查看: 4093|回复: 12
收起左侧

[砖头] ESET HIPS 路径解析 bug

[复制链接]
hx1997
发表于 2012-3-29 18:05:21 | 显示全部楼层 |阅读模式
本帖最后由 hx1997 于 2012-3-29 20:30 编辑

前几天 firefox3 童鞋发现 ESET HIPS 加我的规则不能防御样本区 http://bbs.kafan.cn/thread-1255858-1-1.html 这个帖子的样本写入自启动,于是我测试了一下,不巧发现了 ESET HIPS 路径解析上的一个 bug。(也不知道算不算 bug,顺便感谢下这位 :-) )

这个样本是写入了开始菜单的“启动”组来自启动的,我的规则中有一条询问规则,写入 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 目录(也就是开始菜单里的“启动”)时会询问。
这条规则的本意当然是想拦截 C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 的写入,
然而 ESET HIPS 在 SYSTEM 帐户下工作,对于 SYSTEM 来说 %USERPROFILE% 指向的目录是 C:\Windows\System32\config\systemprofile,问题就出现了。

ESET HIPS 把 %USERPROFILE% 解析到了 C:\Windows\System32\config\systemprofile,而病毒写的启动项是前者,所以... 没有拦截到。

其他的 HIPS 对于 %USERPROFILE% 都是解析为 C:\Users\xxx 的,也就能正常拦截。


已提交反馈,不知道会否处理。

Dear Customer,

you are right. Because ESET Kernel runs under SYSTEM account, user variables are interpreted this way. This is handled by operating system, so there is nothing we can do about this. You should use direct path in this rule.

Thank you.

亲爱的客户,

你是对的。因为 ESET 内核运行在 SYSTEM 帐户,用户变量会被解释成这样。这是由操作系统处理的,所以我们无能为力。在这条规则中你应该使用绝对路径。

谢谢。

评分

参与人数 2人气 +2 收起 理由
蝉鸣时 + 1 版区有你更精彩: )
瓜皮猫 + 1 ~~

查看全部评分

细细的票根
发表于 2012-3-29 18:20:21 | 显示全部楼层
这个应该是ESET的特点,手动添加的窗口添加的规则路径是绝对路径,
比如注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\

ESET是  "ID"\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\

楼主习惯就好了。
hx1997
 楼主| 发表于 2012-3-29 18:22:04 | 显示全部楼层
细细的票根 发表于 2012-3-29 18:20
这个应该是ESET的特点,手动添加的窗口添加的规则路径是绝对路径,
比如注册表HKEY_CURRENT_USER\Software ...

囧,我用 ESET HIPS 这么久,难道还不清楚这个?

我说的完全不是一个东西,请你看仔细,谢谢...
细细的票根
发表于 2012-3-29 18:26:20 | 显示全部楼层
hx1997 发表于 2012-3-29 18:22
囧,我用 ESET HIPS 这么久,难道还不清楚这个?

我说的完全不是一个东西,请你看仔细,谢谢...[:348: ...

看了你说的,ESET的hips手动添加的时候是绝对路径,是你自己改的路径吧。
恭喜你挖到了一个地方。
hx1997
 楼主| 发表于 2012-3-29 18:30:41 | 显示全部楼层
细细的票根 发表于 2012-3-29 18:26
看了你说的,ESET的hips手动添加的时候是绝对路径,是你自己改的路径吧。
恭喜你挖到了一个地方。

不知道是不是我表述能力太差...

总之,普通用户使用的帐户(你自己的用户)
和 ESET HIPS 工作的帐户(SYSTEM)
不同,导致环境变量指向的用户目录不同,ESET HIPS 拦截不到病毒写入普通用户的帐户目录。
细细的票根
发表于 2012-3-29 18:36:31 | 显示全部楼层
hx1997 发表于 2012-3-29 18:30
不知道是不是我表述能力太差...

总之,普通用户使用的帐户(你自己的用户)

看懂了你的表述意思的。ESET的路劲应该是有自己的特色和套路,毕竟ESET才涉足这块。

只是ESET推荐的是绝对路劲,你把其他的hips软件的使用习惯用在了ESET的hips上。eset的hips里规则设置框里可以添加很多条路径规则,只是你喜欢使用一条带通配符的规则罢了。

评分

参与人数 1人气 +1 收起 理由
hx1997 + 1 版区有你更精彩: )

查看全部评分

hx1997
 楼主| 发表于 2012-3-29 18:39:55 | 显示全部楼层
细细的票根 发表于 2012-3-29 18:36
看懂了你的表述意思的。ESET的路劲应该是有自己的特色和套路,毕竟ESET才涉足这块。

只是ESET推荐的是 ...

=w= 也许 ESET HIPS 规则的理念本来就不是那种写给所有人用的,而是给个人自己用的吧。

都写绝对路径那就不可能所有人通用了。
细细的票根
发表于 2012-3-29 18:50:24 | 显示全部楼层
hx1997 发表于 2012-3-29 18:39
=w= 也许 ESET HIPS 规则的理念本来就不是那种写给所有人用的,而是给个人自己用的吧。

都写绝对路径那 ...

可以啊,你备份了ESET的设置文件,那个是XML格式的,用记事本打开,替换用户名,就可以通用了。

看来你比较热心,想共享自己的ESET的规则给大家。
hx1997
 楼主| 发表于 2012-3-29 19:00:24 | 显示全部楼层
细细的票根 发表于 2012-3-29 18:50
可以啊,你备份了ESET的设置文件,那个是XML格式的,用记事本打开,替换用户名,就可以通用了。

看来你 ...

我就是干这个的亲。

http://bbs.kafan.cn/thread-1099006-1-1.html
细细的票根
发表于 2012-3-29 19:05:20 | 显示全部楼层
hx1997 发表于 2012-3-29 19:00
我就是干这个的亲。

http://bbs.kafan.cn/thread-1099006-1-1.html

仰慕一下,亲。

你自己处理吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 10:01 , Processed in 0.149759 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表