Das Avast HIPS ist vollständig in den Dateisystem-Schutz integriert.


Funktionsweise

Momentan konzentriert sich der Schutz durch das HIPS auf die Erkennung von Poweliks-ähnlichen Bedrohungen und einer grundsätzlichen Absicherung der Windows Registrierung. Derzeit beschränkt sich die Funktion auf eine beschränkte Anzahl von Bedrohungen und nicht auf generische. Daher ist die Funktion auch im Dateisystem-Schutz untergebracht und nicht als separates Schutzmodul in der Benutzeroberfläche integriert. Das HIPS beinhaltet ein Teil der Erfahrungen und der Technologie, die früher im Verhaltens-Schutz-Modul enthalten waren, ist aber vom Programmcode her wesentlich leichter aufgebaut.

Es sollte soviel Arbeit wie möglich automatisch durchführen und den Benutzer nicht mit Abfragen überfordern, es sei denn der Benutzer wählt die maximale Sensibilität über die Einstellungen. Automatische Entscheidungen sind nicht immer einfach zu implementieren, daher werden mit dem HIPS Modul zuerst einfachere und später komplexere Anwendungsfälle abgebildet. Da es bei einem HIPS zu Problemen mit Überempfindlichkeit und damit störenden Warnungen kommen kann, wird die Funktion über die nächsten Monate hinweg Stück für Stück erweitert, um so auch das richtige Gleichgewicht zu finden. Der Echtzeit-Schutz der Windows Registrierung ist vermutlich der für den Benutzer sichtbarste Teil des HIPS.

Voraussichtlich wird das HIPS Modul erst in Avast 2016 wirklich zufriedenstellend arbeiten. Es ist geplant, dass bestimmte ausführbare Dateien in eine Whitelist eingepflegt werden, um Nutzer von populärer Software nicht durch Fehlalarme zu stören. Die Whiltelist wird dann von der Avast Engine verwaltet. Im Endeffekt soll nur vor wirklich verdächtigen und schädlichen Aktivitäten gewarnt werden. Bis zum Avast 2016 Release werden noch einige Änderungen in das HIPS einfliessen. Dazu ist jedoch Programm-Update notwendig, da das HIPS eigenständig ist und über das tägliche Signaturupdate aktualisiert werden kann. Mit Avast 2016 sind dann auch feiner Einstellungsmöglichkeiten für die Funktion inder Benutzeroberfläche geplant.

Logging


Die Aktionen des Avast HIPS Moduls werden zusammen mit den anderen Ereignissen des Dateisystem-Schutz in den Logs vermerkt.



Einstellungen

Die Einstellungen des HIPS sind unter Einstellungen -> Aktiver Schutz -> Dateisystem-Schutz -> Anpassen -> Wirkungsgrad -> Verdächtiges Verhalten (HIPS) zu finden.


Der Balken zur Einstellung der Sensibilität des HIPS in den Einstellungen des Dateisystem-Schutz hat momentan eine grobe Granularität und daher ist es wahrscheinlich, dass man zum jetzigen Zeitpunkt nur Unterschiede zwischen dem Minimum und Maximum wahrnimmt.

Die Wahl der höchsten Einstellungen sollte dem Benutzer die maximale Kontrolle über das Zulassen/Blockieren geben. Die mittlere Einstellung nutzt automatische Entscheidungen über die Sensibilität des Schutz für die Windows Registrierung (nicht für Malware-ähnliches Verhalten, dafür existieren separate Regeln).