ESET NOD32 HIPS 规则包

显示全部楼层 · 发表于 2014-12-30 14:18:06

本帖最后由 tony223322 于 2014-12-30 14:19 编辑

ESET NOD32 HIPS 规则包
看见坛中有人问到: 有没有NOD32 HIPS 规则, 其实 KAFAN 中早就有了. 是為 ESS/EAV 5.0 设的. 但实测可用於5.0戓以上版本
其中KAFAN 中有两个都相当出名的规则, 两位大大分别是 "qqq123123" 及 "hx1997" 的 "3Q(2011-11-16)" 及 "ESET HIPS Harm(2012-3-12)" 规则, 只是太久沉了而. 不过依然是相当强势

3Q: http://bbs.kafan.cn/thread-1100007-1-1.html
Harm: http://bbs.kafan.cn/thread-1099006-1-1.html

因此我做个整合吧

首先是 "hx1997" 大大的 Harm rule (比较详细) -推荐

链接: http://pan.baidu.com/s/1jGqXHI2 密码: 4b4w

更新
RC 2.7 NEW
1. 规则架构调整。
2. 修复一个规则漏洞。
3. 貌似修复了 Win7 安装补丁的问题。

beta 2.6
1. 防 explorer.exe 加启动项
2. 打开阻止高风险系统程序...

beta 2.5
取消了一些无意义的弹窗较多的规则。
安装程序神马的应该没问题了，杀软之类也可以装，但是会有询问框。

beta 2.4
1. 加强注册表文件关联防御。
2. 增加一些高风险禁运系统程序。
3. 取消 cmd.exe 注册表信任。（防止 assoc 改文件关联）
4. 阻止 cmd.exe 调用自身。（防止无限调用，系统死机神马的）

beta 2.3
1. 调整部分分组。
2. 阻止 rundll32.exe 安装 Temp 目录下的全局挂钩。

beta 2.2
1. SysWOW64 下 32 位 cmd.exe 禁运。
2. 增加 1 处文件防御。（保护 RasPhonePbk 文件）
3. 增加多处注册表防御。（新增部分 HKCU 下的注册表键防护）
4. 取消删除启动项的询问。

beta 2.1
由于更新较大，这一版木有 Word 文档，请重新下载规则覆盖。

其次是 "qqq123123" 大大的 "3Q" 规则
更新内容请着原贴
链接: http://pan.baidu.com/s/1i35mVw5 密码: byui

参考他们的规则我就做了一个整合版的, 即是 "3Q"+"Harm" 够强了吧

链接: http://pan.baidu.com/s/1o6sl5nO 密码: 72sj

最后做一个说明因為都用了好一段时间,因此我自己都加了一些学习的规则: 例如许可360的大部入动作. 如要统洁版请到原贴下载.

规则导入/导出

ESET HIPS的规则文件位置：

XP / NT 5.x
%ALLUSERSPROFILE%\Application Data\ESET\ESET Smart Security\HipsRules.xml
%ALLUSERSPROFILE%\Application Data\ESET\ESET Smart Security\HipsRules.bin

Vista / 7 / NT 6.x
%ProgramData%\ESET\ESET Smart Security\HipsRules.xml
%ProgramData%\ESET\ESET Smart Security\HipsRules.bin

导出
把上述文件复制出来就行了。

导入
把已导出的规则文件覆盖回上述位置即可。

比如说我做好一份规则，其他人要导入，只需把我电脑上的上述两个文件覆盖到其他人电脑里相同位置即可。
覆盖完成后，需要重启ekrn.exe或者重启电脑。
用ARK把ekrn.exe结束掉，然后它会自动重启，等待它重启并初始完成，再打开规则管理看看，规则就已经被导入了。

关于内置规则

The hips of ESET 的内置规则目前分为两部分，一是SelfDefense(自我保护)，二是启动项设置。内置规则优先级是大于自编规则的。

目前看到的内置规则如下

SelfDefense系列测试

2011/10/2 19:08:33       C:\Windows\System32\taskmgr.exe       获取其他应用程序的访问权       C:\Program Files\ESET\ESET Smart Security\egui.exe       阻止一些访问       SelfDefense: 保护 ekrn 和 egui 进程       终止/暂停其他应用程序

2011/10/2 19:09:06       C:\Windows\explorer.exe       获取文件访问权       C:\ProgramData\ESET\ESET Smart Security\HipsRules.xml       阻止一些访问       SelfDefense: 保护 ESET 文件       删除文件

2011/10/2 19:09:38       C:\Windows\regedit.exe       修改注册表       HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info\新值 #1       已阻止       SelfDefense: 注册表具有完全保护

2011-10-2 14:07:55       C:\systemsvc\2E4F34C5B3B.exe       修改其他应用程序的状态       C:\WINDOWS\system32\winlogon.exe       已阻止       SelfDefense: 不允许修改系统进程

启动项系列测试

2011-10-1 19:25:04       C:\WINDOWS\system32\reg.exe       修改启动设置       HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\system32       已阻止       040.Autoruns

原贴: http://bbs.kafan.cn/thread-1099006-1-1.html

显示全部楼层 · 发表于 2014-12-30 16:19:38

这个不错，先收藏了

显示全部楼层 · 发表于 2014-12-30 19:53:35

8.1 这两文件替换不了

显示全部楼层 · 发表于 2014-12-30 21:27:12

luope 发表于 2014-12-30 19:53
8.1 这两文件替换不了

Try SafeMode

显示全部楼层 · 发表于 2014-12-30 22:08:14

好帖收藏备用

显示全部楼层 · 发表于 2014-12-31 04:51:11

win8.1可不可以用，好像是适合win7的

显示全部楼层 · 发表于 2014-12-31 12:30:44

我里个去！我替换这两个文件，替换不啦，进安全模式替换了，结果开不了机了，无法启动啦！不知道啥原因，最后安全模式下把eset卸载了，才正常唉！

显示全部楼层 · 发表于 2014-12-31 14:33:28

话说ESET官方不能搞一个规则包出来吗？非要让用户自己添加。

显示全部楼层 · 发表于 2014-12-31 18:35:35

fengliuyedao 发表于 2014-12-31 12:30
我里个去！我替换这两个文件，替换不啦，进安全模式替换了，结果开不了机了，无法启动啦！不知道啥原因，最 ...

跟我一样开不了机，哈哈，我是删除了哪两文件

显示全部楼层 · 发表于 2014-12-31 18:36:27

这个规则包楼主适过吗？开不了机，不知道要坑多少人

[转帖] ESET NOD32 HIPS 规则包