ESET HIPS 路径解析 bug

显示全部楼层 · 发表于 2012-3-29 18:05:21

本帖最后由 hx1997 于 2012-3-29 20:30 编辑

前几天 firefox3 童鞋发现 ESET HIPS 加我的规则不能防御样本区 http://bbs.kafan.cn/thread-1255858-1-1.html 这个帖子的样本写入自启动，于是我测试了一下，不巧发现了 ESET HIPS 路径解析上的一个 bug。（也不知道算不算 bug，顺便感谢下这位 :-) ）

这个样本是写入了开始菜单的“启动”组来自启动的，我的规则中有一条询问规则，写入 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 目录（也就是开始菜单里的“启动”）时会询问。
这条规则的本意当然是想拦截 C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 的写入，
然而 ESET HIPS 在 SYSTEM 帐户下工作，对于 SYSTEM 来说 %USERPROFILE% 指向的目录是 C:\Windows\System32\config\systemprofile，问题就出现了。

ESET HIPS 把 %USERPROFILE% 解析到了 C:\Windows\System32\config\systemprofile，而病毒写的启动项是前者，所以... 没有拦截到。

其他的 HIPS 对于 %USERPROFILE% 都是解析为 C:\Users\xxx 的，也就能正常拦截。

已提交反馈，不知道会否处理。

Dear Customer,

you are right. Because ESET Kernel runs under SYSTEM account, user variables are interpreted this way. This is handled by operating system, so there is nothing we can do about this. You should use direct path in this rule.

Thank you.

亲爱的客户，

你是对的。因为 ESET 内核运行在 SYSTEM 帐户，用户变量会被解释成这样。这是由操作系统处理的，所以我们无能为力。在这条规则中你应该使用绝对路径。

谢谢。

显示全部楼层 · 发表于 2012-3-29 18:20:21

这个应该是ESET的特点，手动添加的窗口添加的规则路径是绝对路径，
比如注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\

ESET是 "ID"\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\

楼主习惯就好了。

显示全部楼层 · 发表于 2012-3-29 18:22:04

细细的票根发表于 2012-3-29 18:20
这个应该是ESET的特点，手动添加的窗口添加的规则路径是绝对路径，
比如注册表HKEY_CURRENT_USER\Software ...

囧，我用 ESET HIPS 这么久，难道还不清楚这个？

我说的完全不是一个东西，请你看仔细，谢谢...

显示全部楼层 · 发表于 2012-3-29 18:26:20

hx1997 发表于 2012-3-29 18:22
囧，我用 ESET HIPS 这么久，难道还不清楚这个？

我说的完全不是一个东西，请你看仔细，谢谢...[:348: ...

看了你说的，ESET的hips手动添加的时候是绝对路径，是你自己改的路径吧。
恭喜你挖到了一个地方。

显示全部楼层 · 发表于 2012-3-29 18:30:41

细细的票根发表于 2012-3-29 18:26
看了你说的，ESET的hips手动添加的时候是绝对路径，是你自己改的路径吧。
恭喜你挖到了一个地方。

不知道是不是我表述能力太差...

总之，普通用户使用的帐户（你自己的用户）
和 ESET HIPS 工作的帐户（SYSTEM）
不同，导致环境变量指向的用户目录不同，ESET HIPS 拦截不到病毒写入普通用户的帐户目录。

显示全部楼层 · 发表于 2012-3-29 18:36:31

hx1997 发表于 2012-3-29 18:30
不知道是不是我表述能力太差...

总之，普通用户使用的帐户（你自己的用户）

看懂了你的表述意思的。ESET的路劲应该是有自己的特色和套路，毕竟ESET才涉足这块。

只是ESET推荐的是绝对路劲，你把其他的hips软件的使用习惯用在了ESET的hips上。eset的hips里规则设置框里可以添加很多条路径规则，只是你喜欢使用一条带通配符的规则罢了。

显示全部楼层 · 发表于 2012-3-29 18:39:55

细细的票根发表于 2012-3-29 18:36
看懂了你的表述意思的。ESET的路劲应该是有自己的特色和套路，毕竟ESET才涉足这块。

只是ESET推荐的是 ...

=w= 也许 ESET HIPS 规则的理念本来就不是那种写给所有人用的，而是给个人自己用的吧。

都写绝对路径那就不可能所有人通用了。

显示全部楼层 · 发表于 2012-3-29 18:50:24

hx1997 发表于 2012-3-29 18:39
=w= 也许 ESET HIPS 规则的理念本来就不是那种写给所有人用的，而是给个人自己用的吧。

都写绝对路径那 ...

可以啊，你备份了ESET的设置文件，那个是XML格式的，用记事本打开，替换用户名，就可以通用了。

看来你比较热心，想共享自己的ESET的规则给大家。

显示全部楼层 · 发表于 2012-3-29 19:00:24

细细的票根发表于 2012-3-29 18:50
可以啊，你备份了ESET的设置文件，那个是XML格式的，用记事本打开，替换用户名，就可以通用了。

看来你 ...

我就是干这个的亲。

http://bbs.kafan.cn/thread-1099006-1-1.html

显示全部楼层 · 发表于 2012-3-29 19:05:20

hx1997 发表于 2012-3-29 19:00
我就是干这个的亲。

http://bbs.kafan.cn/thread-1099006-1-1.html

仰慕一下，亲。

你自己处理吧。

[砖头] ESET HIPS 路径解析 bug

评分

评分