DefenseWall HIPS: защита компьютера от вредоносных программ
Редакция THG,  6 октября 2006


DefenseWall HIPS | Чем защитить компьютер

Защита компьютера - процесс обязательный. С каждым днём растёт число новых вирусов, "шпионских" программ (spyware), рекламных модулей (adware), модулей сокрытия (руткитов, rootkit), перехватчиков клавиатур (кейлоггеров, keylogger) - фиксирующих и "крадущих" нажатие клавиш клавиатуры, червей (worm). Антивирусные программы и брандмауэры не успевают справляться со всеми видами угроз, и часть зловредного кода всё же просачивается к нам на компьютеры. Это связано во многом с тем, что антивирус привязан к базам вирусов, а брандмауэр (firewall) до конца не способен полностью защитить компьютер от вредоносных программ. Значит, нужен новый механизм, который позволит повысить безопасность простого пользователя, то есть нас с вами и защитить компьютер.

Защита компьютера DefenseWall HIPS

Разработчики программы DefenseWall HIPS из SoftSphere Technologies утверждают, что им удалось создать такой механизм защиты компьютера. Мы попробуем испытать его в действии.

DefenseWall HIPS | Что это такое?

DefenseWall не является тривиальным брандмауэром или антивирусом. Это активная броня нового поколения, призванная справиться с любыми угрозами, исходящими от зловредного ПО, как известного, так и неизвестного. Основанная на принципах sandbox/virtualization, DefenseWall обеспечивает мощную и простую защиту компьютера при повседневном использовании.

Злоумышленники, используя дыры в вашем интернет-ориентированном программном обеспечении (браузеры, почтовые клиенты, мессенджеры, P2P-клиенты), а также методы социальной инженерии, проникают в систему и устанавливают всевозможное зловредное ПО, которое крадёт ваши личные данные, читает что вы пишете на клавиатуре, крадёт информацию о кредитных картах, показывает нежелательную рекламу и так далее. Незащищённый компьютер может стать "спам-зомби" или начать рассылать вредоносный код. Некоторые интернет-провайдеры даже отключают такие незащищённые компьютеры от Сети, без дополнительного предупреждения. Решение проблема защиты компьютера сегодня как никогда необходимо.

Используя новую концепцию: разделение приложений на "доверенные" и "недоверенные", а также ограничивая "недоверенные" программы в правах, DefenseWall обещает защитить компьютер от угроз, перед которыми пасуют брандмауэры и антивирусы. Основной метод защиты - удержание всех "недоверенных" процессов в отдельном виртуальном пространстве, отделённом от зоны "доверенных", и ограничение "доверенных" в правах на модификации, способные нарушить целостность вашей системы. Зловредное ПО не сможет причинить никакого вреда, находясь в зоне "недоверенных" процессов. DefenseWall обещает надёжно защитить от всех видов зловредного ПО (spyware/adware/keyloggers/rootkits/dialers), как известного, так и неизвестного. При этом оставаясь полностью совместимой со всеми остальными видами защитного ПО!

DefenseWall защищает реестр, зоны автозагрузки (на диске и в реестре), файлы (исполняемые, интерпретируемые, документы, архивы), системные зоны (установка/модификация драйверов/сервисов, физическая память, "доверенные" процессы и так далее) от потенциально опасных действий со стороны "недоверенных" процессов, которые отделены от "доверенных".

DefenseWall HIPS | Установка и настройка

Программу может скачать любой желающий с официального сайта. DefenseWall HIPS имеет статус shareware, то есть, защищать при помощи неё компьютер вы можете в течение 30 дней без ограничений. После окончания пробного периода россияне могут приобрести программу за 499 рублей, а жители других стран за $29. Дистрибутив занимает немногим более мегабайта и имеет русский интерфейс, что несомненно хорошо. На момент тестирования последней версией программы была 1.64. Приложение предназначено для Windows 2000/XP/2003. С установкой проблем не возникло, она происходит в четыре шага.

Защита компьютера DefenseWall HIPS

На первом шаге нас знакомят с программой и рекомендуют завершить все загрузки через пиринговые сети (Р2Р - BitTorrent, eMule, Kazaa и так далее).

Защита компьютера DefenseWall HIPS

Шаг второй: лицензионное соглашение. После его прочтения вы можете согласиться с ним нажав "Да", вернуться назад, или не согласиться, нажав "Нет". Тогда защита компьютера установлена не будет. Поэтому мы выбираем первый вариант.

Защита компьютера DefenseWall HIPS

На третьем шаге нам надо указать путь установки программы. После этого нажимаем "Далее".

Защита компьютера DefenseWall HIPS

Заключительный шаг. Для завершения установки необходимо перезагрузить компьютер. Ставим галочку "Перезагрузить сейчас", и нажимаем "Закончить".

Как вы можете видеть, установка программы очень проста, и трудностей возникнуть не должно.

DefenseWall HIPS | Работа с программой

После процесса перезагрузки мы обнаруживаем в системном трее значок DefenseWall HIPS. Эта иконка информирует пользователя об активности программы защиты компьютера и потенциально опасных действиях "недоверенных" процессов. Когда "недоверенный" процесс совершает потенциально опасное действие, то иконка становится красной, а само действие блокируется и записывается в журнал.

Защита компьютера DefenseWall HIPS

Двойной щелчок по иконке, и мы видим перед собой основное окно программы, которое содержит четыре вкладки: "Центр очистки", "Доб./Удал. Недоверенные", "Список событий", "Закрытые файлы".

Защита компьютера DefenseWall HIPS

Главная задача DefenseWall - мониторинг и блокирование потенциально опасных действий "недоверенных" процессов. Дополнительно DefenseWall отслеживает создание "недоверенными" процессами исполняемых файлов и новых ключей реестра.

Все "недоверенные" процессы можно наблюдать в диалоге "Детали Доверенных и Недоверенных Процессов". Они могут быть завершены индивидуально, либо же все "недоверенные" процессы могут быть завершены одним щелчком мыши. Кнопка "Следы на диске и в реестре" позволяет вручную очистить все следы зловредного ПО с вашего компьютера.

Защита компьютера DefenseWall HIPS

Перейдём во вкладку "Добавить/Удалить Недоверенные". Защищая компьютер, программа DefenseWall работает со списком "недоверенных", в котором могут быть как исполняемые процессы и приложения, так и папки. Каждый элемент списка может быть удалён оттуда, либо временно выключен и включён обратно. "Недоверенные" приложения могут быть запущены как "доверенные".

Защита компьютера DefenseWall HIPS

Все события, создаваемые "недоверенными" приложениями, сохраняются на вкладке "Список событий". Каждое событие имеет следующие информационные поля: "Модуль", "Время", "Путь", "Описание" и "Тип события". При выборе элемента списка, в нижнем окне появляется детальное описание события. Список событий обновляется вручную. Неважные события могут быть отфильтрованы или удалены.

Защита компьютера DefenseWall HIPS

Перейдём на вкладку "Закрытые файлы". DefenseWall позволяет создавать собственный список защищённых файлов и папок. Защищённые файлы и папки недоступны для "недоверенных" процессов. Это позволяет защитить важные данные на компьютере от похищения. Ненужные элементы списка могут быть убраны из него.

DefenseWall имеет два режима работы.

  1. "Режим эксперта". В этом режиме все приложения добавляются в список "недоверенных" только вручную.
  2. "Обычный режим". Предназначен для обычных пользователей, это режим работы системы защиты компьютера по умолчанию. В нём все исполняемые файлы, созданные "недоверенными" приложениями, автоматически помещаются в список "недоверенных".

Интерфейс программы очень прост, в нём сможет разобраться даже неопытный пользователь. Теперь, когда мы разобрались с основными функциями и возможностями программы, перейдём к самому главному - испытанию в обстановке, приближенной к боевой.

DefenseWall HIPS | Тестовая конфигурация

  1. Программа DefenseWall версия 1.64
  2. В первой части испытаний антивирусные программы были отключены.
  3. Чтобы файлы были неизвестны для системы, нам потребуется CD-Rom, в программе DefenseWall CD было добавлено в "недоверенную" зону. Другие тестовые файлы были загружены через браузер, то есть они были автоматически "недоверенные".
  4. Брандмауэр на период испытаний был включён для контроля прорыва за границу ПК.
  5. Для проверки "троянов" использовался анализатор протокола.
  6. Все испытания проводились на платформе Windows XP SP2 RU Pro.

DefenseWall HIPS | Самозащита

Защита выполнения. DefenseWall не работает по принципу предотвращения выполнения. Приложение не препятствует запуску диспетчера задач, блокнота или calc.exe. Система защиты компьютера только руководствуется тезисом "доверенное" или "недоверенное", согласно статусу процесса.

Цель: получить доступ к физической памяти. Для проверки воспользуемся программой SDTRestore. Эта программа основана на восстановлении ServiceDescriptorTable. DefenseWall не даёт SDTRestore получить доступ к физической памяти (если SDTRestore в "недоверенных"). Тест пройден. Защита компьютера сработала.

Защита компьютера DefenseWall HIPS

DefenseWall HIPS | Защита целостности

Цель: интеграция нового DLL в System32. Будем работать с BOWall. Эта программа способна загрузить новые DLL в SYSTEM32. BOWall имеет статус "недоверенной". Все вновь создаваемые DLL не отслеживаются. DefenseWall информирует нас только о попытке открытия процесса. Тест провален, защита компьютера не сработала.

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

DefenseWall HIPS | Защита реестра

Будем проводить тест с программой Ghost Security Regtest. Все модификации реестра блокируются DefenseWall. Тест пройден. Защита компьютера сработала.

Защита компьютера DefenseWall HIPS

Тест Scoundrel simulator. Это симулятор вредоносного воздействия, он пытается изменить домашнюю страницу MS Internet Explorer, отключить возможность изменять настройки Интернета, отключить возможность использовать редактор реестра REGEDIT и прописаться в автозагрузку системы. При запуске программы (она имеет статус "недоверенной") процесс DefenseWall блокирует Scoundrel simulator. Тест пройден. Защита компьютера сработала.

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

DefenseWall HIPS | Защита Boot sector/Bios

DefenseWall не обеспечивает защиту загрузочного сектора, защита осуществляется при старте системы, поэтому защита в процессе загрузки ограничена. Тест провален. Защита компьютера не сработала.

DefenseWall HIPS | Защита от Keylogging

Воспользуемся Zkeylog. Этот кейлоггер был загружен с диска из "недоверенной" папки. DefenseWall не даёт установить кейлоггера, последний не может нормально функционировать. Тест пройден. Защита компьютера сработала.

Защита компьютера DefenseWall HIPS

Тест захвата экрана. Программа Screencap поможет нам в этом. Screencap мы будем запускать с жёсткого диска как "недоверенное" приложение. DefenseWall блокирует Screencap, и она не смогла захватить экран. Тест пройден. Защита компьютера сработала.

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

DefenseWall HIPS | Антивирусы Nod32/Dr.Web/Kaspersky

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

При работе с другими системами защиты компьютера - антивирусами Nod32 v2.51.20Ru и Dr.Web v4.33.2.07240Ru, программа DefenseWall вела себя в штатном режиме. В ходе совместного функционирования не было замечено сбоев. Не появлялись экраны "смерти", не выскакивали ошибки. Локализованная русскоязычная операционная система Windows XP Professional с Service Pack 2 тоже функционировала в штатном режиме. Совместное использование антивирусных программ и DefenseWall не тормозило систему и не приводило к её зависанию. Можно сказать наверняка, что система защиты компьютера DefenseWall полностью совместима с данными антивирусными программами.

Защита компьютера DefenseWall HIPS

Kaspersky Anti-Virus 6.0.0.303Ru и DefenseWall оказались плохо совместимы друг с другом. "Касперский" подтвердил свою репутацию требовательного и трудно совместимого приложения. Антивирус находился в "доверенных" у DefenseWall, однако в ходе тестирования, нами были отмечены сбои в работе сетевого подключения. При появлении этих сбоев резко возрастала нагрузка на процессор (см. скриншот ниже), и браузер (Opera) переставал грузить страницы. После отключения "Касперского" всё было нормально. Антивирус оказывал на систему более существенную нагрузку, чем Nod32 и Dr.Web. Мы не рекомендуем использовать DefenseWall вместе с Kaspersky Anti-Virus 6.0.0.303, по меньшей мере, до исправления ситуации либо разработчиками DefenceWall, либо разработчиками Лаборатории Касперского. Вместо защиты компьютера, при совместной эксплуатации этих систем, вы получаете проблемы с надёжностью ПК.

Защита компьютера DefenseWall HIPS

DefenseWall HIPS | Брандмауэры Outpost Firewall Pro/Kerio Personal Firewall

Защита компьютера DefenseWall HIPS

При совместной работе Outpost Firewall Pro v3.51.759.6511(462) и DefenseWall не было отмечено появления ошибок в работе приложений. Защищённое сетевое подключение работало стабильно, и не было его обрывов. Outpost хорошо работал, когда был "доверенным" и "недоверенным" приложением. DefenseWall вела себя тоже стабильно, ошибок в её работе отмечено не было.

Защита компьютера DefenseWall HIPS

Kerio Personal Firewall v4.3.268 показал себя с лучшей стороны при работе с DefenseWall. Сеть работала без обрывов и ошибок. Система функционировала так же безошибочно и чётко.

Оба брандмауэра оказались полностью совместимы с DefenseWall. Каждый из сетевых экранов в отдельности будет прекрасно работать с DefenseWall, помогая ему защищать ваш компьютер.

DefenseWall HIPS | Особенности программы

  1. Очень быстрая установка программы (в 4 шага), маленький размер архива (1,1 Мбайт).
  2. Лёгкость в использовании и настройке.
  3. Сравнительно низкая стоимость программы (499 рублей для России и 29$ для зарубежного пользователя).
  4. Языки программы: русский и английский.
  5. Отсутствует назойливая реклама во время пробного периода.
  6. Хорошая поддержка пользователей.

На завершающем этапе написания статьи SoftSphere Technologies выпустила новую версию DefenseWall HIPS 1.65.

В программе появились следующие изменения:

  1. Ускорена работа sandbox.
  2. Включена защита компьютера от shatter-атак.
  3. Усилена защита компьютера от попыток вырваться за пределы sandbox.
  4. Поправлены ранее найденные ошибки.
  5. Полезные, но не критичные исправления в графический интерфейс.

В новой версии, по заявлению разработчиков, была исправлена одна из обнаруженных нами проблем, а именно интеграция нового DLLs в System32. Мы решили повторить наш тест системы защиты компьютера и пришли к выводу, что разработчику не удалось исправить проблему. Программа DefenseWall перестала информировать нас о запущенном процессе BOWall. Все вновь создаваемые DLLs не отслеживаются, как и в предыдущем нашем тесте. Тест провален, система защиты компьютера не сработала.

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

Защита компьютера DefenseWall HIPS

Мы надеемся, что в следующей версии программы данная ошибка будет устранена. Также ожидается, что разработчики добавят защиту файлов autorun.inf для флэш-карт U3, позволяющих запускать приложения с флэш-карты в доверенной зоне.

DefenseWall HIPS | Заключение

Оценка угрозы. Результат тестирования часто зависит от конфигурации программы, что "доверено", а что "не доверено". Подведем итоги по результатам тестирования.

  • "Трояны". DefenseWall не может контролировать удалённые соединения. "Трояны" способны создать удалённое соединение, даже имея статус "недоверенных" процессов. Защита от "троянов" недостаточна.
  • Кейлоггеры. DefenseWall хорошо защищает против известных кейлоггеров (клавиатурных перехватчиков).
  • Защита реестра. DefenseWall эффективно защищает реестр от "троянов" и руткитов.
  • Целостность системы. DefenseWall обеспечивает эффективную защиту целостности системы, если приложения имеют статус "недоверенных".

Система защиты компьютера DefenseWall создавалась, чтобы обеспечить классическую защиту HIPS (Host Intrusion Prevention Systems - система предотвращения вторжения уровня хоста), но без традиционных для неё недостатков: постоянно всплывающих информационных окон и необходимости серьёзного знания архитектуры операционной системы и поведения системных процессов. С этим DefenseWall удалось справиться.

Пользователю DefenseWall следует понимать основы защиты компьютера - какие программы могут быть потенциально опасны (особенно те, что создают удалённое соединение) и их следует отнести к "недоверенным", а какие можно отнести к "доверенным" процессам. То есть, это требует пусть и малой, но квалификации. DefenseWall станет хорошим выбором для защиты компьютера пользователей Р2Р сетей, так как приложения, загружаемые из Р2Р сетей, имею статус "недоверенных". Приложение DefenseWall может быть рекомендовано начинающему и обычному пользователям, которые используют компьютер для развлечений и работы в сети. Более опытные пользователи будут немного разочарованы, так как настройки приложения ограничены, и администратор системы не может получить полный контроль над действиями программы.

Чтобы достичь наибольшей эффективности защиты компьютера, DefenseWall следует использовать вместе с антивирусом и брандмауэром. Тогда приложения будут дополнять друг друга, и вы будете хорошо защищены как от внутренних, так и от внешних атак. Главное достижение программы DefenseWall - это соотношение между лёгкостью использования и эффективной защитой. На наш взгляд, разработчику удалось совместить два эти фактора в одной программе.

КОНЕЦ СТАТЬИ


Координаты для связи с редакцией:

Общий адрес редакции: thg@thg.ru;
Размещение рекламы: Roman@thg.ru;
Другие координаты, в т.ч. адреса для отправки информации и пресс-релизов, приглашений на мероприятия и т.д. указаны на этой странице.


Все статьи: THG.ru

 

Rambler's Top100 Рейтинг@Mail.ru