ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）

qftest

This one is for real Geeks – now you can customize the behavior of the system in greater detail: specify rules for the system registry, active processes and programs, and fine-tune your security posture.                                                                                                ——by ESET.

LZ假设本帖读者是“real Geeks”或已阅读理解 http://bbs.kafan.cn/thread-1039113-1-1.html 、http://bbs.kafan.cn/thread-1098646-1-1.html


在规则编辑过程中，须知优先级：
自保规则->自定义规则
路径规则->通配符规则->全局规则
阻止->允许->询问


一、语法初试：

win7x64 pro+EEA5.0


在本帖中，“错误”指ESET提示规则语句错误、“无效”指ESET虽无提示错误但实际上规则无效、“正确”指语句符合规范且生效


1、通配符 ？、* 与 *.*
（a）在 AD&FD中，？是无效的，* 等同于*.*，需要注意的是类似于*.exe或exe.*及exe*.*是无效的，而且不能错误放置于路径中段
无效：D:\????\*.*
错误：D:\*\*.*
无效：D:\test\*.exe
无效：D:\test\exe.*
无效：D:\test\exe*.*
正确：D:\test\*
正确：D:\test\*.*

（b）在RD中，不能有*.*，且 * 在中段只能代指单级键值、在末段可代指当前级键值及后级键值
错误：HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*.*
正确：HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
正确：HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*


2、不是所有的系统变量都有效
无效：%TMP%
正确：%TMP%\*
正确：%TEMP%\*.*
正确：Z:\TEMP\*.*

无效：%USERPROFILE%\AppData\Local\Temp\*.*
正确：C:\Users\qftest\AppData\Local\Temp\*.*


3、在RD中，还有一些值得注意的地方

无效：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\*
正确：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*

无效：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\IPSec\Policy\Local\*
无效：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local*
正确：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
正确：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*


4、此外，在x64系统中如果保护了主键，相应的Wow6432Node键值会自动得到保护，于是此情况下一条规则便可保护两条键值
例如：
增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\*


增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\*


增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*


5、ESET hips不支持类似于\Device\HarddiskVolume1 的设备卷名自定义写法


6、FD规则中"删除文件/写入文件"的“文件”是指普通文件对象，不包括“文件夹”对象，这一点需要特别注意！
http://bbs.kafan.cn/thread-2053976-1-1.html


7、RD规则可以阻止删除、修改已有的注册表项及键值，也能阻止创建新的键值，但RD规则不能阻止创建新的注册表“项”


二、规则强化：



1、FD规则
实验发现，ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹，因此楼主认为有必要添加相应规则

全局询问：强化文件夹保护
C:\Users\qftest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\qftest\Desktop\*.*


2、AD规则
VSE默认规则中有一条非常重要的规则是防止从Temp系统临时文件夹运行文件，而这恰恰是ESET hips缺失的部份，楼主认为有必要移植过来

全局询问：防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\qftest\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\qftest\Local Settings\Temp\*.*
C:\Users\qftest\AppData\Local\Temp\*.*
%windir%\temp\*
%TMP%\*


ESET hips防注入非常优秀，单独为其建立规则能够得到专门的通知和日志记录，便于测试和分析

全局询问：防注入
源及目标：所有
勾选“修改应用程序状态”


3、RD规则
基于某个朴素的认识，楼主从PCHunter和Autoruns提取了HIPS未保护的重要注册表项

全局询问：强化注册表保护
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*
HKEY_USERS\*\Software\Policies\Microsoft\Internet Explorer\Control Panel\*
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\*

三、结语：
ESET hips虽然监控灵敏、防注入强悍，但是没有“安装模式”和“结束进程”功能，而且不能自动归类分组，不能不说是一大遗憾希望将来有所改进

附录：ESET hips官方反勒索规则   https://www.youtube.com/watch?v=Mu25uj1Ou2A

官方反勒索规则1：禁止脚本解释器启动其他程序
阻止
源应用程序：
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe

操作：启动新应用程序
目标应用程序：所有


官方反勒索规则2：禁止 explorer.exe 执行脚本解释器
阻止
源应用程序：C:\Windows\explorer.exe

操作：启动新应用程序
目标应用程序：
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe



官方反勒索规则3：禁止 office 执行高危脚本
阻止
源应用程序：C:\Program Files (x86)\Microsoft Office\OFFICE11\WINWORD.EXE
——(LZ自用word2003，此处仅作为范例，读者应根据自身情况调整规则)




操作：启动新应用程序
目标应用程序：
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\windows\system32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\windows\system32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe



官方反勒索规则4：禁止 regsvr32.exe 执行高危脚本
阻止
源应用程序：
C:\windows\system32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe

操作：启动新应用程序
目标应用程序：
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe



官方反勒索规则5：禁止 mshta.exe 启动其他程序
阻止
源应用程序：
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe

操作：启动新应用程序
目标应用程序：所有



官方反勒索规则6：禁止 rundll32.exe 执行高危脚本
阻止
源应用程序：
C:\windows\system32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe

操作：启动新应用程序
目标应用程序：
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe



官方反勒索规则7：禁止 powershell.exe 启动其他程序
阻止
源应用程序：
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

操作：启动新应用程序
目标应用程序：所有

qftest

renyifei 发表于 2016-8-26 10:04
楼主的规则我写了一下，集成到设置里，有需要的朋友直接导入即可

@qftest

我个人是不太建议直接导入别人的规则。。
规则这东西个性化太强，用来参考比较好，如果不会甄别排除的话会比较麻烦
而且ESET的设置文件并不通用，比如EEA和EAV虽然设置导出后都是xml文件，但是不能互导即用

renyifei

写的好，我会在指南里引用，好吗？

lkytal

许多安装程序都会从Temp启动程序, 到不如不做干涉

qftest

renyifei 发表于 2016-8-18 20:33
写的好，我会在指南里引用，好吗？

可以呀

qftest

lkytal 发表于 2016-8-18 20:39
许多安装程序都会从Temp启动程序, 到不如不做干涉

包括许多流氓软件后台安装
以及利用IE命令行后台下载静默安装的灰色程序

renyifei

qftest 发表于 2016-8-18 20:44
包括许多流氓软件后台安装
以及利用IE命令行后台下载静默安装的灰色程序

还不如直接封堵所有的入口，等要装软件时再关闭hips，我就是这样

qftest

renyifei 发表于 2016-8-18 21:20
还不如直接封堵所有的入口，等要装软件时再关闭hips，我就是这样

不需要，询问temp就可以
关闭hips需要重启
如果要做到封堵入口，那么只需置顶一条全局询问规则即可，或者应用“基于策略”模式（禁运）大量排除等着你
在我用过的HIPS和Anti-exec中，ESET算是安全与易用方面平衡较好的了

renyifei

qftest 发表于 2016-8-18 21:29
不需要，询问temp就可以
关闭hips需要重启
如果要做到封堵入口，那么只需置顶一条全局询问规则即可，或 ...

我习惯这样了，觉得不错，也许是我太在意安全性(biantai)了吧！我不禁加了全局，还对许多敏感区域特殊对待

asuracryin

请问阻止程序a启动除程序b以外的其他程序要怎么写？分为2条，1条阻止a运行所有，1条允许a运行b会有效吗？

qftest

renyifei 发表于 2016-8-18 21:53
我习惯这样了，觉得不错，也许是我太在意安全性(biantai)了吧！我不禁加了全局，还对许多敏感区域特殊对 ...

这让我想起VSE，那个“阻止对所有共享资源的读写访问”可能更适合你的口味，VSE不是怕注入么，正好让ESET配合一下，无敌了哈哈