Ich hatte damals wo ESET Ende 2011 das HIPS in Version 5 einführte in der Betaphase recht aktiv mitgemacht und nach dem Release u.a. mit Julian auf Rokop relativ viele Tests damit gemacht. Da sah man es ganz gut: Bei allem was auf TDL4 basiert wird zumindest beim MBR Zugriff geblockt (Die eigentliche Aktivität, das fernsteuern des Windows Dienstes spoolsrv jedoch nicht). Alles was ZeroAccess Techniken anwendet rutscht komplett durch. Hier wir die Prozessübernahme nicht erkannt und die folgende Treiberinstallation gar nicht. Eingeschränkt (weil halt synthetisch und realitätsfremd) sieht man auch gut am CLT oder an Matousecs Spielzeugkasten, was das HIPS überwacht. Diesselben 3 Versuche habe ich bei jeder neuen Release Version unternommen, keine Änderung. Und herausragende neue Rootkittechniken gab es seit dem nicht.Der Moloch hat geschrieben: Testest du das selbst regelmäßig oder weißt du das aus vertraulichen Quellen? Ich finde solche Informationen hochinteressant.
Am Anfang fand ich das ärgerlich, weil mir das Grunddesign vom ESET HIPS sehr gefällt: Der Kenner könnte damit recht komplexe Regeln erstellen, wie es mit den allermeisten HIPS Lösungen nicht mehr möglich ist. Dann habe ich aber eingesehen, dass es hier gar nicht darum geht irgendein echtes HIPS zu schaffen, weil ESET woanders die Prioritäten setzt. Verständlich! Ergo kann man das Ding im Automodus laufen lassen und hoffen, dass zumindest die Aussage mit den aktuellen Regeln per Update stimmt (das kam ja von den Supportern, die oft einen vom Pferd erzählten ... ). Denn sehen kann man die leider nirgendwo.
Mittlerweile bin ich aber auch geheilt von der Meinung, das klassische HIPSe noch irgendwo eine Zukunft haben. Die Polen hatten letztens irgendwo einen Test mit nicht so komplexer Ransomware (war auch irgendwo auf MT verlinkt) und da war ich ehrlich gesagt erschrocken wie Comodo und die MiniHipse von Spyshelter und Zemana abschnitten