Одновременная работа с файлом word. Полезные сервисы для работы с документами

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС . В случае попытки выполнения потенциально опасного действия со стороны ПО , HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. Эти системы контролируют определенные системные события (например, такие, как создание или удаление файлов, доступ к реестру, доступ к памяти, запуск других процессов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

Особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. Как правило, приложения деляться на доверенные и недоверенные, а также возможны промежуточные группы (например, слабо ограниченные и сильно ограниченные). Доверенные приложения никак не ограничиваются в своих правах и возможностях, слабо ограниченным запрещаются наиболее опасные для системы действия, сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а недоверенные не могут выполнять практически никаких системных действий.

Правила HIPS содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). В зависимости от типа объекта правила разделяются на три группы:

• файлы и системный реестр (объект – файлы, ключи реестра);
• системные права (объект – системные права на выполнение тех или иных действий);
• сети (объект – -адреса и их группы, порты и направления).

Виды HIPS

• HIPS, в которых решение принимается пользователем - когда перехватчик Application Programming Interface (API) -функций перехватывает какую либо функцию приложения, выводится вопрос о дальнейшем действии. Пользователь должен решить, запускать приложение или нет, с какими привилегиями или ограничениями его запускать.
• HIPS, в которых решение принимается системой - решение принимает анализатор, для этого разработчиком создается база данных, в которую занесены правила и алгоритмы принятия решений.
• «Смешанная» HIPS система - решение принимает анализатор, но когда он не может принять решение или включены настройки «о принятии решений пользователем» решение и выбор дальнейших действий предоставляются пользователю.

Преимущества HIPS

• Низкое потребление системных ресурсов.
• Не требовательны к аппаратному обеспечению компьютера.
• Могут работать на различных платформах.
• Высокая эффективность противостояния новым угрозам.
• Высокая эффективность противодействия руткитам , работающим на прикладном уровне (user-mode).

Недостатки HIPS

• Низкая эффективность противодействия руткитам , работающим на уровне ядра.
• Большое количество обращений к пользователю.
• Пользователь должен обладать знаниями о принципах функционирования

Как показывает практика, антивирусные продукты не могут обеспечить абсолютно надежную защиту компьютера. Это в первую очередь связано с тем, что применяемый в антивирусах принцип поиска по сигнатурам не позволяет обнаруживать новые разновидности вредоносных программ до их изучения аналитиками и внесения в базы антивируса. Отчасти данная проблема компенсируется наличием в составе антивирусов средств эвристического анализа, однако подобные средства также не дают гарантии надежного обнаружения новых вредоносных программ. Поэтому с целью комплексной и всесторонней защиты компьютера необходимо применять Firewall для контроля работы приложений с Интернетом и сетью, а также HIPS-системы для контроля за самими приложениями. Аббревиатура HIPS расшифровывается как Host Intrusion Prevention Systems - система отражения локальных угроз. Задачей HIPS-систем является контроль за работой приложений и блокировка потенциально опасных операций по заданным критериям.

Принципы работы HIPS-систем

Устройство всех существующих HIPS-систем идентично и сводится к схеме, приведенной на рис. 1.

HIPS в первую очередь состоит из перехватчика API-функций. Перехват может производиться в режиме UserMode или KernelMode, причем практика показывает, что для полноценного контроля за работой приложений требуется перехват как минимум 10-15 различных функций, в частности:

• функций работы с файлами и папками;
• функции для работы с реестром;
• системных функций, применяемых вредоносными программами. К ним относится, например, функция создания удаленных потоков или записи в память других процессов; функции, применяемые для запуска и остановки процессов, для манипулирования потоками и т.п.

Перехват обычно осуществляется по типовым методикам, применяемым антивирусными мониторами, антикейлоггерами, брандмауэрами и Rootkit-средствами. Поэтому при выборе HIPS-системы необходимо учитывать несколько факторов:

• следует узнать, будет ли HIPS-система совместима с применяемым антивирусным монитором, брандмауэром или иным ПО, перехватывающим API-функции для своей работы. Получить список перехваченных функций можно при помощи антируткита. Например, AVZ в протоколе формирует отчет с указанием перехваченных функций и методики их перехвата;
• злейшим врагом HIPS-системы является антируткит, обладающий функциями активного противодействия перехватам. Восстанавливая перехваченные функции, антируткит нейтрализует все защитные механизмы HIPS-системы и может полностью парализовать ее работу. Поэтому перед применением антируткита в режиме нейтрализации перехватов требуется обязательно закрыть все приложения, а после нейтрализации перехватов и выполнения нужных проверок следует в обязательном порядке перезагрузить компьютер;
• перехваты могут осуществляться в режиме ядра и в пользовательском режиме. Проверить это легко при помощи антируткита AVZ. Следует учитывать, что HIPS-системы, перехватывающие UserMode-функции, крайне ненадежны, так как для их обхода достаточно программы на языке C объемом в несколько листов исходного текста.

Итак, перехватчики позволяют HIPS контролировать большинство критических API-функций. При обнаружении вызова той или иной функции перехватчик передает информацию анализатору, который принимает решение о том, допустим ли данный вызов для выполняющего его приложения или нет. Далее возможно несколько вариантов развития событий:

• по мнению анализатора, вызов допустим - в этом случае производится передача управления перехваченной функции;
• вызов допустим, но с ограничениями - в этом случае перед вызовом перехваченной функции HIPS может модифицировать один или несколько ее параметров. Например, при открытии файла приложение может запросить открытие на чтение-запись, а HIPS-система изменит режим открытия на «только чтение»;
• вызов считается недопустимым - в этом случае выполнение операции блокируется и возвращается ошибка. Другим вариантом реагирования может являться эмуляция успешного выполнения операции. Последний вариант наиболее применим для ограничения работы приложения с реестром.

Естественно, что для принятия решения анализатору необходима некоторая база данных, содержащая правила или алгоритмы, используемые для принятия решений. Во многих системах эта база может периодически обновляться аналогично базам антивирусного продукта.

Идеологии построения HIPS-системы

Как уже отмечалось, анализатор HIPS-системы принимает решения по поводу того, разрешить или запретить выполнение той или иной операции. Очевидно, что анализатор должен руководствоваться некоторыми правилами или алгоритмами, заложенными разработчиком или пользователем. По методике принятия решения все HIPS-системы можно разделить на две большие категории:

• HIPS-системы, в которых решение применяется самой системой. В этом случае разработчик сам создает правила и алгоритмы принятия решения, которые недоступны для модификации со стороны пользователя. Далее все приложения разделяются на доверенные и недоверенные, причем это деление производится с участием пользователя. На работу доверенных процессов HIPS не оказывает никакого влияния, а потенциально опасные действия недоверенных приложений автоматически пресекаются. Подобные системы еще называют sandbox HIPS (от англ. Sand-Box - песочница), подразумевая, что недоверенные процессы работают в рамках некоторой виртуальной «песочницы»;
• HIPS-системы, работающие на основе правил пользователя. Системы данного типа принято считать классическими, и по сути они являются своеобразными брандмауэрами для приложений. При работе с такой системой пользователь производит ее обучение, создавая систему правил. Естественно, что некоторый набор правил может быть предустановлен разработчиком или генерироваться автоматически в процессе инсталляции.

У каждого из этих идеологических подходов есть свои достоинства и недостатки.

Главное достоинство Sandbox HIPS состоит в том, что разработка правил и их тестирование перекладываются на плечи разработчика. Такая система может эксплуатироваться пользователем любой квалификации и не требует от него принятия решений по поводу того, какие операции и в каком случае требуется разрешать или блокировать. Это особенно важно в случае отсутствия у пользователя необходимой для принятия решения квалификации. Однако для опытного пользователя данное преимущество может обернуться существенным минусом, так как он теряет возможность тонкой настройки системы.

HIPS-системы на основе правил пользователя свободны от данного недостатка. Обучая систему, пользователь вырабатывает свою систему правил, которая, по его мнению, наиболее точно соответствует специфике эксплуатируемых приложений. Однако при эксплуатации систем данного типа возникает ряд проблем:

• эффективность работы системы зависит от того, насколько грамотно составлены правила;
• для принятия правильных решений пользователь должен обладать достаточно высокой квалификацией. В некоторых системах данная проблема частично компенсируется за счет вывода в процессе обучения подробного описания обнаруженных событий с разъяснением, чем и как блокируемое действие приложения может навредить системе.

Process Guard

Данная система является одной из старейших HIPS-программ, сайт разработчика - http://www.diamondcs.com.au/ , размер дистрибутива - около 2 Мбайт. Основным назначением Process Guard является защита процессов от остановки и модификации, блокировка доступа к физической памяти, а также предотвращение несанкционированной установки драйверов и служб (рис. 2).

Process Guard выпускается в двух вариантах - в виде базовой бесплатной версии и платной версии с расширенными функциями. Бесплатная версия, в сущности, только защищает процессы от остановки или модификации. Стоимость полной версии - 29 долл.

Для слежения за активностью приложений Process Guard устанавливает драйвер procguard.sys и перехватывает 20 KernelMode-функций на уровне KiST. При блокировке действий некоторого приложения Process Guard уведомляет об этом пользователя, выводя всплывающее сообщение рядом со своей иконкой в системной области (рис. 3). Это сообщение содержит минимум информации, однако оно дублируется в протоколе со всеми техническими подробностями.

DefenseWall HIPS

Программа DefenseWall HIPS разработана компанией SoftSphere Technologies (), размер ее дистрибутива составляет около 1 Мбайт, стоимость одной копии - 29 долл.

DefenseWall относится к категории Sandbox HIPS, принимающих решение на основе заложенных разработчиком правил. Основная особенность DefenseWall состоит в том, что она разработана в расчете на неподготовленного пользователя, поэтому интерфейс программы и ее настройки максимально упрощены (рис. 4).

В процессе работы DefenseWall практически никак не общается с пользователем, для которого ее присутствие незаметно. Это и является основным плюсом программы, так как не требуется проводить обучение и отвечать на массу вопросов по поводу допустимости и недопустимости тех или иных операций.

Доверительные отношения наследуются, и в случае запуска доверенной программы из недоверенной она также будет считаться недоверенной. Этот момент очень важен - например при помощи эксплоита был успешно атакован браузер, являющийся по умолчанию недоверенным процессом. В результате начинается исполнение троянской программы, которая автоматически считается недоверенной, а следовательно, не может нанести вреда системе.

Работа DefenseWall была изучена на ряде вредоносных программ, и в результате было установлено, что деятельность распространенных троянских программ успешно блокируется.

В качестве основных достоинств программы следует отметить простоту ее эксплуатации и малое потребление ресурсов. Основное достоинство является одновременно и недостатком - программа не дает возможности тонкой настройки для опытного пользователя.

Safe’n’Sec 2.0

Данный продукт разработан отечественной компанией StarForce (http://www.star-force.ru/), и его можно отнести к категории HIPS, работающих по правилам пользователя (рис. 5). Объем дистрибутива базовой разновидности Safe’n’Sec составляет 4,7 Мбайт. В настоящий момент доступно три версии продукта: базовая, в комплекте с антивирусом и в комплекте с антишпионом. Стоимость базовой версии составляет 25 долл.

Перед началом работы пользователь должен выбрать политику защиты - предусмотрены «жесткая», «строгая» и «доверительная» политики (рис. 6). В соответствии с выбранной политикой Safe’n’Sec анализирует работу приложений и при обнаружении подозрительной активности уведомляет об этом пользователя и предлагает принять решение - допустима эта активность или нет.

Окно с предупреждением Safe’n’Sec содержит достаточно подробное разъяснение сущности предупреждения и опасности действия, по поводу которого от пользователя требуется принятие решения (рис. 7). Решение может быть либо принято на сеанс (например, для процесса инсталлятора на время его работы), либо оформлено в виде правила. Для некоторых типовых программ (например, браузера) имеются готовые наборы правил, которые могут быть отредактированы. Правила строятся при помощи специального построителя правил.

Построитель отображает список именованных правил и позволяет временно отключить любое из правил, произвести модификацию или создание правила и его привязку к различным уровням политики. Построение правила ведется по шагам при помощи визуального построителя.

В качестве основных достоинств Safe’n’Sec можно отметить удобную систему построения правил, информативные сообщения в процессе обучения и способность контроля за сетевой активностью приложений. В качестве недостатка можно указать использование перехватов функций в UserMode для контроля за установкой ловушек и загрузкой драйверов.

Выводы

В данной статье были рассмотрены как HIPS-системы, демонстрирующие перспективные подходы к защите компьютера, так и автономные продукты, которые могут применяться совместно с имеющимися антивирусами и Firewall. Следует отметить, что разработчики антивирусных продуктов понимают преимущества HIPS, и в составе многих антивирусов уже появились достаточно мощные поведенческие блокираторы. Достоинства интеграции антивируса и IPS-системы очевидны: сигнатурный анализатор упрощает принятие решения, а анализ поведения приложений позволяет строить сложные и эффективные эвристические алгоритмы. В качестве примеров можно привести разработанную специалистами «Лаборатории Касперского» технологию Proactive Defense Module, технологию Panda TruPrevent (применяется в линейке антивирусных продуктов Panda Antivirus) и аналогичные решения, используемые в других антивирусах.

Изменения в параметры системы HIPS должны вносить только опытные пользователи. Неправильная настройка этих параметров может привести к нестабильной работе системы.

Система предотвращения вторжений на узел (HIPS) защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она только отслеживает процессы, запущенные в операционной системе.

Параметры HIPS доступны в разделе Дополнительные настройки (F5) > Антивирус > Система предотвращения вторжений на узел > Основные сведения . Состояние HIPS (включено/отключено) отображается в главном окне программы ESET NOD32 Antivirus, в разделе Установка > Защита компьютера .

использует встроенную технологии самозащиты , которая не позволяет вредоносным программам повреждать или отключать защиту от вирусов и шпионских программ. Благодаря этому пользователь всегда уверен в защищенности компьютера. Чтобы отключить систему HIPS или функцию самозащиты, требуется перезагрузить Windows.

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов, чем обеспечивается усиленная защита от вредоносных программ, которые могут избегать обнаружения продуктами для защиты от вредоносных программ за счет использования умышленного запутывания или шифрования. Расширенный модуль сканирования памяти по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии .

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Блокировщик эксплойтов по умолчанию включен. Дополнительную информацию об этом типе защиты см. в глоссарии .

Доступны четыре режима фильтрации.

Автоматический режим : включены все операции за исключением тех, что заблокированы посредством предварительно заданных правил, предназначенных для защиты компьютера.

Интеллектуальный режим : пользователь будет получать уведомления только об очень подозрительных событиях.

Интерактивный режим : пользователю будет предлагаться подтверждать операции.

Режим на основе политики : операции блокируются.

Режим обучения : операции включены, причем после каждой операции создается правило. Правила, создаваемые в таком режиме, можно просмотреть в редакторе правил, но их приоритет ниже, чем у правил, создаваемых вручную или в автоматическом режиме. Если в раскрывающемся списке режимов фильтрации HIPS выбран режим обучения, становится доступным параметр Режим обучения завершится . Выберите длительность для режима обучения. Максимальная длительность - 14 дней. Когда указанный период завершится, вам будет предложено изменить правила, созданные системой HIPS в режиме обучения. Кроме того, можно выбрать другой режим фильтрации или отложить решение и продолжить использовать режим обучения.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам персонального файервола. Нажмите кнопку Изменить , чтобы открыть окно управления правилами системы HIPS. Здесь можно выбирать, создавать, изменять и удалять правила.

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра. Система предотвращения вторжений на узел отличается от защиты файловой системы в режиме реального времени и не является файерволом; она отслеживает только процессы, запущенные в операционной системе.

Параметры системы предотвращения вторжений на узел находятся в разделе Дополнительные настройки (F5). Чтобы открыть систему предотвращения вторжений на узел, в дереве расширенных параметров, выберите Компьютер > HIPS . Состояние системы предотвращения вторжений на узел (включена или отключена) отображается в главном окне ESET Smart Security в области Настройка в правой части раздела «Компьютер».

Предупреждение. Изменения в параметры системы предотвращения вторжений на узел должны вносить только опытные пользователи.

В ESET Smart Security есть встроенная технология самозащиты , которая не позволяет вредоносным программам повредить или отключить защиту от вирусов и шпионских программ. Самозащита обеспечивает защиту файлов и разделов реестра, которые считаются важными для работы программы ESET Smart Security, и гарантирует отсутствие у потенциально вредоносных программ прав на внесение каких-либо изменений в эти расположения.

Изменения параметров Включить систему предотвращения вторжений на узел и Включить самозащиту вступают в силу после перезапуска операционной системы Windows. Для отключения системы предотвращения вторжений на узел также нужно будет перезагрузить компьютер.

Блокировщик эксплойтов предназначен для защиты приложений, которые обычно уязвимы для эксплойтов, например браузеров, программ для чтения PDF-файлов, почтовых клиентов и компонентов MS Office. Дополнительную информацию об этом типе защиты см. в глоссарии .

Расширенный модуль сканирования памяти работает в сочетании с блокировщиком эксплойтов для усиления защиты от вредоносных программ, которые могут избегать обнаружения обычными продуктами для защиты от вредоносных программ за счет использования умышленного запутывания и/или шифрования. Дополнительную информацию об этом типе защиты см. в глоссарии .

Фильтрация HIPS может выполняться в одном из описанных далее четырех режимов.

Система предотвращения вторжений на узел отслеживает события в операционной системе и реагирует на них соответствующим образом на основе правил, которые аналогичны правилам персонального файервола в ESET Smart Security. Выберите команду Конфигурировать правила... , чтобы открыть окно управления правилами системы предотвращения вторжений на узел. Здесь можно выбирать, создавать, изменять и удалять правила. Дополнительные сведения о создании правил и операциях системы предотвращения вторжений на узел приводятся в главе Изменить правило .

В следующем примере будет показано, как ограничить нежелательное поведение приложений.

Если выбрать Спрашивать в качестве действия по умолчанию, ESET Smart Security будет отображать диалоговое окно после каждого запуска операции. Для операции также можно выбрать другие действия: Запретить или Разрешить . Если не выбрать действие, действие будет выбрано на основе предварительно заданных правил.

В диалоговом окне Разрешение доступа к другому приложению можно создать правило на основе нового действия, обнаруживаемого системой предотвращения вторжений на узел, а затем определить условия, в соответствии с которыми это действие будет разрешено или запрещено. Нажмите Показать параметры , чтобы определить точные параметры для нового правила. Правила, создаваемые таким способом, считаются равнозначными созданным вручную правилам, поэтому правило, созданное в диалоговом окне, может быть менее подробным, чем правило, которое вызвало появление такого диалогового окна. Это означает, что после создания такого правила, та же операция может вызвать еще одно диалоговое окно, если параметры, установленные в предыдущем наборе правил не применимы к этой ситуации.

Выбор параметра Временно запомнить это действие для данного процесса приводит к использованию действия (Разрешить /Запретить ) до тех пор, пока не будут изменены правила или режимы фильтрации, не будет обновлен модуль системы предотвращения вторжений на узел или не будет выполнена перезагрузка компьютера. После выполнения любого из этих действий временные правила удаляются.