查看: 136110|回复: 360
收起左侧

[原创] How to use the hips of ESET(已经添加PDF网盘下载地址)

  [复制链接]
智琛
发表于 2011-7-27 18:40:21 | 显示全部楼层 |阅读模式
本帖最后由 黄智琛 于 2011-11-22 14:49 编辑

关于ESET V5的HIPS。以ESS V5 RC 5.0.84.0英文版为载体写这篇文章。貌似很久没写过原创的文章了,也很久不去处理ESET的问题了,曾经在vc52上发的那篇V4设置贴,现在看看官方已经把默认设置和那个帖子高度一致了,不晓得是应该或喜或悲,看来ESET官方总是言语虽少,行动够够迅速。希望这篇文章对各位能有所帮助。

首先要说明ESET V5的beta版本和RC版本的HIPS出入很大,而正式版估计和RC版差别不大,所以就以RC说明。

由于我个人使用的是ESS RC 5.0.84.0英文原版写的教程,即便是麦大的汉化版暂时也没办法完全汉化,所以在您看此贴之前如果对ESET V5的HIPS中的英文不太清楚的话,建议请先看http://bbs.kafan.cn/thread-1038118-1-1.html
本文写给新手做参考,依据个人经验进行编写,文中错误之处,请大家多多批评指正。

我的ESS V5 RC 5.0.84.0的HIPS模块已更新至最新,如图:

下面就切入正题了。

此教程分6个部分。
一:了解ESET V5的HIPS(基本介绍),基本清楚HIPS的每个模式的效果及部分细则
二:列举实例解析学习模式,简单对学习模式进行调整
三:高级进阶-交互模式
四:如何选择各种模式。关于自动模式,交互模式,基于策略模式选择解释
五:修改完善,继续深入打磨
六:总结及注意事项

提醒:WIN7 64位下ESET没有HIPS功能。(感谢沁妍提醒。)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 13经验 +50 魅力 +2 人气 +18 收起 理由
吾与谁归 + 2 版区有你更精彩: )
hx1997 + 5 啦 最后一枚 6枚啦~
找不到新用户名 + 2 都忘记这个了
蝉鸣时 + 20 版区有你更精彩: )
gsl9583306 + 1 版区有你更精彩: )

查看全部评分

智琛
 楼主| 发表于 2011-7-27 18:49:03 | 显示全部楼层
本帖最后由 黄智琛 于 2011-7-30 22:14 编辑

一:了解ESET V5的HIPS(基本介绍),基本清楚HIPS的每个模式的效果及部分细则
ESET V5的HIPS如何用?这是个问题,因为不仅仅取决于你的安全需要。因为ESET的HIPS是V5刚刚起步的,所以如果选择交互模式弹窗较多,其它的无力吐槽。这个目前的AD和FD的可选项也不多,RD由于通配符的原因,所以基本不能很完善,所以ESET V5的HIPS只是起到辅助的作用,也就是说也要多个模块相辅相成,才能将ESET V5 的HIPS功能最大化。
    那该如何选择模式和设置呢?稍后为您揭秘。其实就是把程序的规则按照自己的需要进行调整设置。    鉴于ESET的HIPS的不完善性,所以对于全局规则之类的必须放在最后处理。


帮助文档中对于HIPS的介绍以及说明:

高级设置

下列选项可用于调用和分析一个程序的行为:

记录所有已阻止的操作 - 所有被阻止的操作会写入HIPS日志。

在没有自定义规则时,允许更改注册表的应用程序部分(默认选中) 这个选项可以拒绝程序写入 Windows 注册表。

HIPS规则管理

HIPS中用户自定义的或系统自动创建的规则列表。

单击 新建... 或 编辑... 创建一条新规则或者编辑现有规则。


编辑规则

名称 - 用户自定义的或系统自动生成的规则名称。

动作 - 符合规则条件时执行的动作 - 允许,阻止或询问。
规则激活 - 如果您想保留列表中的规则但不使用它,取消这个复选框。
日志 - 如果选中这个复选框,触发此规则时详细信息会被写入HIPS日志。
通知用户 - 当一个事件触发时出现在右下角的气泡通知窗口。
规则由三部分组成,它们指定了触发此规则的条件。
源程序 - 当事件由这个程序触发时才使用规则。单击 添加... 来添加新文件,文件夹或注册表键。
目标文件/程序/注册表 - 当操作应用到这个目标时才使用规则。
操作 - 规则仅作用于这种类型的操作和选择的目标。选中复选框来选择操作,或者您可以选择 使用所有操作 选项。
重要操作的说明:

目标文件:

如图:

设置全局钩子 - 程序调用SetWindowsHookEx函数。
加载驱动 - 在系统中安装并使用驱动程序。
目标程序
创建进程 - 启动一个新程序。
调用 - 将调试器附加到程序。
挂起进程 - 挂起或恢复一个进程(可以在Process Explorer中使用这个功能)。
结束进程 - 结束一个进程(可以在任务管理器的进程标签中使用这个功能)。


目标注册表:
目标注册表
更改启动设置(帮助无说明)
重命名键 - 重命名注册表键。
修改注册表 - 在注册表键中创建新值,或修改已有值。
删除注册表 - 删除注册表键或值。

如果源程序或目标程序其中一个是留空的,就代表“所有”(这条规则将作用于所有程序,所有操作...)
注意:输入目标时,您可以使用通配符,但有一些限制。您可以使用 * 来匹配任意注册表路径。例如,HKEY_USERS\*\software 可以代表 HKEY_USER\.default\software 但却不能代表 HKEY_USERS\S–1–2–21–2928335913–73762274–491795397–7895\.default\software。
HKEY_LOCAL_MACHINE\system\ControlSet* 不是一个有效的注册表路径,带有 \* 的注册表路径可以代表“这个路径,或者此路径的下级路径”。这是输入文件目标时使用通配符的唯一原则。首先,带有精确路径的规则先被匹配,然后才是带通配符(*)路径的规则。

添加程序/注册表路径
通过单击 选择文件... 来选择程序路径。选择的是文件夹时,所有这个文件夹里的程序都包括在内。
运行 注册表编辑器... 按钮将启动 Windows 注册表编辑器 (regedit) 。添加注册表路径时,请输入正确的路径到 值 文本框里。
文件或注册表路径示例:
C:\Program Files\Internet Explorer\iexplore.exe
HKEY_LOCAL_MACHINE\system\ControlSet

感谢小h翻译。

以下是我个人对于每个模式的理解:
注:经多次实验后得出如果AD全局规则设置为询问的话,无论什么规则都会有弹窗跳出,即不论选择自动模式还是学习模式都会有弹窗,而且是在原来规则已有的基础上仍会有弹窗,这个是ESET的HIPS很好很强大的地方。如图:

此图最上方有一个黄色的问号,即询问

这个时候我选择的是学习模式,但是仍有弹窗跳出提醒,而且这个全局规则很简单,只需要设置Ask(询问)即可。这个只是提前声明,全局规则最好放到其他规则完善之后再写,并要在其详细规则中设置好需要排除的东西。欢迎大家实验。
即学习模式的操作顺序是:规则,创建允许规则
自动模式的是:规则,允许

所以说这两模式都是以规则为优先的

首先说的是默认选择的模式是自动模式(基于规则)。官方说默认是有内置规则的,但是普通用户并不能看到,更不别说对这些规则加以编辑了。这一点实在是让人难以接受,既然是有规则为何不让用户看到呢?而且在使用默认的自动模式时候和原来的V4.2几乎是差不多的主防效果。囧

我个人推荐先使用学习模式一周至两周。话说其学习模式默认就是14天后过期通知。在使用学习模式的时期内,建议大家对电脑中的常用软件进行所有应用操作,如果能将所有的软件的应用操作的话,估计这些天会比较累,但是以后将学习模式换为其它模式估计弹窗也不会很多。但是学习模式有弊端,需要再调整,详情将在3L揭开。

策略模式,这个是学习模式完成后使用这个模式最好,具体木啥可解释的。

交互模式,很好很强大。这弹窗不少,可以试些小毒。但是由于架构和功能尚不完善,所以不建议试毒。但是防读写很不错的。有兴趣的朋友可以玩玩。详情见4L

动手之前先做个简明的分析:

        1、The hips of ESET是如何监控的?

      一切HIPS都是依据规则进行判断和过滤的,虽然ESET的HIPS刚刚起步,但是也不例外,。请打开HIPS的界面上的配置规则,这里面是the hips of ESET规则的核心和设置储备地。一切程序行为的判断都是以这里面的规则为依据的。当一个程序行为发生,如果处于the hips of ESET的监控范围内,the hips of ESET就会调用这里面的规则来加以比对和执行——有规定的就按规定处理,无规定的由全局规则处理,如果没有全局规则就将会出现弹窗(不过这是在交互模式下,但是如果没有设置全局规则且在自动模式或者学习模式下可能会生成,也可能不能成功运行该程序)。所谓全局规则,就是我在开始的时候那张询问规则的图上表示的那样,the hips of ESET的优先级目前不是很明确,但是目前就个人的测试来看,Block>Allow,测试方法简单说下:我找了一个搜索资源的软件,将值设置为空白    分别设置两个规则,一个启动新程序设置为Block,另一个设置为Allow.因为该软件找到资源后可以右键直接使用迅雷下载,所以我将启动新程序具体设置为Thunder.exe,并先创建阻止的那个规则,将允许的后创建,因为The hips of ESET目前是根据Name即值的英文字母顺序排序的,所以我这样创建规则,但是右键仍不能调用迅雷,我在规则设置出勾选了记录日志,所以日志显示为2011-7-28 12:08:17        E:\XP用\P2P搜索\p2psearcher\P2pSearcher.exe        Start new application        E:\XP用\Thunder\Program\Thunder.exe        blocked,我共试验了了三次,2011-7-28 12:07:04        E:\XP用\P2P搜索\p2psearcher\P2pSearcher.exe        Start new application        E:\XP用\Thunder\Program\Thunder.exe        blocked               
不得不承认,优先级很诡异。至少目前得出了Block>Allow的结论。关于那个Name的自动排序问题,有个小技巧可以解决,即在你所要输入的Name值前加入数字即可。O(∩_∩)O~。
由于现在我这儿上图太慢,晚上上图演示。The hips of ESET的全局规则设置很简单,不需要通配符*,直接新建一个规则将权限设置为询问即可。空白代表任何程序,所以它是对所有程序都起作用的规则。这样,当the hips of ESET调用这条规则来进行判断的时候,就会弹出询问窗口给用户选择。当用户勾选弹窗上的“创建规则(the hips of ESET默认是不勾选的,如果只是安装程序时的临时规则,可勾选下面的暂时记住)。
如图:


2.The hips of ESET的规则优先级的试验与总结

经过试验,最终得出了在精准规则下的优先级是怎样的
即Block>Allow>Ask
Ask在如果有拦截和运行的精准规则下是被忽略的,如果这两项规则没有的话,才会有弹窗提醒。
如果将规则设置为ASK ALLOW BLOCK的话,仍然先执行BLOCK
然后拆除Block试试看,即只有ASK和ALLOW的话,ASK同毛豆是被忽略的,即可以执行Thunder.exe
最后将ALLow也拆除,看看询问有效没  果然,有个弹窗出来了
上图:



还是将某软件启动一个新程序Thunder.exe分别设置三个规则
日志:2011-7-28 18:05:43 E:\XP用\P2P搜索\p2psearcher\P2pSearcher.exe Start new application E:\XP用\Thunder\Program\Thunder.exe blocked 3 test
2011-7-28 18:09:41 E:\XP用\P2P搜索\p2psearcher\P2pSearcher.exe Start new application E:\XP用\Thunder\Program\Thunder.exe allowed 1 test

以上只是在精准规则下的优先级,因为通配符不完善,我暂时无法测试得出。
在精准匹配规则下,无论你将任意一个程序移动至任何一个位置(其实根本没办法移动),the hips of ESET总是自动搜索匹配的精准规则,且Block>Allow>Ask,对于大家很关心的而且是对于一个HIPS来讲很重要的通配符功能,我实在是无力吐槽,因为试验了几次,均未果。目前,在FD功能上暂不支持通配符。

大家应该注意一点小问题,在我这儿和小h那儿都有此功能。在使用学习模式时将模式切换为交互模式,如果在切换为其它模式的话,将会制定一个全局询问的规则,这个有待验证,希望各位没出现的话,跟帖留言或者PM我。如果大家的学习模式还没学习完的话,请一定要记住拆除这个规则。

精确规则的优先级>全局规则的优先级。而全局禁止>全局允许(不可用)>全局询问

3.一起来认识the hips of ESET的弹窗
启动新程序
说明:也是望文生义的,启动新进程。
例子:CreateProcess、CreateProcessAsUser
作用:启动一个程序。
对应:EQ中的“运行应用程序”。


读取文件也可以译为获取文件的访问权限(这个官方说RC是取消了的,但是依旧会有,木办法)
提醒:the hips of eset 实际上是不拦读取文件的,但是写入和删除文件时,会显示操作是读取文件,下面那行粗字就是告诉你程序实际要干嘛的

看起来是读取文件,实际上粗字才是程序试图进行的操作:写入文件

修改注册表

删除注册表

安装全局钩子

删除文件

直接访问磁盘

加载驱动

Debugging another application(调试其它程序,经试验并非尝试加载,或调用。见图。不过详情待正式版)
Debugging another application
说明:使用调试系列的函数操作其他进程时会触发这个。
例子:DebugActiveProcess、DbgUiDebugActiveProcess
影响:调试其他程序可能导致程序崩溃、挂起、行为异常等。


结束/挂起其他程序
说明:看字面意思就知道,结束/挂起其他程序。(注意,此项目仅拦截直接结束/挂起程序的行为,间接结束/挂起的不算,比如让程序崩溃不在拦截之列;进程和线程的结束挂起都会拦截)
例子:TerminateProcess、NtSuspendProcess
影响:结束一个进程/线程,或者暂停一个进程/线程的活动,这样进程/线程就无法进行任何操作。如果结束了关键线程,则所属进程可能崩溃。
对应:EQ中的“结束/挂起进程”和“结束/挂起线程”。


修改其他程序状态
说明:试图注入PE文件到其他程序、设置线程上下文时会触发这个,总之就是操作其他程序就触发。将一个程序附加到作业对象时也触发此项。(目前不防读程序内存,尚不明确插APC是否拦截)
例子:WriteProcessMemory、CreateRemoteThread、AssignProcessToJobObject
影响:修改其他程序状态可能导致程序崩溃、挂起、行为异常、无法完成原有功能等。
对应:EQ中的“修改其它进程内存”和“创建远程线程”。


修改启动项设置


4.The hips of ESET需要注意的一些地方,或者说是需要广大HIPS用户适应的
对于ESET的HIPS的通配符的一点试验和总结
①关于二次目录
二次目录则是在一个盘符下直接新建一个文件夹后在这个文件夹内再建一个文件夹
一次目录是在一个盘符下直接新建一个文件夹
根目录—— 一级目录——二级目录
eg:
F:\a                              这是一次
F:\a \新建文件夹            这是二次目录
ESET的HIPS经试验
F:\新建文件夹\*可以
F:\*\*不行
②如果源程序或目标程序其中一个是留空的,就代表“所有”(这条规则将作用于所有程序,所有操作...)
注意:输入目标时,你可以使用通配符,但注意一些限制。你可以使用*来匹配精确注册表路径。例如,HKEY_USERS\*\software可以代表HKEY_USER\.default\software但却不能代表HKEY_USERS\S–1–2–21–2928335913–73762274–491795397–7895\.default\software。
HKEY_LOCAL_MACHINE\system\ControlSet*不是一个有效的注册表路径,带有\*的注册表路径可以代表“这个路径,或者此路径的下级路径”。这是在输入文件目标时使用通配符的唯一原则。首先,精确路径先被计算,然后才是通配符*后的路径。
也就说如果想要设置全局可以不输入*,留空也被认为是全局,即所有

初稿,后续排版及新内容会持续更新
大致的轮廓就是这样,在我们制作规则和实施管理时,不要忘记了这些关系。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
智琛
 楼主| 发表于 2011-7-27 18:50:03 | 显示全部楼层
本帖最后由 黄智琛 于 2011-7-30 07:35 编辑

二:列举实例解析学习模式,简单对学习模式进行调整

      大家当时都抱着对ESET的HIPS无比期待的情况下用了ESET V5,可是没想到内置的自动模式连规则自己都看不到,朋友会感到很失望吧?但是,还好的是它有设置其它的模式,鉴于目前的交互模式的弹窗太多,所以现在看来,先使用学习模式,然后在对学习模式进行修改,调整,是比较容易得到一个相对来讲将ESET的HIPS功能的权衡安全与易用的方法。
      
      当然,ESET的学习模式是怎样的呢?生成的规则安全不安全呢?经过一段时间的试验之后,我发现ESET的HIPS的学习模式的几个特点:

1.和毛豆的干净PC模式相同,使用the hips of ESET的学习模式首先最重要的一点就是要保证自己PC中的软件的干净程度和安全性,因为the hips of ESET没有毛豆学习模式那些内置规则,即如果运行了浏览器,虽然会记录用户的行为的规则,但是毛豆本身的内置规则会根据程序的不同,赋予一定的规则,并不是完全放行。而the hips of ESET则是将用户的操作行为完全记住,所以需要用户们保证自己PC的安全性,尽量保证软件无毒和无危害和危险操作行为,以保证不被the hips of ESET的学习模式将此软件的行为记录。

2.还有一点让人无力吐槽,那就是对于学习模式,the hips of ESET的学习模式学习的规则每个应用程序的每个操作行为都会被单独的罗列出来,即the hips of ESET学习模式记录的程序规则  不能自动集合到一个进程(一条规则)。不同的错做行为的允许是分开的,这个比较囧比如我的WPS.exe和升级程序就生成了6个规则,且每个规则的行为不同,所以被记录。如图:









不过学习模式得到的规则,稍微加以修改就可以将规则统一整理在一起,虽然有点麻烦,但是相对来讲后续版本可能会对这一点进行调整吧。

估计会有人产生疑问了,如何将规则简单的进行调整呢?如何将一个程序的多个规则进行合并至一个规则呢?
下面我就说下方法:首先自己要将安全模式下生成的规则进行截图,自己记录下,然后再对于一个程序的多个规则中的一个进行编辑,然后将所有的安全的操作行为进行添加设置,由于只是初步的进行合并调整,所以高安全度暂时不进行过多讲解。具体程序的规则设置留置5L,到时一一揭开。

方法的图示:只是简单的合并下规则,增强美观性和易用性。
就以wps.exe做例子,将其正常的规则按照前面的规则设置后,将其它多余的规则删除即可,如图:







由于基本都是正常操作,所以没有设置阻止和询问的,O(∩_∩)O~,只是为了减少规则量。

对于学习模式,要批判性地使用。使用它的目的,是为了得到一个初步的规则框架,不是为了得到程序规则各选项的允许及例外允许。当切换回交互模式,基于策略模式或者是自动模式之后,对于学习模式生成的程序规则,建议把每一个程序的规则都缩减到3个以内,将一个程序正常的需要允许的操作在一个规则中设置,需要禁止的行为在一个规则中设置,需要询问的操作进行设置。(the hips of ESET的规则一多对于规则进行编辑时就会有短暂的卡滞,所以建议尽量将一个程序的多个规则合并到一个规则中。)

顺便提请注意一下,当你修改规则之后,一定要记得保存设置,“Edit(编辑)→OK→OK→OK”请不要少点一个。设定好之后,最好重新打开规则看一下,你设定的内容是不是已经在里面了,否则可能空欢喜一场。(注:the hips of ESET的规则在自动模式,基于策略的模式或者是交互模式下,一旦调整规则并确认完成设定后将立即生效,不需要等待,很好)如果想编写规则最好在编写了一些规则后,OK一下(在高级设置窗口OK,不是规则管理),不要等到全部规则写完了再点OK,否则万一规则有错误,ESET就会还原到上次保存的规则。就相当于写文档时定时保存,否则突然断电就不好了...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
智琛
 楼主| 发表于 2011-7-27 18:50:19 | 显示全部楼层
本帖最后由 黄智琛 于 2011-7-30 21:00 编辑

三:高级进阶-交互模式

前面已经谈到了学习模式,学习模式的安全隐患想必大家都知道,学习模式学习后的程序规则的操作权限太大,如果各位的mana充足的话,就选择交互模式,不过the hips of ESET的交互模式在没有规则的时候的弹窗是相当多的,所以不建议开始就使用交互模式,当然各位可以根据自己自身情况进行取舍,在下面我会介绍下两种使用交互模式的便捷方法和比较强大的方法,最大的发挥交互的功能的方法。好的,闲话不再多说,这一层就来谈下个人最喜欢的模式交互模式。

先上图,


在正式开始讲解前需要大家了解和注意的几点(以下来自个人的试验和总结,如有错误,难以避免,欢迎各位及时指出):
1.在the hips of ESET的交互模式下,精确规则仍然是优先级最高的,全局规则也没有精确规则的优先级高。
因为ESET先匹配精确规则 全局询问等于有通配符了所以优先级低。

2.The hips of ESET的交互模式默认是询问规则,但是这个询问并不等同与全局询问规则,因为还是有它自己判断的地方,也就是说交互好像和全局询问差不多,但比全局方便,有可能只有敏感的地方才会弹窗,而且如果一个程序在已有规则中没有的话使用全局询问的话的弹窗提示要比交互模式默认的要多。全局询问安全性估计要稍微高一些, 因为更多的需要用户判断。

3.The hips of ESET的弹窗稍有些不同,所以使用交互模式的话,需要注意如图部分才是真正的操作。

这张图片上操作上写的是:访问另一个程序。但是图中真正的操作提示则是:Terminate/Suspend another application和Modify state of another application
这一点我也无力吐槽了,还望大家注意。

4.The hips of ESET属于3D防护,没有ND.

使用交互模式的两种常规用法:

一:首先,说说交互模式下弹窗太多的问题。这个是没办法的事儿,因为实在是不能避免。所以大家为了减少弹窗的话,还是推荐先使用学习模式,尽可能的学习电脑中的可以确认安全的软件的所有行为,或者是常用软件的常用行为。可能有人会产生疑问:你前面不是说了学习模式有隐患么?学习后的程序规则的操作权限太大么?   
是的,毋庸置疑,任何HIPS的学习模式都是有隐患的,但是不能因小失大,丢了西瓜捡了芝麻。也就是说我只建议对HIPS非常了解的坛友们,开始就选择交互模式,每个程序的操作行为都自己亲自选择,可并非所有人都有自己判断的能力,so,我建议大家先使用学习模式将规则学习好之后,然后选择交互模式,这个时候再稍微根据此贴3L,对学习模式生成的规则进行简单的调整,具体程序的规则5L将会提到,基本不太需要设置了。这种方法比较简单,类似于使用MD时学习模式先开着跑一遍,然后选择正常模式。

第一种方法的要领就是:先使用学习模式,尽可能的学习电脑中的可以确认安全的软件的所有行为,或者是常用软件的常用行为。使用学习模式将规则学习好之后,然后选择交互模式。注:如果大家使用the hips of ESET的学习模式跑了一遍之后然后选择基于策略的模式或者自动模式就和使用MD时使用学习模式后选择安静模式是相同的原理,也基本可以做到安全性和易用性的兼顾,由于在使用学习模式时基本对程序的操作都已经记录了,再加之the hips of ESET的规则优先级是精确规则的优先级最大,所以弹窗也是很少的。

二:这种方法属于我个人比较推崇的方法,不过需要有一定的安全知识和电脑基础的人使用。
直接设置全局询问,不使用学习模式。并直接在配置规则中将需要的设置规则程序的规则予以设置,即进行例外规则的设置。这样还是利用了精确规则的优先级>全局规则的优先级。而全局禁止>全局允许(不可用)>全局询问
方法的要领:使用全局询问后,将例外的精确规则做好,正常操作使用时基本不会有弹窗。但是其它的行为,即不在精确规则中的行为,只要在the hips of ESET的AD,FD,RD的监控范围内都会有弹窗予以提示的。此想法来源于沁妍MD的防御报毒规则,习惯了这种模式,BTW:貌似我用毛豆也沿用了这个思路,(*^__^*) 嘻嘻……

说了这么久还是没有说明全局规则到底如何创建,2L有简单提到,这里具体附上方法
首先单击配置规则,New(新建)→ OK→OK → OK
如果想让记录日志的话New(新建)→ 其它选项中单击Log→OK →OK→OK,这种方法繁琐
或者直接对原有的询问规则进行编辑,图示演示编辑这种方法

方法图示:






如果是记录日志的话,如图,对规则进行编辑即可:



可能有些人需要对全局的某些进行阻止,方法相同,比如设置全局阻止启动一个新程序,,只演示这一种,大家可以举一反三。
如图:


由于全局规则中Block也是>Ask,所以我找了一个规则中没有的程序试试看,由于勾选了记录日志,所以一会儿贴上日志
2011-7-30 20:28:09        E:\XP用\P2P搜索\p2psearcher\P2pSearcher.exe        Start new application        C:\Program Files\Thunder Network\Thunder\program\Thunder.exe        blocked               
这次还是被禁止了,因为全局中设置了禁止启动一个新程序,同时又没有精确规则,所以成功全局禁止启动一个新程序

没有压力。

如果大家想设置全局禁运,只需将Ask改为Block就可以,但是一定要记住允许部分程序。而且鉴于目前the hips of ESET的多种原因,不建议全局禁运,只需要将部分需要禁止的行为单独设置,利用优先级处理就行。

还有有人可能会对the hips of ESET设置全局规则的方法产生疑问,为什么不需要*就可以代表全局呢?因为其默认的空白就代表通配符*,代表全局,大家可以看这个图,直接源程序就是for all(全部)
如图:

所以,这就是the hips of ESET的通配符问题,比较简单却又比较古怪,大家习惯就好。O(∩_∩)O~。

下面是关于一个用VB编的小程序,用来测试下the hips of ESET交互模式的实力。
只是一个小程序,顺便测试一下关于Debugging another application的意思。
测试说明:请关闭所有安软保护,并非病毒或木马,只是一个小程序,用来测试调试程序,冻结桌面30s,通过Debugging实现的。

可以开着the hips of ESET的交互模式测试,如果阻止就不会被冻结但是一样会数30s,但是如果不想等的话可以正常的单击关闭退出,允许就会被冻结30s,在这30s内会被冻结,也就是说只有鼠标能动,但是不能通过鼠标打开任意一个程序,或者打开任务管理器。

如果被冻结的话,30s内不要关,否则会重启。

之所以会重启,是因为调试器关闭,被调试者也会自动关闭的缘故
也就是explorer.exe和winlogon.exe被关闭了...

这个测试程序其实只有一个提权的操作,即调用explorer.exe

此测试程序在XP SP3或者SP2下可直接测试。如果是WIN7的话,不论是32位还是64位,必须使用兼容模式才能测试,否则此测试程序失效。VISTA下未经验证

测试程序的附件:

解压后运行此测试程序,the hips of ESET的交互模式有一个弹窗,提示此测试程序调试explorer.exe和winlogon.exe
。我都选择了阻止,然后程序开始数秒,但是并没有被冻结,说明拦截成功。如图:





说明the hips of ESET比较好用,大爱交互模式。
横向比较下:同时放上毛豆和MD的,使用相对完善的规则,也测试通过。




暂时结束。欢迎各位指正错误

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
智琛
 楼主| 发表于 2011-7-27 18:51:02 | 显示全部楼层
本帖最后由 黄智琛 于 2011-8-4 13:33 编辑

四:如何选择各种模式。关于自动模式,交互模式,基于策略模式选择解释

讲了这么久,还没说怎么选择自动模式,交互模式和基于策略模式

本来本楼打算写部分常用软件的权限实例设置的,但由于每个人对常用软件的松紧程度和要求各不相同,所以那样写可参考性不大,所以就换了这个topic,貌似也挺有意思的。还是需要大量的试验。

试验结果:在信任区建立之后,使用
自动模式即陌生的软件都是被允许的,但是已有规则的程序执行精确规则。
交互模式,先执行精确规则,然后默认是询问,即有弹窗询问用户,由用户选择。
基于策略模式,先执行精确规则,默认是全局禁运,即新程序不能运行。

声明:本楼所说均只在信任区,即常用软件的规则设置完毕后的解释。

首先说下交互模式和基于策略模式。缘由还是bayern提出的一个疑问。
在交互模式下应该是优先执行已有规则了
所以我才说,如果是这样的话,我在交互模式下弄了个全局规则,执行交互的还是全局的呢?


答:“交互模式下的确先执行精确规则额。貌似HIPS都应该这样的。全局只是备用而已。

在交互模式下由于还是先执行规则,所以执行完精确规则,如果有全局的话,还会再去执行全局规则,所以不存在实际操作上的冲突,理论上其实也是不冲突的。”


首先说基于策略模式的:
如果选择基于策略的话,并且设置全局规则的话,还是先执行全局规则,但是如果没有全局的话,则默认为全局禁运,即没有规则的软件还是不能运行。
验证方法,选择基于策略模式,设置为全局禁运,不能成功启动某软件,如果设置为全局询问,则有弹窗出现询问,如果不设置全局规则,则会默认阻止软件的行为。

上图说明基于策略模式的测试图示:





运行失败

然后说交互模式:
如果选择交互模式的话,并且设置全局规则的话,还是先执行全局规则,但是如果没有全局的话,则默认为交互(顾名思义,会有弹窗询问用户),即用户来选择操作。
验证方法,选择交互模式,设置为全局禁运,不能成功启动某软件,如果设置为全局允许,则无弹窗,陌生软件成功运行,如果不设置全局规则,则会有弹窗询问用户。

上图:






出现弹窗,询问用户

最后来说自动模式:
如果选择自动模式的话,并且设置全局规则的话,还是先执行全局规则,但是如果没有全局的话,则默认为允许陌生程序的操作。
验证方法,选择自动模式,设置为全局禁运,不能成功启动某软件,如果设置为全局询问,则有弹窗,询问用户,如果不设置全局规则,软件则会成功运行。

上图:







运行成功

所以,不推荐大家使用基于策略模式,因为排除不是很方便,虽然有日志。但是追求高安全性的人可以试试看。直接全局禁运。至于如果大家仅是用the hips of ESET起一个辅助作用,限制下常用软件的行为的话,自动模式也未尝不可。如果想要让HIPS再来帮助监控的话,推荐使用交互模式,并对全局规则进行设置。详情请看下楼。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
智琛
 楼主| 发表于 2011-7-27 18:51:32 | 显示全部楼层
本帖最后由 黄智琛 于 2011-8-5 11:16 编辑

五:修改完善,继续深入打磨

不知道大家有没有看过大将军当时讲解EQ时的一段话:“任何一款HIPS软件,要想既防毒又不影响正常使用,都必须具备两套规则:全局规则和例外规则。全局规则禁止任何未经授权的程序进行危险操作,作用相当于杀毒软件的病毒库,HIPS之所以能防毒,靠的就是全局规则。例外规则就是给正常程序建立的规则,授予其相应的操作权限,使其不受全局规则制约从而正常运行。这两种规则相辅相成,缺一不可。”这段话看来至少到现在还是相对正确的,这种思想一直是贯穿我从刚开始学习HIPS的时候,直至今日,很感谢大将军的总结。

下面就来讲下如何更完善的深入打磨the hips of ESET

在开始讲解之前,先来了解一些需要注意的地方:

一:整体规则的设置思路,
      规则是用来辅助AV组件防御未知病毒的,the hips of ESET更是如此,更多的起到辅助作用。规则设置思路不同,规则的框架也就不同(注:其实对于任何一款HIPS都是相同的,思路决定规则的编辑方式,要求规则有比较高的逻辑性和严密性,所以如果对于其他人的规则按照自己的想法进行修改的话,一定要考虑规则的逻辑性和严密性是否还存在,这也就是我所有的HIPS的规则都只自用规则,不发布的原因。要考虑规则的冗余程度,安全性,易用性!全局的作用可大可小,另外还要根据个人喜好,思维的逻辑性,规则的缜密性!越到最后就会发现,做规则要做就做简约!)下面提供几种使用the hips of ESET的规则设置思路:

    1.建立起能保证安全性的程序规则,可以为信任程序,将这些程序作为信任区,即我前面所说的使用学习模式,然后,将全局规则设置为全局禁运。禁止不是信任的安全程序运行,这样可以保证信任即安全程序不被非法篡改。这种思路的关键是所有的信任软件即信任区必须干净,保证安全。

这种思路的优点是操作简单,简约而不简单,且很容易设置。安全性也较高。缺点则是没有规则的程序将无法运行,这一点易用性必须舍弃,不能兼顾,所以比较适合软件已经完备的电脑,且软件不经常更新的电脑。如果自己的安全水平较高的话,使用此思路则可以在更新时自己个性化制定规则,或者设置安装规则。思路可行。

    2.仍然是建立信任的安全区,但是将全局规则设置为询问,并在全局需要阻止的操作设置为阻止,利用全局阻止>全剧询问的优先级再做稍加设置。这样适合安全性要求更高的人使用。同时对操作者的电脑和安防知识要求更高。

优缺点都很明了,优点:安全性高,当然是在操作者的mana高的情况下才能保证。缺点:对于大众的易用性差,但是如果信任的安全区设置好的话,操作度就上升了。在日常使用中弹窗的几率不是很高。

但是无论你准备采用哪一种思路来使用,都必须要注意规则布局。
     
二:规则布局,大体上决定一套规则的特点。

在the hips of ESET中,布局方法只有两种,而且都担负这同一职能,性质相同,但是方式不同。(注:这是由the hips of ESET的优先级所决定的。 ):     
1、全局规则置顶法——全局规则位于所有软件及进程规则的之上,因为精确规则>全局规则,所以即便放在最上方也不会影响到日常的使用。     
2、全局规则垫底法——所有的程序规则位于全局规则之上。因为精确规则>全局规则,所以即便放在最下方也不会影响到日常的使用。
         
这两种方法没本质性区别,只不过在所有规则处理好之后的所有规则布局上的美观程度不太一样,其实没啥区别,这个就是纯个人喜好了。
   
      不过如果各位采用的是第一种方式布局,当有新的程序,即不在信任区,已有规则的程序出现的弹窗,创建的新规则如果由于文件名的英文字母较靠前而置顶的话,需要自己手动再维护规则,把新规则移动到合适的位置,利用阿拉伯数字或者英文字母的顺序进行“伪分组”,来保持局面的美观性,且必须要保持局面的稳定以保持整体规则的逻辑性、严密性。不过如果才用第二种方式布局的话将全局规则的Name即命名设置的比较靠后,就基本可以保证位于其它规则之下。具体的保持美观和进行“伪分组”的方法,这一层稍后揭秘。

      程序规则和全局规则之间的关系,一定要注意,不论是在简单关系还是复杂关系的规则中,二者之间都是具有密不可分的逻辑关系的。规则正确与否,在这问题上看你是否妥善处理了二者的关系。所以,一定要切记the hips of ESET的优先级,精确规则>全局规则。这些必须要记准。   

      与此同时,规则和路径相关,无效路径导致无效规则。相对于相对路径(即使用通配符的路径)来讲,绝对路径是更安全的。对于需要使用相对路径的部分程序规则,要注意通配符的正确使用(注:目前the hips of ESET的通配符支持的不多,所所以建议均使用绝对路径,所以出规则的时机还不成熟)。

三:对the hips of ESET的规则进行“伪分组”的方法

有人可能会产生疑问了,the hips of ESET的程序规则不是都是单独的么,而且每个操作行为还要单独出现一条规则,还需要自己手动合并规则的么?怎么进行分组呢?所以我称这种方法为“伪分组”。先别急,且听我一一道来。
对于分组,先看这个例子:

1.AG_Windows System Applications
然后再写1.
2.AG_Windows Updater Applications
然后写2.
3.AG_Network Applications
然后写下3.Thunder.exe  之类的
其实这样就是以数字和字母的组合作规则名(Name)的前缀,就方便给规则“分组”啦。(当然不一定要用这种方法,你可以用你想出来的分组方法)
这种方法我贴下效果和设置方法的图示:

效果:




方法:首先单击任意一个程序,进行编辑。(如果是创建新程序进行“伪分组”,新建即可),然后将Name处输入想要的名称说明。然后即可
在使用“伪分组”前,建议先看http://bbs.kafan.cn/forum.php?mo ... &fromuid=452933  此LINK,将生成的多种规则合并到一个规则中,方便进行“伪分组”
就以已经编辑好了的firefox.exe和Maxthon.exe为例
如图:


只是抛砖引玉,其他的方法自己可以摸索。

比如也可以只用数字,例:

11.所有程序规则-自动运行RD
12.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\*
12.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
13.所有程序规则-IE设置RD
14.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
14.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page

这样看起来就像分了组一样,比如要往IE设置“组”里加规则的话,只需把规则的名称前面写上14.,编辑完确定后ESET就会自动放到IE设置“组”里。

伪分组的话,如果分太多组就不要从1.开始分组,最好视情况从01.或001.开始。
因为如果从1.开始的话,分到10.组时,10会跑到1下面...
1.自启动
10. ......
2. ......
3.Explorer Policies
4. ......
......
9.网络保护


参考毛豆可简单分为:
AG_Windows System Applications AG_Windows系统程序组
AG_Windows Updater Applications AG_Windows升级程序组
AG_Filseclab AG_ESET
AG_Network Applications AG_网络程序组
AG_Local Applications AG_本地程序组

其实也可以真正的进行分组。因为每个规则都可以添加多个源程序,类似行为的程序统一设置到一个规则中。
注:注册表必须伪分组。AD程序之类的可以分组。
比如:


估计官方后续可能会添加分组功能

方法很简单,如图和最终效果



只是参考,每个组还可以细化,在这儿不再一一解释。

下面开始本楼正式话题,以第二种思路和第二种布局方式来具体讲解下:

先来说下RD即注册表防护,
The hips of ESET的注册表防护(RD)操作基本同AD和FD。

图 注册表防护

各项的翻译在前面都有,这里不再说明。

在规则管理单击New… 打开规则编辑窗口,先输入规则的名称,个人觉得名称就起要保护的注册表项的路径就好了,易于识别。最好把注册表规则“伪分组”,具体方法看本楼前面。


接下来看看源程序(Source applications),也就是进行注册表操作的程序。因为这里要防所有程序,所以源程序留空即可。(留空即代表通配符*,也就是源程序为任意程序)

然后就是目标注册表啦,就是要被规则保护的注册表。
这里以保护自启动项的注册表为例。切换到Target Registry标签,在下面的列表里勾上”Modify registry”(视情况而定,这里要保护这项不被修改,所以选Modify registry),然后右边的Add按钮就可用了。单击Add按钮,弹出来的对话框里有个文本框,在这里输入要保护的注册表路径,这个例子里是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*。点OK。

这里用到了通配符 *,Run\* 表示Run下面的所有键值都算。这是注册表规则里通配符用法的其中一种:用在末尾。

那么另外一种用法呢?举个例子,比如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\*\Shell这样也是可以的。但是Shell的那个位置必须是一个注册表值而不是项。
这些就是注册表值

然后看操作(Action),有Ask/Allow/Block三种选择,这里也视情况而定,如果修改自启动项时想直接阻止就选Block,如果想询问你就选Ask。

那么现在规则窗口就是这样的了:

依次单击OK→OK→OK,规则就生效了。
现在来测试一下,打开注册表编辑器,定位到规则里的注册表项,新建一个值。
这时The hips of ESET弹窗了。

允许还是拒绝就看你了。
我们点拒绝试试。

成功。

下面来讲全局规则的配置(注:此时本人已将自己的其他程序即信任区的安全程序规则设置完毕,“伪分组”完毕)。
既然信任区已经建立,并将“伪分组”完成,下面就是设置全局规则。
我采取的是第二种思路和第二种布局方式,所以我将会详细介绍如何设置全局询问和高危阻止。以及垫底效果。

我信任区的规则“伪分组”+真分组,共设置7个组。所以我在设置全局询问的时候,为了将全局规则垫底,所以就在全局询问前加上阿拉伯数字8,由于还有高危阻止,再加一条规则在全局询问时高危阻止的规则即9.全局询问(高危阻止)。

高危阻止,那么具体阻止什么行为呢?一般来讲,比较危险的操作,FD中有删除等,不过既然是全局询问,那么只将这一项勾选进行启用就可以了,FD规则的基本判断,总结起来一句话——围绕重要还是一般的分界进行判断选择:重要的尽量阻止,一般的可以允许。
AD操作则有安装全局钩子,加载驱动,访问底层磁盘等(不过在the hips of ESET中,这些行为是在目标文件夹中的,囧)。所以要将这些设置为活动,即勾选。
AD是3D行为的核心。所有程序最终都是要运行的,运行后产生的行为是十分复杂的,如何判定,是个永远值得探讨的问题。 
高危行为在the hips of ESET有这几种,解释下:
        1.直接底层磁盘访问……绕过系统和安全软件直接读取或写入磁盘数据,普通软件基本上无此必要。
        2.安装全局钩子……可以窃密、偷听,以及注入其它进程,病毒常用伎俩,也是极个别软件爱用的方式。

RD方面无须自己多加设置,设置为全局询问即可。
具体效果如图,请参照图示设置:



嗯,然后选择交互模式,或者基于策略模式均可。

下面来讲下,如何看日志。
由于the hips of ESET的上手度不是很高,所以如果自己设置过规则后有程序不能正常使用的话,除了直接检查修改规则外,还有一个磨砺规则的好帮手——日志。 不过前提是必须在不能运行的程序的规则中勾选log,日志这个选项。细心的童鞋估计已经看到了我在全局询问(高危阻止)的地方勾选了日志,因为不在信任区的程序运行可能出现问题,所以建议勾选日志。

如何看日志呢?在V5的主界面单击Tools(工具)→Log files(日志文件)→下拉找到HIPS即可
如图,先学会翻页找自己的软件的操作







还可以使用过滤功能,不过比较不好用,囧。或者单击任意一条日志右键,具体功能不再赘述,只上图提醒下:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
智琛
 楼主| 发表于 2011-7-27 19:15:48 | 显示全部楼层
本帖最后由 黄智琛 于 2011-8-4 18:46 编辑

六:总结及注意事项

这层就作为后续和后记吧。以后此楼可能会陆续更新RD部分和其他更新的发现。但是目前通配符原因,没有精力,还望各位见谅。

其实开始并没打算写教程的,但是承蒙小h的盛情,加之E区优卡的身份,就想到了做点什么吧。其实自从原来在vc52出过那个设置贴后,也很久没写过关于ESET的原创贴了。不知道是什么原因,就这样拖沓了很久。
其实the hips of ESET好好打磨,也不是很弱,不是说一无是处,毕竟只是相当于辅助而已,不过还是希望能够变得更好吧,有希望才有未来。
上图为证吧,希望总是有的,预言帝表示没有压力:


只是娱乐,呵呵

这个帖子也早该完工的,不过还是各种原因慢了一两天。不过总是写完了。各种错误,在所难免。如有纰漏,还请各位及时指出。

最后,鸣谢知了,小h,sanhu,瓜皮,一晴空,bayern,清风,等人的支持。

关于RD部分,请各位暂且根据http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid20291923 此贴打磨自己电脑的RD规则。一定要是精确规则,因为官方尚未说明,所以,RD最好不要写大面积的通配。

好吧,就这样收束全篇吧。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +50 人气 +2 收起 理由
蝉鸣时 + 50 精品文章
zxzy + 2 宏伟的工程~

查看全部评分

智琛
 楼主| 发表于 2011-7-27 19:16:31 | 显示全部楼层
本帖最后由 黄智琛 于 2011-9-18 13:14 编辑

PDF网盘下载地址
# 提取码:dnhy8x3b   上传时间:2011-08-10   文件大小:3.06MB
# 提取链接:http://u.115.com/file/dnhy8x3b
# SHA1:D19E78C6BC3A5E1FEF91A6AB9211159A1E7772BD

9.18再续期
http://115.com/file/dnhy8x3b#
How_to_use_the_hips_of_ESET.pdf

评分

参与人数 1人气 +1 收起 理由
找不到新用户名 + 1 先补个RQ

查看全部评分

青蛙傻傻
发表于 2011-7-27 19:26:34 | 显示全部楼层
辛苦楼主了。
等着看教程的说
瓜皮猫
发表于 2011-7-27 19:37:25 | 显示全部楼层
竟然不255
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:53 , Processed in 0.130073 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表