How to use the hips of ESET（已经添加PDF网盘下载地址）

智琛

hx1997 发表于 2011-8-3 23:38
今天木上QQ，也木写作业，看柯南去了......

恭喜即将完成

不是吧。我的规则都系自用，你也知道哈。发出来大家分享，多好哇
PS：我在看柯南道尔写的福尔摩斯，囧

bayern

黄智琛 发表于 2011-8-4 11:36
果然没坚持GD，呵呵
乃是说你将全局设置了两套规则，还是对我那个有些不理解呢？

GD400mb虚拟内存
Block>ask,意味着高危操作全局禁运的优先级大于全局访问
问题是那些高危动作正常软件是否会有呢?还是有特定的黑名单？

智琛

bayern 发表于 2011-8-4 11:41
GD400mb虚拟内存
Block>ask,意味着高危操作全局禁运的优先级大于全局访问
问题是那些高危动作正常 ...

不解释GD问题了。
全局中对于高危操作需要设置阻止。对于其它的操作全局询问不影响，或者你想每个操作都自己来决定的话，直接用全局询问即可。

我前面有说到，the hips of ESET中的全局规则一定要等到信任区即大部分软件的精确规则设置好之后再进行全局规则的设置哦。

PS：精准规则的优先级＞全局规则。不论全局是询问，允许，还是阻止，优先级都是没有精确规则的更先执行的。所以即便是Q这种常用软件有安装全局钩子这种高危操作（不过Q必须要用，不然不能登陆了都，只是举例子），但是你的精确规则中是放行的，即便全局询问（高危阻止）中设置了安装全局钩子为阻止，也不妨碍软件的正常运行的。

BTW,全局规则主要就是针对信任区中没有的软件或行为来预防的。也就是说如果信任区足够完善的话，全局规则的意义就不是很大。

欢迎跟贴

hx1997

黄智琛 发表于 2011-8-4 11:37
不是吧。我的规则都系自用，你也知道哈。发出来大家分享，多好哇
PS：我在看柯南道尔写的福尔摩斯，囧

福尔摩斯啊，偶看了半天就看懂两篇：《血字的研究》和《五个橘核》......
打算有时间重读，把其他的读懂

智琛

hx1997 发表于 2011-8-4 11:50
福尔摩斯啊，偶看了半天就看懂两篇：《血字的研究》和《五个橘核》......
打算有时间重读，把其他的读懂

好吧。要找好的译本哦。

bayern

黄智琛 发表于 2011-8-4 11:48
不解释GD问题了。
全局中对于高危操作需要设置阻止。对于其它的操作全局询问不影响，或者你想每个操作都 ...

就是学习模式跑完白名单做规则（确实看上去很乱的规则）
然后开启交互模式或者基于策略模式，全局询问或者有选择的高危禁运
个人理解交互模式已开启，全局规则和交互是否有冲突呢，如果开启交互模式，在搞定白名单以后是否有必要弄全局规则
当然基于策略模式很有必要弄全局规则
ps:基于策略模式和学习模式的区别是？

hx1997

黄智琛 发表于 2011-8-4 11:52
好吧。要找好的译本哦。

就是之前的那本译本译得有点生硬弄得看不懂

智琛

bayern 发表于 2011-8-4 11:54
就是学习模式跑完白名单做规则（确实看上去很乱的规则）
然后开启交互模式或者基于策略模式，全局询问或 ...

貌似乃还是木认真看贴。
交互下弹窗比全局询问要少，智能度貌似高一点，弹窗少，我也不能断定一定安全性就低，但是还是有差别。
基于策略的模式更先执行已有规则，没有的貌似就不能执行。学习模式则是对所有行为进行学习，没有规则的学习，不管是什么操作

智琛

hx1997 发表于 2011-8-4 11:55
就是之前的那本译本译得有点生硬弄得看不懂

表示我看过很多本得出来的就这么一个结论。

bayern

黄智琛 发表于 2011-8-4 11:58
貌似乃还是木认真看贴。
交互下弹窗比全局询问要少，智能度貌似高一点，弹窗少，我也不能断定一定安全性 ...

那已有的规则，在交互模式下应该是优先执行已有规则了
所以我才说，如果是这样的话，我在交互模式下弄了个全局规则，执行交互的还是全局的呢?
这就是矛盾的地方啊，学习over了，
接下来如果交互，先执行已有规则，没有的进行询问，那如果在交互下设置全局规则询问，到底如何执行？
如果执行基于策略，那和执行交互或者执行交互下设置全局规则有何不同的