How to use the hips of ESET（已经添加PDF网盘下载地址）

bayern

黄智琛 发表于 2011-8-4 11:58
貌似乃还是木认真看贴。
交互下弹窗比全局询问要少，智能度貌似高一点，弹窗少，我也不能断定一定安全性 ...

那已有的规则，在交互模式下应该是优先执行已有规则了
所以我才说，如果是这样的话，我在交互模式下弄了个全局规则，执行交互的还是全局的呢?
这就是矛盾的地方啊，学习over了，
接下来如果交互，先执行已有规则，没有的进行询问，那如果在交互下设置全局规则询问，到底如何执行？
如果执行基于策略，那和执行交互或者执行交互下设置全局规则有何不同的

智琛

bayern 发表于 2011-8-4 12:04
那已有的规则，在交互模式下应该是优先执行已有规则了
所以我才说，如果是这样的话，我在交互模式下弄了 ...

交互模式下的确先执行精确规则额。貌似HIPS都应该这样的。全局只是备用而已。

在交互模式下由于还是先执行规则，所以执行完精确规则，如果有全局的话，还会再去执行全局规则，所以不存在实际操作上的冲突,理论上其实也是不冲突的。

基于策略，请稍等下。

智琛

bayern 发表于 2011-8-4 12:04
那已有的规则，在交互模式下应该是优先执行已有规则了
所以我才说，如果是这样的话，我在交互模式下弄了 ...

还在么？关于基于策略验证完毕
如果选择基于策略的话，并且设置全局规则的话，还是先执行全局规则，但是如果没有全局的话，则默认为全局禁运，即没有规则的软件还是不能运行。
验证方法，选择基于策略模式，设置为全局禁运，不能成功启动某软件，如果设置为全局询问，则有弹窗出现询问，如果不设置全局规则，则会默认阻止软件的行为。如图：






这下，你懂了吧？

智琛

bayern 发表于 2011-8-4 12:04
那已有的规则，在交互模式下应该是优先执行已有规则了
所以我才说，如果是这样的话，我在交互模式下弄了 ...

我和蔼的77 RQ。七夕被破了。囧
还好，还好。

bayern

黄智琛 发表于 2011-8-4 12:46
还在么？关于基于策略验证完毕
如果选择基于策略的话，并且设置全局规则的话，还是先执行全局规则，但是 ...

怎么糊涂了呢

如果选择基于策略的话，并且设置全局规则的话，还是先执行全局规则，但是如果没有全局的话，则默认为全局禁运，即没有规则的软件还是不能运行。

意味着选择基于策略，没有精确规则就全局禁运？？？

验证方法，选择交互，设置为全局禁运

这个貌似是验证交互模式下的，也就是交互模式下先执行精确再执行全局(询问或者禁运。。。）再执行交互？

智琛

bayern 发表于 2011-8-4 12:54
怎么糊涂了呢

意味着选择基于策略，没有精确规则就全局禁运？？？

选择基于策略，没有精确规则就全局禁运？？？

答：是的

这个貌似是验证交互模式下的，也就是交互模式下先执行精确再执行全局(询问或者禁运。。。）再执行交互？

答：很抱歉，我打错了，是选择基于策略。

bayern

黄智琛 发表于 2011-8-4 13:02
答：是的

答：很抱歉，我打错了，是选择基于策略。

也就意味着我们不能使用基于策略，或者说比较麻烦
因为一旦没有规则就全局禁运。。。毕竟新的程序和软件在时时更新，如果全局禁运。。。
排除起来比较麻烦。。。

智琛

bayern 发表于 2011-8-4 12:54
怎么糊涂了呢

意味着选择基于策略，没有精确规则就全局禁运？？？

交互模式下如果有全局询问就不存在交互了。因为全局询问更详细，所以交互那些弹窗基本上可以看作全局询问弹窗的子集，真子集也有可能哦

智琛

bayern 发表于 2011-8-4 13:06
也就意味着我们不能使用基于策略，或者说比较麻烦
因为一旦没有规则就全局禁运。。。毕竟新的程 ...

是的。不过对安全性要求较高的人可以选择。
所以我教程中采用了全局询问+高危禁止
PS：感谢乃的这个话题，我的5L讲解了这个话题。呵呵
LINK如下
http://bbs.kafan.cn/forum.php?mo ... &fromuid=452933  

bayern

黄智琛 发表于 2011-8-4 13:10
是的。不过对安全性要求较高的人可以选择。
所以我教程中采用了全局询问+高危禁止
PS：感谢乃的这个话题 ...

基本上明白了
还有教程里对于RD的描述不够详细
RD如何编排呢，对特殊的注册表值进行保护？
还是基于全局询问再做调整呢