Frage Zum Eset HIPS

Die Frage ist nicht ganz einfach zu beantworten. Fakt ist, dass die ESET Smart Security schon länger IDS (Intrusion Detection System) Funktionen beinhaltet hat. Dies funktioniert allerdings nur bei Angriffen von außen.
Sollte eine Malware jedoch Zugang zum Rechner haben, z.B. per USB-Stick oder E-Mail o.ä. dann ist die Firewall i.d.R ziemlich machtlos.

ESET hat auch schon vorher z.B. durch Emulation gewisser Aktionen, wie z.B. der Autorun Infos bei USB-Sticks, quasi "rudimentär" Verhaltensanalysen durchgeführt. Das HIPS (Host Intrusion Prevention System) kann darüber hinaus nun einzelne Vorgänge im System, wie Registryzugriffe oder Arbeitsspeicherzugriffe, überwachen und außerdem gibt es dem Anwender die Möglichkeit, gezielt für Quellanwendungen oder auch Zielanwendungen das erlaubte Verhalten zuzuweisen oder zu verbieten.

Wie bei vielem in der IT-Security Branche gibt es leider keine klare Definition der "Grenze" zwischen Behavior Blocking und HIPS bzw. der Definition der beiden Systeme, da die verschiedenen Hersteller unterschiedliche Ansätze verfolgen, aber das gleiche Ergebnis, nämlich den Anwenderschutz verfolgen. Behavior Blocking und HIPS sind also mehr "Überbegriffe" verschiedener Detailfunktionen um wenigstens annähernd eine Vergleichbarkeit der Funktionalitäten herzustellen.

In der Vergangeheit war es zum Beispiel so, dass Hersteller eine gleiche Überprüfung der Autorun Informationen gemacht haben wie ESET zu dieser Zeit, es aber als HIPS vermarktet haben, was aber nun heutzutage wiederum nicht mit dem HIPS wieder anderer Hersteller gleichzusetzen ist. Von daher ist es eben nicht einfach, eine genauere und vor allem 100% technisch klare Aussage zu treffen, da die Technologien allesamt nicht zu 100% gleich sind, oder wenigstens bei den meisten der Hersteller.

Gleiches gilt übrigens auch für den Begriff der Heuristik.

Ich hoffe jedoch, wenigstens annähernd Deine Frage beantwortet zu haben, wenn Du weitere hast oder Dich unbeantwortet fühlst, dann lass es mich wissen.

Tommi

P.S.: Allerdings kann ich heute und morgen schlecht antworten, da wir morgen erst einmal unser "Trippel-Jubiläum" feiern wollen - 10 Jahre ESET in Deutschland, 20 Jahre ESET und 25 Jahre NOD

[quote user="uweli1967" post="53321"]Warten wir mal ab was der Supporter Tommi uns zu berichten und zu erklären hat. Nach wie vor hege ich auch Zweifel daran dass das sog. Eset HIPS wirklich ein solches ist und denke es ist eher eine "Verschmelzung" aus HIPS und BehaviorGuard(kommt ja bei einigen Herstellern in Mode)weil ich nicht glaube bzw verstehe, wie Eset es schaffen würde ein richtiges HIPS in NOD32 zu implentieren.[/quote]

i sec. that!

eset, egal ob deutsch oder international muss endlich eine EINDEUTIGE stellung zu der als HIPS beworbenen lösung beziehen. das ist es dem seit september wartenden kunden schuldig!

Die Frage wäre (siehe meine erste Antwort) einfacher zu beantworten, wenn Ihr mir eine Definition von HIPS und VS irgendwo verlinkt geben würded, und ich mich auf diese dort dargestellte Version beziehen könnte, da es zig Definitionen in diesem Bereich leider nun einmal gibt.

Die Verknüpfung von HIPS und Selbstschutz war zumindest für die Entwickler erst einmal logisch, allerdings sind wir auch etwas unglücklich, und es gibt Überlegungen diese beiden Module wieder zu entkoppeln, allerdings ist da eine endgültige Entscheidung noch nicht getroffen.

(Und bei den Temperature gerade draußen, kann es in der Hölle aktuell auch nicht viel wärmer sein )

Poulsen, ich habe es mehrfach erwähnt, es gibt keine allgemeingültige Definition von HIPS und noch weniger eine Abgrenzung dessen von Verhaltensblockern, Behaviour Guards, und was sich sonst noch schlaue Marketingleute haben einfallen lassen!

Würde man die Frage mit Motoren vergleichen - hat ESET einen Motor? Ja, ESET hat einen Motor.
Ist das der gleiche wie der bei XY? Nein, aber vielleicht kannst Du mir sagen, worauf es Dir ankommt (Verbrennungsart, verwendeter Kraftstoff, Zylinderart, Zylinderform...)?

Dann ist der Verhaltensblocker sowohl Teil des HIPS, als auch Teil der anderen Erkennungsmethoden in ESET NOD32 Antivirus 5 und ESET Smart Security 5. Das ESET HIPS arbeitet darüber hinaus je nach Einstellung in verschiedenen Modi - im interaktiven Modus wird der User jedes mal gefragt und er hat die Möglichkeit, eine Regel zu erstellen, also dauerhaft zulassen oder blockieren. Der Trainingsmodus übernimmt aufgrund der Liste von vertrauenswürdigen Anwendungen (intern, wie auch in Abgleich mit ESET Live Grid) das Erstellen der Regeln. Der regelbasierte Modus arbeitet nur auf Grundlage der entweder komplett händisch erstellten Regeln, der im interaktiven Modus erstellten Regeln und/oder der im Trainingsmodus erstellten Regeln.
Der automatische Modus mit Regeln lässt Standardanwendungen weitere per regelmäßigem Update eingepflegte, und deren Verhalten zu und blockiert verdächtiges Verhalten.
Eventuelle Regeln gelten vor dem Zulassen.

In allen Modi lässt sich einstellen, ob der User darüber informiert werden soll und/oder ein Eintrag ins Log geschrieben werden soll.

Eine Verhaltensanalyse erfolgt z.B. aber auch schon in älteren Versionen durch die Advanced Heuristik, die z.B. das Verhalten der Autorun Informationen beim Anstecken von USB-Sticks per Emulation prüft und so ohne direkt scannen zu müssen, z.B. eine Infektion/Maniuplation z.B. von einem Conficker erkennen und blockieren kann.

Die Firewall der ESET Smart Security verfügt über ein IDS, das verdächtige Vorgänge "von außen" erkennt und blockiert, unabhängig vom Firewall Regelwerk.

Alles das wird u.a. auch in der Produkthilfe (F1 im jeweilgen Fenster öffnet den entsprechenden Artikel) ausführlich erklärt.

Ich habe versucht deutlich zu machen, dass das HIPS lokal wirkt und eben nicht Bestandteil der Firewall ist, wohl aber Netzfiltertreiber nutzt, die im Webschutz bei ESET enthalten sind.

Host Intrusion Prevention System (HIPS)

Das Host Intrusion Prevention System (HIPS) schützt Ihr System vor Schadsoftware und unerwünschten Programmaktivitäten, die negative Auswirkungen auf Ihren Computer haben könnten. Um solche Aktivitäten zu blockieren und zu verhindern, analysiert HIPS das Verhalten von Programmen genau und nutzt Netzwerkfilter zur Überwachung von laufenden Prozessen, Dateien und Registrierungsschlüsseln.

Die HIPS-Einstellungen finden Sie im Fenster Erweiterte Einstellungen (F5). Klicken Sie dazu auf Computer > HIPS. Der Status von HIPS (aktiviert/deaktiviert) wird im Hauptfenster von ESET Smart Security angezeigt, im Bereich Einstellungen rechts vom Bereich Computer.

Warnung: Nur ein erfahrener Benutzer sollte die Einstellungen von HIPS ändern.

ESET Smart Security bietet einen integrierten Selbstschutz, der Beschädigungen oder eine Deaktivierung Ihres Viren- und Spyware-Schutzes durch Schadsoftware verhindert. So ist Ihr System nie ungeschützt. Änderungen an den Optionen HIPS aktivieren und Selbstschutz aktivieren werden nach einem Neustart des Windows-Betriebssystems wirksam. Auch das Abschalten von HIPS erfordert einen Computer-Neustart. Folgende vier Modi stehen für das Filtern zur Verfügung:

Automatischer Modus mit Regeln - Vorgänge werden ausgeführt, mit Ausnahme vorab definierter Regeln zum Schutz Ihres Systems.

Interaktiver Modus - Der Benutzer wird zur Bestätigung von Vorgängen aufgefordert.

Regelbasierter Modus - Vorgänge werden blockiert.

Trainingsmodus - Vorgänge werden ausgeführt, nach jedem Vorgang wird eine Regel erstellt. Die in diesem Modus erstellten Regeln können im Regel-Editor angezeigt werden, doch sie haben geringere Priorität als manuell erstellte Regeln oder Regeln, die im automatischen Modus erstellt wurden. Wenn Sie die Option Trainingsmodus aktivieren, wird die Option Benachrichtigung über Auslaufen des Trainingsmodus in X Tagen wählbar. Nach Ablauf dieser Zeitspanne wird der Trainingsmodus wieder deaktiviert. Dieser Modus kann maximal 14 Tage andauern. Danach wird ein Fenster angezeigt, in dem Sie die Regeln bearbeiten und eine andere Filtermethode wählen können.

HIPS überwacht Ereignisse auf Betriebssystemebene und führt Aktionen gemäß Regeln aus, die den Regeln für die Personal Firewall ähneln.

Klicken Sie auf Regeln konfigurieren, um den Regelmanager von HIPS zu öffnen. Dieses Fenster enthält alle Regeln. Sie können hier Regeln auswählen, bearbeiten und löschen oder neue Regeln erstellen.

Wenn Fragen als standardmäßige Aktion festgelegt ist, wird jedes Mal ein Dialogfenster angezeigt. In diesem Fenster können Sie festlegen, ob HIPS einen Vorgang blockieren oder zulassen soll. Legt der Benutzer innerhalb des vorgegebenen Zeitrahmens keine Aktion fest, wird gemäß den Regeln eine neue Aktion ausgewählt.

In dem Dialogfenster können Sie eine Regel erstellen, die für die auslösende Aktion und die dazugehörigen Bedingungen gilt. Die genauen Parameter können Sie festlegen, wenn Sie auf Optionen anzeigen klicken. Regeln, die auf diese Weise erstellt wurden, und manuell erstellte Regeln sind gleichrangig, daher können erstere allgemeiner sein als die Regel, die das Dialogfenster ausgelöst hat. Derselbe Vorgang kann also erneut die Anzeige desselben Fenster auslösen, nachdem eine solche Regel erstellt wurde.

Mit der Option Diese Aktion für Prozess vorübergehend anwenden wird eine Aktion (Zulassen/Blockieren) für einen bestimmten Prozess gespeichert und jedes Mal angewendet, wenn der betreffende Vorgang ein Dialogfenster auslöst. Diese Einstellungen sind nur vorübergehend. Sie werden gelöscht, sobald die Regeln oder die Filtermethode geändert werden oder ein Update von HIPS bzw. ein Systemneustart durchgeführt wird.

Weitere Informationen zur Erstellung von Regeln und zu HIPS-Vorgängen finden Sie im Kapitel Regel bearbeiten.

----->

Regel bearbeiten

Name - Benutzerdefinierter oder automatisch ausgewählter Regelname.

Aktion - Mit der Regel wird eine Aktion festgelegt: Zulassen, Blockieren oder Fragen. Diese Aktion wird bei Eintreten der Bedingungen ausgeführt.

Regel aktiviert - Aktivieren Sie diese Option, wenn die Regel in der Liste verbleiben, aber nicht verwendet werden soll.

In Log schreiben - Wenn Sie diese Option aktivieren, werden Informationen zu dieser Regel im HIPS-Log gespeichert.

Benutzer informieren - In der rechten unteren Ecke wird ein kleines Fenster angezeigt, wenn ein Ereignis eintritt.

Die Regel besteht aus drei Teilen, mit denen die Bedingungen beschrieben werden, die die Anwendung dieser Regel auslösen.

· Quellanwendungen - Die Regel wird nur angewendet, wenn das Ereignis von diesen Anwendungen ausgelöst wird. Klicken Sie auf Hinzufügen zum Hinzufügen neuer Dateien oder Ordner.

· Vorgänge - Die Regel wird nur bei dieser Art Vorgang und für das ausgewählte Ziel angewendet. Aktivieren Sie die Kontrollkästchen der entsprechenden Vorgänge, oder aktivieren Sie die Option Für alle Vorgänge verwenden .

· Zieldateien/Zielanwendungen/Zielregistrierungseinträge - Die Regel wird nur angewendet, wenn sich der Vorgang auf eines dieser Ziele bezieht.

HINWEIS: Bestimmte, von HIPS vordefinierte Regeln und die aus ihnen resultierenden Vorgänge können nicht blockiert werden, da sie standardmäßig zugelassen sind. Hinzu kommt, dass nicht alle Systemvorgänge von HIPS überwacht werden. HIPS überwacht Vorgänge, die als unsicher eingestuft werden könnten.

Das folgende Beispiel zeigt, wie unerwünschtes Verhalten von Anwendungen beschränkt wird:

1. Geben Sie der Regel einen Namen und wählen Sie Blockieren im Dropdown-Menü Aktion .

2. Öffnen Sie die Registerkarte Zielanwendungen . Lassen Sie die Registerkarte Quellanwendungen leer, um Ihre neue Regel auf alle Anwendungen zu beziehen, die versuchen, einen der in der Liste Vorgänge ausgewählten Vorgänge bei Anwendungen durchzuführen, die auf der Liste Über folgende Anwendungen stehen.

3. Wählen Sie Zustand anderer Anwendung ändern (alle Vorgänge werden nachstehend genauer beschrieben).

4. Fügen Sie eine oder mehrere Anwendungen hinzu, die Sie schützen möchten.

5. Wenn Sie die Option Benutzer informieren aktivieren, wird bei jeder Anwendung der Regel ein Benutzerhinweis angezeigt.

6. Klicken Sie auf OK, um die neue Regel zu speichern.

Beschreibungen der wichtigsten Vorgänge:

Zieldateien

· Datei löschen - Anwendung versucht, die Zieldatei zu löschen.

· In Datei schreiben - Anwendung versucht, in die Zieldatei zu schreiben.

· Direkter Zugriff auf Datenträger - Die Anwendung versucht, einen Datenträger auf nicht standardmäßige Art auszulesen oder zu beschreiben (die üblichen Windows-Verfahren werden umgangen). So könnten Dateien verändert werden, ohne dass die entsprechenden Regeln in Kraft treten. Verursacher dieses Vorgangs könnte Malware sein, die versucht, ihre Erkennung zu verhindern. Es könnte sich aber auch um Backup-Software handeln, die versucht, die genaue Kopie eines Datenträgers herzustellen, oder eine Partitionsverwaltung beim Versuch, Festplattenvolumes zu reorganisieren.

· Globalen Hook installieren - Aufruf der Funktion SetWindowsHookEx aus der MSDN-Bibliothek.

· Treiber laden - Lädt und installiert Treiber im System.

Zielanwendungen

· Debugging für andere Anwendung starten - Verknüpfen eines Debuggers mit dem Prozess. Beim Debuggen einer Anwendung können Informationen zu deren Verhalten angezeigt und verändert werden. Ebenso ist der Zugriff auf die Daten der Anwendung möglich.

· Ereignisse von anderer Anwendung abfangen - Die Quellanwendung versucht, für die Zielanwendung bestimmte Ereignisse abzufangen (Beispiel: ein Keylogger versucht, Ereignisse im Browser aufzuzeichnen).

· Andere Anwendung beenden/unterbrechen - Unterbricht einen Prozess bzw. setzt ihn fort oder beendet ihn (direkter Zugriff aus dem Process Explorer oder im Bereich „Prozesse“ möglich).

· Neue Anwendung starten - Starten neuer Anwendungen oder neuer Prozesse.

· Zustand anderer Anwendung ändern - Die Quellanwendung versucht, in den Speicher der Zielanwendung zu schreiben oder in ihrem Namen bestimmten Code auszuführen. Diese Funktion ist geeignet, um wichtige Anwendungen zu schützen, indem sie für eine Regel zum Blockieren des Vorgangs als Zielanwendungen konfiguriert werden.

Zielregistrierungseinträge

· Starteinstellungen ändern - Alle Veränderungen an Einstellungen, mit denen die Anwendungen festgelegt werden, die beim Windows-Start ausgeführt werden. Diese werden beispielsweise aufgeführt, wenn Sie den Schlüssel Run in der Windows-Registrierung aufrufen.

· Registrierungsinhalte löschen - Registrierungsschlüssel oder seinen Wert löschen.

· Registrierungsschlüssel umbenennen - Registrierungsschlüssel umbenennen.

· Registrierungsdatenbank ändern - Neue Werte für Registrierungsschlüssel erstellen, vorhandene Werte ändern, Daten im Verzeichnisbaum der Datenbank verschieben oder Benutzer- bzw. Gruppenrechte für Registrierungsschlüssel einrichten.

Wenn Teile der Informationen zur Quelle oder zum Ziel nicht angegeben werden, wird die Regel automatisch „für alle“ angewendet (für alle Quellanwendungen, für alle Vorgänge usw.).

Hinweis: Sie können eingeschränkt Platzhalter bei der Eingabe des Ziels verwenden. Anstatt eines bestimmten Schlüssels können Sie das Sonderzeichen * (Sternchen) im Registrierungspfad eingeben. HKEY_USERS\*\software kann zum Beispiel HKEY_USERS\.default\software bedeuten, jedoch nicht HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* ist kein gültiger Pfad für einen Registrierungsschlüssel. Enthält ein Registrierungspfad „\*“, bedeutet dies „dieser Pfad oder jeder untergeordnete Pfad nach diesem Symbol“. Nur auf diese Weise können Platzhalter für Zieldateien verwendet werden. Erst wird der angegebene Teil des Pfades überprüft, dann der Pfad nach dem Platzhalter (*).

---------------------------------

Erkennen von Eindringversuchen (IDS) und erweiterte Einstellungen (nur ESET Smart Security / Firewall)

In diesem Bereich können Sie erweiterte Filtereinstellungen festlegen, mit denen verschiedene Angriffsstrategien auf Ihren Computer erkannt werden können.

Zugelassene Dienste

· Datei- und Druckerfreigabe in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone Zugriff auf Ihre freigegebenen Dateien und Drucker gewähren.

· UPNP in der vertrauenswürdigen Zone zulassen - Netzwerkgeräten automatische Konfiguration mit UPnP (Universal Plug and Play) erlauben.

· Eingehende RPC-Anfragen in vertrauenswürdiger Zone zulassen - Verbindungen über das RPC-DCOM-System von Microsoft in der vertrauenswürdigen Zone zulassen.

· Remotedesktopverbindungen in der vertrauenswürdigen Zone zulassen - Remotecomputern in der vertrauenswürdigen Zone das Herstellen von Remotedesktopverbindungen zu Ihrem Computer erlauben (bei Verwendung des Programms „Remotedesktopverbindung“ von Microsoft).

· Eingehende IGMP-Streams aus dem Internet zulassen - Erlaubt (zum Beispiel) Video-Streaming, das von Programmen generiert wird, die das IGMP-Protokoll verwenden.

· Inaktive TCP-Verbindungen aufrechterhalten - Zur ordnungsgemäßen Funktion einiger Anwendungen ist es erforderlich, dass die hergestellte TCP-Verbindung auch dann aufrechterhalten bleibt, wenn sie möglicherweise inaktiv ist. Aktivieren Sie diese Option, um zu vermeiden, dass inaktive TCP-Verbindungen beendet werden.

· Kommunikation für „bridged“ Verbindungen zulassen - Aktivieren Sie diese Option, um zu vermeiden, dass „bridged“ Verbindungen beendet werden.

· Antwort auf ARP-Anforderungen von außerhalb der vertrauenswürdigen Zone zulassen - Aktivieren Sie diese Option, um Systemantworten auf Adressauflösungsanfragen (ARP-Protokoll) zuzulassen. Diese Funktion ist wichtig für den Betrieb in einem lokalen Netzwerk und für die Weiterleitung von Internet-Datenverkehr über Gateways (Router) nach dem Next-Hop-Routingverfahren.

Vista/Windows 7-Dienste

· IPv6 Adressen des lokalen Netzwerks zur vertrauenswürdigen Zone hinzufügen - Alle Computer, die innerhalb eines LAN-Segments mit dem IPv6-Protokoll eine Verbindung herstellen, werden als vertrauenswürdige Zone eingestuft.

· Entdeckung von Web-Services-Anfragen (WSD) in der vertrauenswürdigen Zone zulassen - Lässt ein bestimmtes Internet-Verzeichnis bzw. einen bestimmten Link durch die Firewall. Ein Internet-Verzeichnis ist eine nach bestimmten Kriterien geordnete Liste von Links zu Websites.

· Multicast-Adressauflösung (LLMNR) in der vertrauenswürdigen Zone zulassen - LLMNR ist ein auf dem DNS-Paketformat basierendes Protokoll, mit dem sowohl IPv4- als auch IPv6-Hostcomputer Namensauflösungen für Rechner auf demselben lokalen Link durchführen können, ohne einen DNS-Server oder eine Konfiguration als DNS-Client zu benötigen. Mit dieser Option kann dieses Protokoll für den Datenverkehr durch die Firewall verwendet werden.

· Unterstützung für Windows 7 Heimnetzgruppe - Unterstützung für Windows-7-Heimnetzgruppe aktivieren. In einer Heimnetzgruppe können Dateien und Drucker in einem Heimnetzwerk freigegeben werden. Um die Heimnetzgruppe einzurichten, klicken Sie auf Start > Systemsteuerung > Netzwerk und Internet > Heimnetzgruppe.

Eindringversuche erkennen

· CodeRed-Wurm erkennen - Erkennung des CodeRed-Wurms aktivieren. Dieser Wurm nutzt eine Pufferüberlauf-Schwachstelle (Buffer Overflow), um sich zu verbreiten. Der Wurm nutzte eine Schwäche im Modul „Index Server“ aus, das über IIS (Internet Information Services) bereitgestellt wird.

· SqlSlammer-Wurm erkennen - Erkennung von Angriffen des SqlSlammer-Wurms aktivieren. Dieser Wurm führt DoS-Angriffe auf einige Internet-Hosts aus und verlangsamt allgemein den Datenverkehr über das Internet.

· RPC/DCOM-Angriff erkennen - Ist diese Option aktiviert, werden Angriffe auf die Microsoft-RPC-DCOM-Sicherheitslücke abgewehrt.

· Sasser-Wurm erkennen - Erkennung des Sasser-Wurms aktivieren. Dabei handelt es sich um einen weiteren Wurm, der Pufferuberläufe ausnutzt. Er befällt Computer mit angreifbaren Version von Windows XP/2000 und dringt über einen Windows LSASS-Port in das System ein.

· Conficker-Wurm erkennen - Erkennung des Conficker-Wurms aktivieren. Conficker greift Windows-Betriebssysteme über Schwachstellen in der Software an bzw. führt einen Wörterbuchangriff oder einen Brute-Force-Angriff auf Administratorpasswörter aus.

· ARP Poisoning-Angriffe erkennen - Der Angreifer sendet falsche Informationen an ein mit dem Netzwerk verbundenes Gerät. Im Anschluss daran kann der Angreifer jede beliebige IP-Adresse mit einer MAC-Adresse in Verbindung bringen und das Netzwerk mit mehreren Angriffsvektoren schädigen.

· DNS Poisoning-Angriffe erkennen - Mit der Technik „DNS Poisoning“ können Hacker DNS-Server beliebiger Computer über die Echtheit eingeschleuster Daten täuschen. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

· TCP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

· UDP Portscan-Angriffe erkennen - Beim Port Scanning wird ein Netzwerkhost auf offene Computerports untersucht, die ausgenutzt werden könnten.

· SMB Relay-Angriffe erkennen - Bei diesem Angriffstyp können Angreifer die Datenkommunikation zwischen zwei Computern manipulieren. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

· Unsichere Adresse nach erkanntem Angriff blockieren - Beendet die Verbindung zu IP-Adressen, die als Angriffsquellen identifiziert wurden.

· Hinweis bei erkanntem Angriff anzeigen - Aktiviert die Hinweise im Infobereich der Taskleiste rechts unten auf dem Bildschirm.

Paketprüfung

· TCP-Verbindungsstatus prüfen - Überprüft, ob alle TCP-Pakete zu einer vorhandenen Verbindung gehören. Wenn ein Paket zu keiner Verbindung gehört, wird es verworfen.

· Denial of Service-Angriff auf TCP-Ebene erkennen - Diese Methode basiert darauf, den Computer/Server mehreren Anfragen auszusetzen - siehe auch Abschnitt DoS (Denial of Service-Angriffe).

· Eingehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Aktivieren Sie diese Option nur für Testzwecke. Diese Funktion überprüft die Prüfsumme eingehender TCP-/UDP-Pakete.

· Ausgehende TCP-/UDP-Pakete prüfen (Prüfsumme validieren) - Überprüft die Prüfsumme ausgehender TCP-/UDP-Pakete.

· ICMP-Nachrichten prüfen - Bei diesem Angriffstyp werden Schwachstellen des ICMP-Protokolls ausgenutzt. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

· Im ICMP-Protokoll verborgene Daten (covert channel) entdecken - Prüft, ob über ICMP Daten übermittelt werden. Es gibt viele Methoden, wie Daten maskiert und per IMCP an der Personal Firewall vorbeigeschleust werden können.

· Ausgehenden Spam erkennen - Ob der Computer Spam versendet, prüft diese Funktion daran, ob die Anzahl der Verbindungen zum SMTP-Server das normale Maß übersteigt.

Fehlerbehebung

· Alle blockierten Verbindungen in Log aufnehmen - Jedes Mal, wenn eine Verbindung blockiert wird, erfolgt ein Eintrag im Log

· Blockierte eingehende Verbindungsanfragen von Wurmangriffen in Log aufnehmen - Jedes Mal, wenn eine eingehende Verbindung eines Wurms blockiert wird, erfolgt ein Eintrag im Log.

------------------------------------
Heuristik - Als heuristische Methoden werden Verfahren bezeichnet, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Signaturdatenbank verzeichnet sind. Nachteilig ist, dass es in Einzelfällen zu Fehlalarmen kommen kann.

Advanced Heuristik/DNA/Smart-Signaturen - Als Advanced Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET entwickelt wurden, um eine verbesserte Erkennung von Würmern und Trojanern zu ermöglichen und Schadprogramme zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Die Gesamterkennungsleistung wird durch Advanced Heuristik erheblich verbessert. Mit Hilfe von Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Nachteilig an Signaturen ist, dass mit ihrer Hilfe nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.

Freunde, wieviel Klartext braucht Ihr denn noch, außer einer kompletten Darstellung, was das ESET HIPS tut, und wie die anderen relevanten Komponenten, die immer wieder vermischt wurden, arbeiten? :shock:

Frech finde ich ganz andere Dinge...

Egal, ich habe es dargelegt, und kann nichts freches an der Bezeichnung HIPS finden, weil es genau das tut, was der Name bzw. die Abkürzung sagt, und ich weise auch weiter darauf hin, dass es keinen allgmeingültigen Bauplan gibt, nachdem alle Hersteller die eine wahre HIPS Funktion oder das eine wahre HIPS Modul "bauen", da es ein gleicher Überbegriff wie das Wort "Haus" ist.

Wenn Ihr das anders seht, ist das ok für mich, ich muss hier niemanden bekehren, ich antworte gerne, auch wenn es manchmal nah an die Beleidigung geht - ob jemand meine Antwort gefällt, oder der Leser bereit ist, meine Antwort überhaupt verstehen zu wollen, kann ich nicht beeinflussen