65951.477

К сожалению, по техническим причинам из теста были исключены антивирусы F-Secure и Norton. Встроенный в них HIPS не работает отдельно от включенного антивирусного монитора. А поскольку отобранные образцы вредоносных программ могли детектироваться сигнатурно, то ими нельзя было воспользоваться. Использовать эти антивирусы со старыми антивирусными базами (чтобы избежать сигнатурного детекта) не подходило, т.к. процесс обновления в этих продуктах может затрагивать и не только антивирусные базы, но и исполняемые модули (компоненты защиты).

Почему мы взяли в тест другие популярные антивирусные продукты и сетевые экраны, коих найдется множество? Да потому, что они не имеют в своем составе модуля HIPS. Без этого предотвратить проникновения в ядро ОС у них объективно нет шансов.

Все продукты устанавливались с максимальными настройками, если их можно было задать без тонкого ручного изменения настроек HIPS. Если при инсталляции предлагался к использованию режим автообучения - то он и использовался до момента запуска вредоносных программ.

Перед проведением тестирования запускалась легитимная утилита cpu-z (небольшая программа, которая сообщает сведения об установленном в компьютере процессоре) и создавалось правило, которое предлагал тестируемый продукт (его HIPS-компонент). После создания правила на данную утилиту, режим автообучения отключался и создавался снимок состояние системы.

Затем поочередно запускались специально отобранные для теста вредоносные программы, фиксировалась реакция HIPS на события, связанные непосредственно с установкой, регистрацией, загрузкой драйвера и другие попытки записи в Ring 0. Как и в других тестах, перед проверкой следующей вредоносной программы производился возврат системы до сохраненного в начале снимка.

В участвующих в тесте антивирусах файловый монитор отключался, а в Kaspersky Internet Security 2009 вредоносное приложение вручную помещалось в слабые ограничения из недоверенной зоны.

Шаги проведения тестирования:

  1. Создание снимка чистой виртуальной машины (основной).
  2. Установка тестируемого продукта с максимальными настройками.
  3. Работа в системе (инсталляция и запуск приложений Microsoft Office, Adobe Reader, Internet Explorer), включение режима обучения (если таковой имеется).
  4. Отметка количества сообщений со стороны тестируемого продукта, запуск легитимной утилиты cpu-z и создание для нее правил.
  5. Отключение режима автообучения (если такой имеется).
  6. Перевод тестируемого продукта в интерактивный режим работы и создание очередного снимка виртуальной машины с установленным продуктом (вспомогательный).
  7. Создание снимков для всех тестируемых продуктов, выполняя откат к основному снимку и заново проводя пункты 2-4.
  8. Выбор снимка с тестируемым продуктом, загрузка ОС и поочередный запуск вредоносных программ каждый раз с откатом в первоначальное состояние, наблюдение за реакцией HIPS.

Результаты сравнительного тестирования

Плюс в таблице означает, что была реакция HIPS на некое событие со стороны вредоносной программы на проникновение в Ring 0 и была возможность пресечь это действие.

Минус - если вредоносный код сумел попасть в Ring 0, либо сумел открыть диск на посекторное чтение и произвести запись.

Таблица 1: Результаты сравнительного тестирования HIPS-компонент

Метод проникновения в Ring 0 PC Tools Jetico Online Armor Kaspersky Agnitum Comodo
StartServiceA
 -
 + + + -
 +
SCM
 -
 + + + -
 +
KnownDlls
 -
 + + -
 + +
RPC
 -
 + + + -
 +
ZwLoadDriver
 +
 -
 + + -
 +
ZwSystemDebugControl
 -
 + + + + +
\Device\PhysicalMemory
 + + + + + +
ZwSetSystemInformation
 -
 + + + + +
CreateFileA \\.\PhysicalDriveX
 -
 -
 +
 + + +
Итого пресечено:
2
 		7
 		9
 		8
 		5
 		9
Количество оповещений и запросов действий пользователя
Мало
 Очень много Много Мало Средне
 Много

Стоит отметить, что при полном отключении режима обучения некоторые из тестируемых продуктов (например, Agnitum Outpost Security Suite 6.5) могут показать лучший результат, но в этом случае пользователь гарантированно столкнется в большим количеством всевозможных алертов и фактическими затруднениями работы в системе, что было отражено при подготовке методологии данного теста.

Как показывают результаты, лучшие продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС являются Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009.

Необходимо отметить, что Online Armor Personal Firewall Premium - это продвинутый фаеровол и не содержит в себе классических антивирусных компонент, в то врем как два других победителя - это комплексные решения класса Internet Security.

Обратной и негативной стороной работы всех HIPS-компонент является количество всевозможных выводимых ими сообщений и запросов действий пользователей. Даже самый терпеливый из них откажется от надежного HIPS, если тот будет слишком часто надоедать ему сообщениями об обнаружении подозрительных действий и требованиями немедленной реакции.

Минимальное количество запросов действий пользователя наблюдалось у Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5. Остальные продукты зачастую надоедали алертами.

«Поведенческий анализ является более эффективным способом предупреждения заражения неизвестной вредоносной программой, чем эвристические методы, основанные на анализе кода исполняемых файлов. Но в свою очередь они требуют определенных знаний со стороны пользователя и его реакции на те или иные события в системе (создание файла в системном каталоге, создание ключа автозагрузки неизвестным приложением, модификация памяти системного процесса и т.п.)», - комментирует Василий Бердников, эксперт сайт .

«В данном сравнении были отобраны самые известные продукты, имеющие на борту HIPS. Как видно, только три продукта смогли достойно препятствовать проникновению в нулевое кольцо. Так же очень важный параметр - кол-во сообщений (алертов) возникающих при повседневной работе за ПК и требующих решения пользователя. Именно тут и определяется технологическое преимущество продуктов - максимально контролировать систему и при этом использовать всевозможные технологии, для снижения кол-ва вопросов, задаваемых HIPS при запуске, инсталляции программ», - отмечает эксперт.