似乎目前就算规则写好了也不能发...

hx1997

好像有点水，不过还是在讨论ESET HIPS嘛
本想等人写好规则给我们下载用的
可是发现注册表规则的问题，可能对发布规则和套用规则造成阻碍

当然我是说RC版，正式版也许会改进许多

现在ESET HIPS注册表规则不支持HKEY_CURRENT_USER和HKEY_CLASSES_ROOT，原因是这两个注册表项其实是不存在的，它们只是系统映射出来的，HKEY_CLASSES_ROOT映射HKEY_LOCAL_MACHINE\SOFTWARE\Classes；而HKEY_CURRENT_USER映射HKEY_USERS\当前登录用户SID
也就是说规则里的HKEY_CURRENT_USER和HKEY_CLASSES_ROOT都要写成它们的实际路径，可是你知不知道HKEY_CURRENT_USER要写成神马？
在我这要写成HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxx这种这么长的形式（x处原本是数字），比HKEY_CURRENT_USER长多了
e.g.: 我这里HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\*需要写成HKEY_USERS\S-1-5-21-1491950412-2009852829-xxxxxxxxxx-500\Software\Microsoft\Windows\CurrentVersion\Run\*才能生效

还有个问题，每个用户的SID都有可能是不一样的，在我这里可以写成HKEY_USERS\S-1-5-21-1111111111-1111111111-1111111111-111，在别人的机子上就不一定是这样了，可能是HKEY_USERS\S-1-5-21-2221122222-2243133422-2221133654-111，而HKEY_CURRENT_USER又一定要写成这种形式，那么我编写出的HKEY_CURRENT_USER规则在你的机子上就不管用了，目前也就无法编出适于所有人系统的HKEY_CURRENT_USER规则，造成注册表防护方面的漏洞

另外对通配符的支持那叫一个差，这也会影响防护（许多巧妙利用通配符的规则无法编写）

还有有没有人试下现在的FD？好像不起作用啊

吐槽完了，有误还请指正

jiao轩

折腾啊…………
NOD就是一神奇的东西

蝉鸣时

现在连导入、导出HIPS规则的功能都木有...

瓜皮猫

蝉鸣时 发表于 2011-6-21 22:11
现在连导入、导出HIPS规则的功能都木有...

你邮件一封送到ESET~

蝉鸣时

三生缘石 发表于 2011-6-21 22:17
你邮件一封送到ESET~

不知道发给哪，总不能发给Sample吧？

瓜皮猫

蝉鸣时 发表于 2011-6-21 22:17
不知道发给哪，总不能发给Sample吧？

eset  V5不是有那个BUG或者建议的反馈网页的嘛
而且V5自带这个功能~

蝉鸣时

三生缘石 发表于 2011-6-21 22:19
eset  V5不是有那个BUG或者建议的反馈网页的嘛
而且V5自带这个功能~

好吧...
不知道会不会收到回复...

瓜皮猫

蝉鸣时 发表于 2011-6-21 22:22
好吧...
不知道会不会收到回复...

应该是这个邮箱support@eset.com
发过去至少会收到一封系统的自动回信~
例如：

Dear Customer,

Thank you for contacting ESET Customer Service. This message is to confirm that we received a service request from you with the following tracking number assigned to it:

#TICKET 45109

You will be contacted by our Technical Support Engineer shortly.

Kind regards,

ESET Customer Service

Aupark Tower, 16th floor,
851 01 Bratislava,
Slovak Republic
www.eset.eu

蝉鸣时

三生缘石 发表于 2011-6-21 22:25
应该是这个邮箱
发过去至少会收到一封系统的自动回信~
例如：

通过网页发送了。

瓜皮猫

蝉鸣时 发表于 2011-6-21 22:32
通过网页发送了。

很快就会收到自动回信的。
不过有没有工程师处理这个问题就不知道了

另外应该需要等几天才有人工回复~