Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> HIPS - Anwendungskontrolle, was taugt das?
Habakuck
Beitrag 13.06.2009, 23:49
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



Halli hallo ihr Lieben.

Ich mache mir momentan viele Gedanken ob ein HIPS eigentlich sinnvoll ist oder nicht.
Eigentlich habe ich die letzte Zeit über immer die Meinung verfochten ein HIPS wäre der einzig sinnvolle Schutz vor Malware da die Signaturen bedingte Erkennung immer Meilen hinterher hinkt.
Allerdings zweifle ich mitlerweile am Sinn und Zweck des Ganzen.
Auf einem aktuellen System führt sich nichts von alleine aus. Und wenn ich selber ein Prog ausführe dann füge ich es logischer Weise zur vertrauenswürdigen Zone hinzu da es sonst nicht funktioniert oder ich andauernd mit nervigen PopUps zugespammt werde.
Wo also liegt der Schutz begründet den mir ein HIPS bietet?
Da meine KIS Lizenz noch ziemlich lange läuft lasse ich mich gerne überzeugen, dass ein HIPS durchaus sinnvoll ist.

Die Diskussion sei hiermit eröffnet.


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
 
Start new topic
Antworten
Habakuck
Beitrag 14.06.2009, 11:39
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



KIS ist bei mir leider nicht mehr drauf. In so fern wird das mit den Bildern etwas schwierig aber ich gucke was ich im Netz finde. Danke schonmal das du dir Mühe gibst mich zu verstehen! smile.gif

Also:

Situation der KIS 8ter:

Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Erlauben: Die Aktion wird einmalig erlaubt. (Gut wenn man denkt es wäre in Ordnung aber sich noch nicht 100%tug sicher ist.)
2. Quarantäne: Erklärt sich von selbst.
3. Beenden: Prozess wird beendet. (Empfehlenswert wenn man überprüfen möchte wie der Prozess auf ein Beenden reagiert. Kommt gleich danach die gleiche Meldung wieder, ist der Prozess also persisten, liegt der Verdacht nahe, dass es sich um einen Schädling handelt.)
4. Zu Ausnahmen hinzufügen: Erstellt eine Regel die genau festlegt das Programm A den Treiber X laden darf. Diese Regel wird gespeichert und Programm A darf in Zukunft immer den Treiber X laden ohne dass mich das HIPS nervt.

Möchte Programm A nun aber den veränderte Treiber X oder einen anderen Treiber Y laden werde ich abermals gefragt was passieren soll.
Darin sehe ich einen hohen Schutzfaktor!


Nun zur Situation in KIS2010:
Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Zur vertrauenswürdigen Anwendung machen. (Das bedeutet dass das Programm danach machen kann was es will. Es kann den legitimen Treiber X laden, auch den veränderten Treiber X oder einen schädlichen Treiber Y kann es ohne Probleme starten.)
2. Aktion erlauben: Die Aktion wird einmalig erlaubt. (Handelt es sich um eine legitime Aktion nervt das auf Dauer total)
3. Block now. Siehe oben.
4. Beenden und in die Sektion untrustet schieben. (Warum nicht ab damit in die Quarantäne? Wenn KIS beim nächsten Neustart, warum auch immer, nicht startet kann das Objekt machen was es will. Würde das Objekt in die Quarantäne wandern wäre das nicht so! Denn ist es einmal dort ist es egal ob KIS danach startet oder nicht. Handlungsunfähig ist das schädliche Objekt trotzdem.)


Mit der 7ner und auch noch mit der 8ter Version konnte ich mir also in 1-2 Wochen einen PC einrichten der genau die Aktionen ausführen darf von denen ich weiss dass sie legitim sind.
Mit der 2010 ner geht das nicht mehr oder nur absolut umständlich. Denn ich müsste für jede Aktion in die GUI gehen, manuell Objekt, Bedrohungstyp und Art der Regel definieren. Häufig handelt es sich außerdem um temporäre Dateien oder andere Objekte die ich mir garnicht heraussuchen kann! Ein erstellen der Regel ist also fast unmöglich.
Anderenfalls kann ich dem Programm A erlauben jeden versteckten Treiber zu laden; was in meinen Augen völlig sinnfrei ist.


Der Beitrag wurde von Habakuck bearbeitet: 14.06.2009, 11:44


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
Julian
Beitrag 14.06.2009, 12:08
Beitrag #3



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.794
Mitglied seit: 28.06.2007
Mitglieds-Nr.: 6.287

Betriebssystem:
Windows 7 x64
Virenscanner:
Sandboxie
Firewall:
NAT|Comodo (HIPS)



ZITAT(Habakuck @ 14.06.2009, 12:38) *
Also:

Situation der KIS 8ter:

Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.

Eigentlich kommt bei einer Treiberinstallation ein rotes Pop Up wink.gif

Aber gut, von der Struktur gleicht es dem eines Keyloggers.

ZITAT(Habakuck @ 14.06.2009, 12:38) *
Ich kann folgendes auswählen:

1. Erlauben: Die Aktion wird einmalig erlaubt. (Gut wenn man denkt es wäre in Ordnung aber sich noch nicht 100%tug sicher ist.)
2. Quarantäne: Erklärt sich von selbst.
3. Beenden: Prozess wird beendet. (Empfehlenswert wenn man überprüfen möchte wie der Prozess auf ein Beenden reagiert. Kommt gleich danach die gleiche Meldung wieder, ist der Prozess also persisten, liegt der Verdacht nahe, dass es sich um einen Schädling handelt.)
4. Zu Ausnahmen hinzufügen: Erstellt eine Regel die genau festlegt das Programm A den Treiber X laden darf. Diese Regel wird gespeichert und Programm A darf in Zukunft immer den Treiber X laden ohne dass mich das HIPS nervt.

Möchte Programm A nun aber den veränderte Treiber X oder einen anderen Treiber Y laden werde ich abermals gefragt was passieren soll.
Darin sehe ich einen hohen Schutzfaktor!

Bei der Keylogger-Erkennung und beim Laden von Treibern hat sich beim Sprung von KIS 8 auf 9 nichts verändert, da diese Vorgänge immer noch vom proaktiven Schutz und nicht von der Programmkontrolle überwacht werden. Das Pop up-Layout ist also dort gleich geblieben, wenn ein Programm versucht einen Treiber zu laden, sieht das bei KIS 8 und 9 genau so aus wie bei dem roten Pop Up oben.


ZITAT(Habakuck @ 14.06.2009, 12:38) *
Nun zur Situation in KIS2010:
Ein Programm A versucht den legitimen versteckten Treiber X zu laden. Gelbes KIS PopUp erscheint und fragt was getan werden soll.
Ich kann folgendes auswählen:

1. Zur vertrauenswürdigen Anwendung machen. (Das bedeutet dass das Programm danach machen kann was es will. Es kann den legitimen Treiber X laden, auch den veränderten Treiber X oder einen schädlichen Treiber Y kann es ohne Probleme starten.)
2. Aktion erlauben: Die Aktion wird einmalig erlaubt. (Handelt es sich um eine legitime Aktion nervt das auf Dauer total)
3. Block now. Siehe oben.
4. Beenden und in die Sektion untrustet schieben. (Warum nicht ab damit in die Quarantäne? Wenn KIS beim nächsten Neustart, warum auch immer, nicht startet kann das Objekt machen was es will. Würde das Objekt in die Quarantäne wandern wäre das nicht so! Denn ist es einmal dort ist es egal ob KIS danach startet oder nicht. Handlungsunfähig ist das schädliche Objekt trotzdem.)

Das trifft ja so nun nicht mehr zu, zumindest nicht bei Dingen, die vom proaktiven Schutz behandelt werden. Aber gut, wenn dich dies bei Vorgängen der Programmkontrolle stört, kann ich das nachvollziehen.

ZITAT(Habakuck @ 14.06.2009, 12:38) *
Mit der 7ner und auch noch mit der 8ter Version konnte ich mir also in 1-2 Wochen einen PC einrichten der genau die Aktionen ausführen darf von denen ich weiss dass sie legitim sind.
Mit der 2010 ner geht das nicht mehr oder nur absolut umständlich. Denn ich müsste für jede Aktion in die GUI gehen, manuell Objekt, Bedrohungstyp und Art der Regel definieren. Häufig handelt es sich außerdem um temporäre Dateien oder andere Objekte die ich mir garnicht heraussuchen kann! Ein erstellen der Regel ist also fast unmöglich.

Vielleicht wäre eher Comodo oder Online Armor etwas für dich?

ZITAT(Habakuck @ 14.06.2009, 12:38) *
Anderenfalls kann ich dem Programm A erlauben jeden versteckten Treiber zu laden; was in meinen Augen völlig sinnfrei ist.

wink.gif
Selbst wenn du ein Programm über ein Pop Up vertrauenswürdig machst, kommen bei Sachen wie Treiberinstallation oder Keyloggern immer noch mal einzeln Nachfragen.


--------------------
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Habakuck   HIPS - Anwendungskontrolle   13.06.2009, 23:49
- - Gamer   ZITAT(Habakuck @ 14.06.2009, 00:48) Aller...   14.06.2009, 00:13
- - aido   ZITATAuf einem aktuellen System führt sich nichts ...   14.06.2009, 00:17
- - Habakuck   ZITAT(Gamer @ 14.06.2009, 01:12) Ich nich...   14.06.2009, 00:55
- - ravu   In diesem Fall wäre zB Comodo Defense+ umsonst gew...   14.06.2009, 06:27
|- - Julian   ZITAT(ravu @ 14.06.2009, 07:26) In diesem...   14.06.2009, 09:44
|- - raman   ZITAT(Julian @ 14.06.2009, 10:43) Ich kan...   14.06.2009, 09:49
|- - Julian   ZITAT(raman @ 14.06.2009, 10:48) Hast du ...   14.06.2009, 09:55
|- - Habakuck   ZITAT(Julian @ 14.06.2009, 10:54) Nein, a...   14.06.2009, 10:24
- - Solution-Design   Mir ist noch kein Exploit in freier Wildbahn begeg...   14.06.2009, 09:19
- - raman   Das Problem ist halt, das ein HIPS auch Wissen vor...   14.06.2009, 09:32
- - Habakuck   Danke ihr Beiden! So sehe ich das im großen ga...   14.06.2009, 09:55
|- - Solution-Design   ZITAT(Habakuck @ 14.06.2009, 10:54) Jo, d...   14.06.2009, 10:07
- - Julian   Ich kann dir wirklich nicht ganz folgen Könntest...   14.06.2009, 11:05
- - Habakuck   KIS ist bei mir leider nicht mehr drauf. In so fer...   14.06.2009, 11:39
|- - Julian   ZITAT(Habakuck @ 14.06.2009, 12:38) Also:...   14.06.2009, 12:08
- - Habakuck   Danke für die Ausführungen! Die haben mir sc...   14.06.2009, 13:44
|- - Julian   ZITAT(Habakuck @ 14.06.2009, 14:43) Onlin...   14.06.2009, 14:11
- - Habakuck   OA ist vor vier Tagen von meinem XP Rechner geflog...   14.06.2009, 14:16
- - Julian   ZITAT(Habakuck @ 14.06.2009, 15:15) OA is...   14.06.2009, 14:34
- - Habakuck   ZITAT(Julian @ 14.06.2009, 15:33) Schade ...   14.06.2009, 15:40


Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 12.02.2026, 03:44
Impressum