谈谈ESET HIPS最近的改进~

liqing0305

我等待正式版本  毕竟。。。

jiao轩

再扯远点，好像从RC版开始，Get access to another application（访问其他进程）这一项如果阻止了，在日志里不再是"blocked"，而是 "Some access blocked"，也就是部分访问阻止。
个人猜测ESET HIPS在访问权限上做了手脚，这样一来既可以取到进程句柄，又无法拿句柄去做坏事，这一点很好（仅是猜测~）

我觉得关于进程内存只防改不防读会比较恰当（之前打错了……抱歉）
貌似不是防止拿去做坏事……

雨之神

呵呵，等正式版

无垠穹宇

ESET的HIPS还尚未成熟，看看正式版有没有改进

饭统

什么时候可以下载啊

hx1997

jiao轩 发表于 2011-7-8 13:02
只防读不防改会比较恰当
貌似不是防止拿去做坏事……

为什么只防读不防改呢？我说的是访问其他进程啊，怎么防读？不是FD...
现在想想也有可能完全阻止会造成兼容性问题神马的，于是就部分阻止了...

启动项的可能我没说清楚，RC版刚开始时，默认无规则情况下每个修改自启动项的行为都会自动允许并自动弹个框来提示，有用户反映太烦人，于是加了取消无规则时自动提示启动项修改的功能。如果你自己定了规则，设置为“通知用户”，那还是会通知你的

jiao轩

hx1997 发表于 2011-7-8 17:34
为什么只防读不防改呢？我说的是访问其他进程啊，怎么防读？不是FD...
现在想想也有可能完全阻止会造成 ...

打错了……只防改不防读……说的是只防止修改进程内存而不防读取进程内存。

启动项的那个原来是这样……

好久没关注了，你还是蛮关注那个HIPS的嘛

hx1997

jiao轩 发表于 2011-7-8 18:17
打错了……只防改不防读……说的是只防止修改进程内存而不防读取进程内存。

启动项的那个原来是这样… ...

哦，只防改不防读就可以通过限制访问权限实现的啊，所以我说如果是这样会很好
访问一个进程要指定访问权限，访问权限决定了是否能对该进程进行特定操作，比如如果访问权限里没有“结束进程”这个权限，那么就算你取到了句柄也是无法结束进程的，同理，ESET HIPS可以在HOOK里把参数改成只有“读”权限，那么自然就无法“改”啦~

至于为何关注HIPS，是因为本人十分喜欢HIPS，尤其手动~

jiao轩

hx1997 发表于 2011-7-8 18:31
哦，只防改不防读就可以通过限制访问权限实现的啊，所以我说如果是这样会很好
访问一个进程要指定访问权 ...

呵呵，手动的应该是MD那一类~

hx1997

jiao轩 发表于 2011-7-8 18:47
呵呵，手动的应该是MD那一类~

ESET的HIPS也算手动的呀，很喜欢~