How to use the hips of ESET 拾遗

智琛

How to use the hips of ESET 拾遗

此文为How to use the hips of ESET的续集
在查看本帖之前请先看此贴http://bbs.kafan.cn/thread-1039113-1-1.html
首先感谢小h

一：规则写法

对于 源应用程序
可以使用环境变量，但是不能使用通配符。

允许的写法
%ProgramFiles%\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

不允许的写法
C:\Program Files\*.exe

对于 目标
可以使用环境变量和通配符，但注意通配符的限制。（通配符 * 不能通配 \ 以及其他的限制）

AD & FD
允许的写法
C:\WINDOWS\regedit.exe
C:\WINDOWS\*.exe
%windir%\*.exe

不允许的写法（基本来说，通配符只能放末尾）
C:\*\*.exe
C:\*\*
C:\Documents and Settings\*\桌面\*
……

RD
允许的写法
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run\*
HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\SYSTEM\Services\*\Parameters\ServiceDll

不允许的写法（不可以用简写）
HKLM\Software\Microsoft\Windows\Run\*
HKEY_LOCAL_MACHINE\system\ControlSet*
HKCU
HKEY_CURRENT_USER
HKCR
HKEY_CLASSES_ROOT

ESET HIPS目前暂时不支持HKEY_CURRENT_USER和HKEY_CLASSES_ROOT这两种写法。

HKEY_CLASSES_ROOT必须写成HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_CURRENT_USER必须写成HKEY_USERS\当前用户SID。
具体可以打开注册表编辑器，展开HKEY_USERS根键，应该可以看到以下几项
.DEFAULT
S-1-5-18
S-1-5-19
S-1-5-20
S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx(x是数字，每个人电脑上的都不一样)
S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx_Classes

其中S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx就是你的SID.(按你的注册表里的名字来)


二：规则导入/导出

ESET HIPS的规则文件位置：

XP / NT 5.x
%ALLUSERSPROFILE%\Application Data\ESET\ESET Smart Security\HipsRules.xml
%ALLUSERSPROFILE%\Application Data\ESET\ESET Smart Security\HipsRules.bin

Vista / 7 / NT 6.x
%ProgramData%\ESET\ESET Smart Security\HipsRules.xml
%ProgramData%\ESET\ESET Smart Security\HipsRules.bin

导出
把上述文件复制出来就行了。

导入
把已导出的规则文件覆盖回上述位置即可。

比如说我做好一份规则，其他人要导入，只需把我电脑上的上述两个文件覆盖到其他人电脑里相同位置即可。
覆盖完成后，需要重启ekrn.exe或者重启电脑。
用ARK把ekrn.exe结束掉，然后它会自动重启，等待它重启并初始完成，再打开规则管理看看，规则就已经被导入了。

三：关于内置规则

The hips of ESET 的内置规则目前分为两部分，一是SelfDefense(自我保护)，二是 启动项设置。内置规则优先级是大于自编规则的。

目前看到的内置规则如下，欢迎补充。

SelfDefense系列测试

2011/10/2 19:08:33        C:\Windows\System32\taskmgr.exe        获取其他应用程序的访问权        C:\Program Files\ESET\ESET Smart Security\egui.exe        阻止一些访问        SelfDefense: 保护 ekrn 和 egui 进程        终止/暂停其他应用程序

2011/10/2 19:09:06        C:\Windows\explorer.exe        获取文件访问权        C:\ProgramData\ESET\ESET Smart Security\HipsRules.xml        阻止一些访问        SelfDefense: 保护 ESET 文件        删除文件

2011/10/2 19:09:38        C:\Windows\regedit.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info\新值 #1        已阻止        SelfDefense: 注册表具有完全保护       

2011-10-2 14:07:55        C:\systemsvc\2E4F34C5B3B.exe        修改其他应用程序的状态        C:\WINDOWS\system32\winlogon.exe        已阻止        SelfDefense: 不允许修改系统进程  

启动项系列测试

2011-10-1 19:25:04        C:\WINDOWS\system32\reg.exe        修改启动设置        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\system32        已阻止        040.Autoruns   


四：如何信任程序

步骤：如果要信任某一个程序的话，新建一条规则，起个名字，操作选择允许，源应用程序选择你要信任的程序，确定即可。

图示：
下面只是举个图解的例子，只是做例子而已，IE是绝对不能完全信任的。







此贴如有疏漏之处，还望各位海涵，并指正问题及时更正，后续会更新。

智琛

占楼以备更新日志。

白瑾怀

看得我一头雾水啊

wwdboy

进来学习，虽然没搞懂

demonshute

这个太高深了，弄不懂

青蛙傻傻

继续MD。。。
等待ESET的HIPS慢慢成长
话说。。对环境变量不是很熟悉。。感觉还是通配符顺手。。

超现实主义

来学习一下，我也看不懂。

智琛

青蛙傻傻 发表于 2011-10-2 22:14
继续MD。。。
等待ESET的HIPS慢慢成长
话说。。对环境变量不是很熟悉。。感觉还是通配符顺手。。

环境变量很简单，就是写规则是识别系统环境。
运行cmd，在Dos窗口输入：SET 而不加参数，可以显示Windows当前的环境变量。

青蛙傻傻

黄智琛 发表于 2011-10-2 22:33
环境变量很简单，就是写规则是识别系统环境。
运行cmd，在Dos窗口输入：SET 而不加参数，可以显示Window ...

受教了。。
要好好研究呢。。

智琛

青蛙傻傻 发表于 2011-10-2 22:36
受教了。。
要好好研究呢。。

前面那个教程吃透了么？