Author Topic: Avast spatne nastaven hips defaltne (zavislost na cloudu) malwaretips.com  (Read 1270 times)

0 Members and 1 Guest are viewing this topic.

Offline D@v!dov

  • Newbie
  • *
  • Posts: 13
ENG:
Just now I test the harden mode with an EXE that can trigger the harden mode (aggressive) in the online case.
The following tests are conducted on my virtual machine running win 7 (32-bit).
I will reboot my virtual machine after each test.

Test 1: Online -> Offline

I first double click my EXE in the online case.
It is immediately blocked by the harden mode.
Then I cut off the network connection of the virtual machine and double click my EXE several times.
It is always blocked as long as I do not reboot the virtual machine.

Test 2: Offline -> Online

I first double click my EXE in the offline case.
It is NOT blocked by avast in such case.
Then I connect my virtual machine to the network and double click my EXE several times.
It is always allowed to run as long as I do not reboot the virtual machine.

Test 3: Online -> Offline -> Reboot -> Offline

I first double click my EXE in the online case.
It is immediately blocked by the harden mode.
Then I cut off the network connection of the virtual machine and double click my EXE several times.
It is always blocked as long as I do not reboot the virtual machine.
Then I reboot my virtual machine and keep my virtual machine offline.
This time my EXE is allowed to run when I double click it.

Test 4: Offline -> Online -> Reboot -> Online

I first double click my EXE in the offline case.
It is NOT blocked by avast in such case.
Then I connect my virtual machine to the network and double click my EXE several times.
It is always allowed to run as long as I do not reboot the virtual machine.
Then I reboot my virtual machine and keep my virtual machine online.
This time my EXE is blocked by avast when I double click it.

To sum up:

1. The harden mode highly depends on the cloud lookup.
2. The strategy of the harden mode is "default allow", not "default deny". So when it cannot connect to the cloud, it will allow EXEs to run by default rather than blocking it.
- I personally like "default deny" better.​
3. The result of cloud lookup will be only stored until the reboot.

Question:

I hope to know that whether the HIPS of avast also depends on the cloud or not?
I do not know how to trigger the HIPS of avast...

CZ translator:Právě teď jsem vyzkoušet ztvrdnout režim s EXE, který může vyvolat ztvrdnout režim (agresivní) v on-line případu.
Následující testy jsou prováděny na mé virtuální počítač spuštěn Win 7 (32-bit).
Já se restartuje svůj virtuální počítač po každé zkoušce.

Test 1: Online -> Offline

Poprvé jsem se dvakrát klikněte svůj EXE v on-line věci.
To je okamžitě blokována kaleným režimu.
Potom jsem uřízl síťové připojení virtuálního stroje a poklepejte na mé EXE několikrát.
To je vždy zablokováno tak dlouho, dokud nemám restartujte virtuální stroj.

Test 2: Offline -> Online

Poprvé jsem se dvakrát klikněte svůj EXE v offline případu.
To není blokován avast v takovém případě.
Pak jsem se připojit můj virtuální stroj k síti a poklepejte na mé EXE několikrát.
Vždy je dovoleno běžet tak dlouho, dokud nemám restartujte virtuální stroj.

Test 3: Online -> Offline -> Reboot -> Offline

Poprvé jsem se dvakrát klikněte svůj EXE v on-line věci.
To je okamžitě blokována kaleným režimu.
Potom jsem uřízl síťové připojení virtuálního stroje a poklepejte na mé EXE několikrát.
To je vždy zablokováno tak dlouho, dokud nemám restartujte virtuální stroj.
Pak jsem restartovat svůj virtuální stroj a držím virtuálního počítače v režimu offline.
Tentokrát mé EXE se nechá běžet, když jsem dvakrát na něj klikněte.

Test 4: Offline -> Online -> Reboot -> Online

Poprvé jsem se dvakrát klikněte svůj EXE v offline případu.
To není blokován avast v takovém případě.
Pak jsem se připojit můj virtuální stroj k síti a poklepejte na mé EXE několikrát.
Vždy je dovoleno běžet tak dlouho, dokud nemám restartujte virtuální stroj.
Pak jsem restartovat svůj virtuální stroj a držím virtuální stroj online.
Tentokrát mé EXE je blokována avast, když jsem dvakrát na něj klikněte.

Abych to shrnul:

1. ztvrdnout režim vysoce závisí na cloud vyhledávání.
2. Strategie kaleným režimu je "default dovolit", ne "default deny". Takže když to nemůže připojit do cloudu, umožní EXEs se spustí automaticky, spíše než zablokováním.
- Já osobně rád "default deny" lepší.
3. Výsledek cloud vyhledávání budou pouze uložena do restartu.

Otázka:

Doufám, že vím, že zda se HIPS avast závisí také na cloudu, nebo ne?
Já nevím, jak ke spuštění boky avast ...


puvodni odkaz:https://malwaretips.com/threads/regarding-the-aggresive-harden-mode.52902/
« Last Edit: November 04, 2015, 07:47:07 AM by D@v!dov »