Увидел анонс нового хипса на форуме malwaretips. Поглядел, вроде наши разрабы. Заявляют, что работает совсем без хуков ядра, используя только виндовые возможности из коробки. Сейчас раздают на халяву полную версию на год. Кто-нибудь сталкивался с продуктом?
Сайт: https://rehips.com

| Сообщение посчитали полезным: TryAga1n, Gideon Vi, HandMill

На первый взгляд по ролику с youtube - копия с sandboxie чуть менее, чем полностью.

| Сообщение посчитали полезным:

Кому эта фигня нужна сейчас в 2015 году? У продвинутых давно либо линукс, либо сервер с hyper-v и coolpictures.doc.exe они не запускают. Домохозяйкам? У них будет ступор от первого же окошка этой сандбокси.

| Сообщение посчитали полезным: DimitarSerg

http://beta.re-hips.com/download/ReHIPSSetup.exe

| Сообщение посчитали полезным:

В комплекте COMODO Firewall технологии HIPS и песочницы бесплатны, чем оно не лучше?

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Например тем, что камод со своей мегапесочницей, на компе с оперативой <2гб и любым двухядерным процом устраивает просто адовый лагодром.

| Сообщение посчитали полезным: Recrypter

Всем доброго дня.

Я один из разработчиков данного решения и постараюсь ответить на все вопросы.

> На первый взгляд по ролику с youtube - копия с sandboxie чуть менее, чем полностью.

Это только на первый взгляд Основные особенности ReHIPS:
1. В ReHIPS для каждого приложения можно создать свою песочницу со своими индивидуальными настройками доступа к ресурсам системы и к сети. И этих настроек весьма немало. Настраивается практически всё, но при этом есть режим по умолчанию, где всё уже выставлено как надо
2. ReHIPS максимально использует встроенные механизмы контроля доступа Windows. Никаких ядерных хуков и прочих подобных дырявых и сомнительных вещей
3. Никакой аппаратной виртуализации, невысокие требования к ресурсам компьютера
4. Поддержка всех актуальных версий Windows, включая 10-ку, независимо от их разрядности
5. Есть списки доверенных издателей
6. Есть блокировка камеры и микрофона
7. Совместимость с другими антивирусными средствами
8. Запуск изолированных приложений на отдельных десктопах. В ряде случаев хороший способ побега из песочницы - через некоторые стандартные вещи типа Windows hooks. Помешать этому - хуки с понятными последствиями в 64-х битных системах. Да и вообще это неправильно и никак не препятствует, например, скриншотам. А почему песочницы ползут в гипервизор? PatchGuard - ответ на вопрос. Те же хуки, но с помощью гипервизора. Правда, всё ещё не везде он есть, тормозит и технология та же - ставим хуки на всё, что знаем. Подмена системы безопасности Windows, по сути. С понятными последствиями.

> В комплекте COMODO Firewall технологии HIPS и песочницы бесплатны, чем оно не лучше?

В пункте выше, в принципе, описал. Основная фича ReHIPS - возможность запуска каждого конкретного приложения в своей собственной песочнице. Во многих других решениях есть одна песочница для всего недоверенного софта. Из этой песочницы открыт доступ на чтение ко всем ресурсам компа, а также к остальным изолируемым приложениям. Часто открыт доступ к сети. Что ещё надо для счастья? А как оно реализовано, тот же wincheck от Red Plait прекрасно показывает. У нас нет хуков ядра и нет обхода PatchGuard-а с помощью аппаратной виртуализации.
Мы делаем упор на документированную безопасность. Сами посудите - механизмы безопасности Windows, на базе которых мы строим наше решение, эксплуатируются много лет, много лет тестируются миллионами, оттачиваются. В них иногда находят баги, которые правятся производителем ОС. А потом вылезает антивирусная компания (любая) и делает свои механизмы - с шахматами и поэтессами. Сколько людей их тестировало? Как? Мы не знаем. По сути, эти механизмы дублируют (в лучшем случае игнорируя, а иногда и отключая механизмы безопасности ОС) тот же дискреционный контроль доступа, который в Windows уже есть достаточно давно. И пишут люди эти решения так, как умеют. Потом вылезают всякие случаи побега из песочниц и эксплуатации их уязвимостей для повышения привилегий. В нашем случае упор делается на документированную безопасность и эксплуатацию встроенных механизмов безопасности Windows, которые оттестированы миллионами пользователей. Свои дополнения тоже есть, но они не являются определяющими.

> Кому эта фигня нужна сейчас в 2015 году? У продвинутых давно либо линукс, либо сервер с hyper-v и coolpictures.doc.exe они не запускают. Домохозяйкам? У них будет ступор от первого же окошка этой сандбокси.

Мир, к счастью, не делится на Продвинутых и Домохозяек Существует гораздо больше категорий как людей, так и организаций. И да, это не сандбокси. Там нет ничего от сандбокси. Кстати, для домохозяек у нас специальная галочка - Режим изоляции. В этом случае coolpictures.doc.exe она не сможет запустить, а работать и развлекаться - вполне себе пожалуйста. Ну и не всегда всё сводится к запуску coolpictures.doc.exe. Бывают ещё и эксплоиты. Потому мы и изолируем в песочницах ряд популярных офисных приложений и браузеров.

PS. Мы раздаём годовую лицензию бесплатно. Единственная просьба - регистрироваться у нас на целевой странице. Это нужно в том числе для статистики.

| Сообщение посчитали полезным: zNob, Bit-hack, TryAga1n, geograph, 4kusNick

Есть возможность запуска драйверов в песочнице
в безопасном режиме?
И логи API\изменений реестра,файлов?
Тогда вещь будет очень..полезная.

| Сообщение посчитали полезным:

Recrypter пишет:
Это только на первый взгляд Основные особенности ReHIPS

Здорово. А все же, что есть в ReHIPS, чего нет в sandboxie?

| Сообщение посчитали полезным:

Recrypter
для внимательных юзеров не нужны подобные вещи, есть виртуалки, снимки, бэкапы, клоны, т.е. держать контроллирующее ПО на компе подобно мазохизму, где придется каждые пуки добавлять в правила.

но может кому-то будет и полезно. главное создать адекватные условия для приобретения, заслужить уважение, вот лицуха на год это самое оно, можно было и на полгода, за это время можно нехило подтянуть продукт и потестировать, а там глядишь и покупать будут.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным: Recrypter, negoday

Насколько я понимаю, софт не только для запуска непонятного софта на основной машинке, что можно сделать и в виртуалке. Но поможет и от пробития сплоитами другого софта, типа дырявого акробата или браузера, когда он в песочнице. Так что внимальным/гикам тоже может пригодиться.
Что касается отличий, заметил отдельные десктопы, чего больше практически нигде не видел. И бОльшую работу с документированными вещами и уже реализованными в винде механизмами, чем в том же сандбокси, который запрещает вообще всё, а потом прямо в драйвере таскает дикую портянку, что можно разрешать, в результате чего периодически ловит дыры и выходы из песочницы.

| Сообщение посчитали полезным: Recrypter

Archer пишет:
И бОльшую работу с документированными вещами и уже реализованными в винде механизмами, чем в том же сандбокси

ну, я конечно знал, что ты крут, но вот так, сходу и без сырков, разобрать что оно там и как делает - сильно.
Мне, правда, так ни кто и не скампилировал работоспособный poc под sandboxie, но это ладно.

| Сообщение посчитали полезным:

Archer
ну тебе как никому бы оказать помощь в тестировании, ты авастовскую песочницу пробивал судя по слухам

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Просто смотрел где-то год-полтора назад, как этот продукт, так и некоторые другие. Сейчас уже что-то может и поменялось. Тогда было так, как и написано. Сомневаешься-сам погляди. В сандбокси вообще в драйвер утащили что можно и что нельзя, даже парсинг xml, руки за такое отрывать надо.
Авастовская песочница такая песочница, там хуков за 100 штук стоит, почему и хромает на х64. Долгое время пробивалась даже старой технологией инжекта через shell traywnd. И сандбокси 3 версии, кстати, тоже.
Что касается POC под sandboxie, ну дык бесплатно да, такие вещи не раздают. Но вполне были такие, хоть changelog их поглядеть http://www.sandboxie.com/VersionChanges типа
NtGetNextProcess can be used to alter processes outside the sandbox and will now be blocked
или
A security problem reported by a user has been fixed: hard links could be created outside the sandbox
Искать просто надо и думать, тогда и можно найти.

| Сообщение посчитали полезным:

да-да, ты злой, все уже поняли.
По сабжу - понравился режим глобального контроля всех запускающихся приложений (т.е. именно hips-составляющая). В sandboxie мне такого не хватает.

| Сообщение посчитали полезным:

ProstoAndreyX пишет:
Есть возможность запуска драйверов в песочнице
в безопасном режиме?
И логи API\изменений реестра,файлов?

Драйвера в безопасном режиме не запускаем. Логи доступа к ФС и реестру... Теоретическая возможность есть, но есть масса софта, который это делает: Process Monitor, FileSpy и т.д. Не видим особого смысла в этом...

Archer пишет:
Просто смотрел где-то год-полтора назад, как этот продукт, так и некоторые другие. Сейчас уже что-то может и поменялось. Тогда было так, как и написано.

В этом плане ничего не поменялось. Были серьёзные изменения в GUI, добавлены минифильтры ФС и реестра, добавлено копирование пользовательских настроек, что полезно для софта, которого нет в базе первоначальных настроек, добавлены режимы защиты и блокировка камеры и микрофона. Плюс, конечно, много более мелких доработок.

| Сообщение посчитали полезным: Bit-hack, ProstoAndreyX

Recrypter Все таки подумайте над тем что бы хранить логи хотя бы на 2-3 сессии, даже не логи а хотя бы пути по которым программа пыталась создать\распаковать файлы, записаться в реестр это было бы очень полезно если кто то всё же пролезет, будет видно что и куда скопировано и записано в реестр

| Сообщение посчитали полезным:

Интересный продукт, но ИМХО опоздал. С выходом 10ки винда умерла как безопасная система, софт для безопасности под нее становится неактуален.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Опа, а чего я пропустил? Почему умерла винда после 10 и что не так с безопасностью?

| Сообщение посчитали полезным:

Apocalypse
https://exelab.ru/f/action=vthread&forum=7&topic=23472

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Мы тут сгруппировали пожелания пользователей ReHIPS 2.1.0 Beta и выложили их здесь: https://forum.rehips.com/index.php/topic,827.0.html. Если есть что добавить и прокомментировать, милости просим. Также можно отписаться на почту (support@rehips.com) или здесь в личку.

| Сообщение посчитали полезным:

opensource

| Сообщение посчитали полезным:

Мы с гордостью представляем Вам релиз ReHIPS 2.2.0 https://rehips.com/ReHIPSSetup%202.2.0.zip Релиз несколько затянулся, всегда казалось, что некоторые вещи можно сделать лучше. Но изменений очень много. Если же прошлая версия, которую Вы видели, была 1.x, то изменилось вообще практически всё, кроме основного концепта и некоторых базовых вещей.

P.S. Не забудьте удалить прошлые версии со всеми настройками.

Я бы хотел выразить свою глубочайшую и искреннюю благодарность бета-тестировщикам и другим людям, которые тестировали, сообщали о проблемах, высказывали пожелания и действительно помогли исправить множество вещей и сформировать ReHIPS таким, какой он есть сейчас. Спасибо Вам всем огромное, я очень это ценю.

Наслаждайтесь этим релизом. И, как обычно, если возникнут какие-то вопросы или предложения, пишите.

С Уважением, fixer.

| Сообщение посчитали полезным: zNob

Recrypter

Заресерчу на следующей недели и опишу обходы этого ав. Будите наслаждаться.

> И, как обычно, если возникнут какие-то вопросы или предложения или появятся какие ошибки, пишите

Ты же авер, ваши ошибки публикуют и эксплуатируют, а не описывают что бы пофиксить, очнись.

-----
vx

| Сообщение посчитали полезным:

Recrypter
Шел 2017 год, они продолжали пилить ненужное.

| Сообщение посчитали полезным:

difexacaw пишет:
Заресерчу на следующей недели и опишу обходы этого ав. Будите наслаждаться.

Ловим на слове

| Сообщение посчитали полезным:

Посмотрел поделку, она не ядерная. Это юзермод костыли. Как и все факав создаёт гуем видимость активности.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Посмотрел поделку, она не ядерная. Это юзермод костыли.

Посмотрел главную страницу оффсайта



пришел к тем же выводам.

| Сообщение посчитали полезным:

VOLKOFF

Любой сервис может быть вызван напрямую, а значит это не защита. Есть один способ, не использовать сервисные фильтры, но он слишком сложен. Это очередной факав.

-----
vx

| Сообщение посчитали полезным:

Да ладно Вам, зачем лукавить, так честно и скажите, обойти не смог ;)

| Сообщение посчитали полезным: