ESET HIPS Harm 规则（已失效）

显示全部楼层 · 发表于 2011-10-3 11:35:48

本帖最后由 hx1997 于 2016-7-7 19:22 编辑

本规则已不适用于现在版本的 ESET 产品，请勿下载和使用。

使用前最好弄懂the hips of ESET，看下面两帖子，智琛童鞋做出了很大努力，这规则也有他的功劳，感谢他 :)
How to use the hips of ESET
How to use the hips of ESET 拾遗

更新
RC 2.7
1. 规则架构调整。
2. 修复一个规则漏洞。
3. 貌似修复了 Win7 安装补丁的问题。

beta 2.6
1. 防 explorer.exe 加启动项
2. 打开阻止高风险系统程序...

beta 2.5
取消了一些无意义的弹窗较多的规则。
安装程序神马的应该没问题了，杀软之类也可以装，但是会有询问框。

beta 2.4
1. 加强注册表文件关联防御。
2. 增加一些高风险禁运系统程序。
3. 取消 cmd.exe 注册表信任。（防止 assoc 改文件关联）
4. 阻止 cmd.exe 调用自身。（防止无限调用，系统死机神马的）

beta 2.3
1. 调整部分分组。
2. 阻止 rundll32.exe 安装 Temp 目录下的全局挂钩。

beta 2.2
1. SysWOW64 下 32 位 cmd.exe 禁运。
2. 增加 1 处文件防御。（保护 RasPhonePbk 文件）
3. 增加多处注册表防御。（新增部分 HKCU 下的注册表键防护）
4. 取消删除启动项的询问。

beta 2.1
由于更新较大，这一版木有 Word 文档，请重新下载规则覆盖。

注意事项：

1.此规则仅为 RC，可能出现较多问题，请不要在有长辈使用的电脑上用这个规则。（除非你确定他们懂 HIPS）

2.同理，因为是 RC，希望大家反馈问题。

3.不要过分依赖 ESET HIPS，因为目前还不成熟，我的规则也因为通配符等等问题无法写全面。

4.此规则参考了 EQ 区的陷井规则、陷害规则、清爽规则，向其作者飘大、H兄、zhia 表示感谢~~

5.没有 HIPS 使用经验的童鞋不要轻易试用，你们懂的 HIPS 装软件时会很烦。

6.虽然参考了几位高人的规则，但是效果是肯定不等同的（差一些），因为优先级、通配符和没有阻止并结束进程等原因。

7.很多人的规则都有保护重要文档的部分，又是因为万恶的通配符所以我们无法做到，望海涵。

8.导入后最好学习模式重启一下系统。

9.注意导入会将你之前的规则覆盖。

10.压缩包里有个Word文档，是说明这次更新加了哪些规则的，大家可以按照文档自己手动添加规则而不用导入，避免自己打磨的规则丢失...（感谢 chen月童鞋的建议） (不再有效)

11.由于上面这种方法如果更新较大的话手动添加规则很麻烦，所以规则会尽量以小更新发布。

12.待补充...

截图

找几个样本区的毒截个图

呃... TDSS...

规则截图，写得累死人啊！！

CLT测试（Win7，打开ESET防火墙交互模式）

规则导入
呃... 有规则肯定要导入了...
第一次使用要导入，以后可以按压缩包里的文档自行添加规则或者你还是可以直接导入（会覆盖自己打磨的规则）。

怎么导入呢？看此贴，第二部分：
How to use the hips of ESET 拾遗

信任你的程序
你是不是有一些大大小小的程序经常被弹窗？如果你确实信任它们的话，可以将它们排除...

方法同见此帖，第四部分：
How to use the hips of ESET 拾遗

规则文件
下载前还看看这一楼的说明
http://bbs.kafan.cn/forum.php?mo ... &fromuid=490505

RC 2.7

beta 2.6

beta 2.5

beta 2.4

beta 2.3

导入规则后用自动模式即可，反馈一下吧大家...

显示全部楼层 · 发表于 2011-10-3 11:36:14

本帖最后由黄智琛于 2011-10-3 11:38 编辑

辛苦了。
看来我速度不慢

显示全部楼层 · 发表于 2011-10-3 11:36:40

黄智琛发表于 2011-10-3 11:36
我来了

怎么可以这么快 = =
提点意见~

显示全部楼层 · 发表于 2011-10-3 11:38:50

hx1997 发表于 2011-10-3 11:36
怎么可以这么快 = =
提点意见~

注意事项写的比较全。
最好将规则的截图展示一部分

显示全部楼层 · 发表于 2011-10-3 11:40:56

黄智琛发表于 2011-10-3 11:38
注意事项写的比较全。
最好将规则的截图展示一部分

嘻嘻收到，那我就补一张呗。

显示全部楼层 · 发表于 2011-10-3 11:42:04

hx1997 发表于 2011-10-3 11:40
嘻嘻收到，那我就补一张呗。

嘿嘿。将规则精华部分说下。
思路

显示全部楼层 · 发表于 2011-10-3 11:45:16

黄智琛发表于 2011-10-3 11:42
嘿嘿。将规则精华部分说下。
思路

参考别人的会有什么思路啊囧，就是某些小地方是白名单放行，其他询问呗。

显示全部楼层 · 发表于 2011-10-3 11:50:11

hx1997 发表于 2011-10-3 11:45
参考别人的会有什么思路啊囧，就是某些小地方是白名单放行，其他询问呗。

看到规则截图了
ＣＤｉｎｇ

显示全部楼层 · 发表于 2011-10-3 11:52:27

黄智琛发表于 2011-10-3 11:50
看到规则截图了
ＣＤｉｎｇ

等会加一张clt测试的图？

显示全部楼层 · 发表于 2011-10-3 11:57:22

hx1997 发表于 2011-10-3 11:52
等会加一张clt测试的图？

恩啊。
期待

[原创] ESET HIPS Harm 规则（已失效）

本帖子中包含更多资源

评分