ESET V7的托盘图标是要作死的节奏啊

mixianfa

jaygarven 发表于 2013-6-15 16:45
BD是个B  eset是个E  到底A花落谁手呢  红伞 大小A 还是有黑马突出重围  敬请期待

avast那个会转的图标就是一个A

li13911

humanlwj52 发表于 2013-6-11 22:39
监控程序被修改部分的可疑操作。
疑似是针对防注入而专门加强的功能。

6那个交互模式默认情况下怎么不弹窗啊？设置成   源程序任何程序，目标程序任何程序，加载驱动程序都询问，怎么运行ARK也不弹窗啊？而且SSDT就挂了5个钩子？

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:6月24日08:00发布　
—— 今天星期一(6月24日) 阵雨转阴 29℃～21℃ 西南风 微风   
—— 明天星期二(6月25日) 阴转多云 33℃～22℃ 西南风 微风
—— 发帖时间：现在是2013年06月24日 第2季度 星期一 10时59分40秒791毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

kongyuan0629

标志性的眼睛没了

Nocria

li13911 发表于 2013-6-24 10:59
6那个交互模式默认情况下怎么不弹窗啊？设置成   源程序任何程序，目标程序任何程序，加载驱动程序都询问 ...

@hx1997

落漠

还好吧，不难看

hx1997

li13911 发表于 2013-6-24 10:59
6那个交互模式默认情况下怎么不弹窗啊？设置成   源程序任何程序，目标程序任何程序，加载驱动程序都询问 ...

有一段时间不用 ESET 了，刚虚拟机看了下 (Win7 x64)，的确没有询问加驱。

具体我也不清楚怎么回事，只能建议你用交互模式时注意这条注册表项（自动模式下需添加规则，交互模式不用，已包含于内置规则）
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*\ImagePath



防住这条注册表和拦截加驱的效果差不多的。

拦截 ARK 加驱

hx1997

li13911 发表于 2013-6-24 10:59
6那个交互模式默认情况下怎么不弹窗啊？设置成   源程序任何程序，目标程序任何程序，加载驱动程序都询问 ...

至于钩子，我在虚拟机里面看的时候一个 SSDT 钩子都没有（注：Win7 x64），不过 HIPS 工作正常。

可能 ESET HIPS 换了其他的拦截方式（SSDT 已经老掉牙了），比如回调或者 object hook。

li13911

hx1997 发表于 2013-6-24 21:50
有一段时间不用 ESET 了，刚虚拟机看了下 (Win7 x64)，的确没有询问加驱。

具体我也不清楚怎么回事， ...

可否共享下交互模式的规则？还是说内置的规则不可见。我这里开交互模式没见过一个弹窗，甚至于注入、加驱的动作都没见弹窗。

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:6月24日08:00发布　
—— 今天星期一(6月24日) 阵雨转阴 29℃～21℃ 西南风 微风   
—— 明天星期二(6月25日) 阴转多云 33℃～22℃ 西南风 微风
—— 发帖时间：现在是2013年06月24日 第2季度 星期一 22时02分08秒72毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

hx1997

li13911 发表于 2013-6-24 22:01
可否共享下交互模式的规则？还是说内置的规则不可见。我这里开交互模式没见过一个弹窗，甚至于注入、加驱 ...

内置规则是看不到的。但是可以通过日志看出来一些。

http://bbs.kafan.cn/thread-1098646-1-1.html

三：关于内置规则

The hips of ESET 的内置规则目前分为两部分，一是SelfDefense(自我保护)，二是 启动项设置。内置规则优先级是大于自编规则的。

目前看到的内置规则如下，欢迎补充。

SelfDefense系列测试

2011/10/2 19:08:33        C:\Windows\System32\taskmgr.exe        获取其他应用程序的访问权        C:\Program Files\ESET\ESET Smart Security\egui.exe        阻止一些访问        SelfDefense: 保护 ekrn 和 egui 进程        终止/暂停其他应用程序

2011/10/2 19:09:06        C:\Windows\explorer.exe        获取文件访问权        C:\ProgramData\ESET\ESET Smart Security\HipsRules.xml        阻止一些访问        SelfDefense: 保护 ESET 文件        删除文件

2011/10/2 19:09:38        C:\Windows\regedit.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info\新值 #1        已阻止        SelfDefense: 注册表具有完全保护        

2011-10-2 14:07:55        C:\systemsvc\2E4F34C5B3B.exe        修改其他应用程序的状态        C:\WINDOWS\system32\winlogon.exe        已阻止        SelfDefense: 不允许修改系统进程  

启动项系列测试

2011-10-1 19:25:04        C:\WINDOWS\system32\reg.exe        修改启动设置        HKEY_USERS\S-1-5-21-790525478-1343024091-303738163-500\Software\Microsoft\Windows\CurrentVersion\Run\system32        已阻止        040.Autoruns   

其中启动项设置的内置规则其实包含很多内容，如自启动、安装服务驱动、映像劫持...

li13911

hx1997 发表于 2013-6-24 22:06
内置规则是看不到的。但是可以通过日志看出来一些。

http://bbs.kafan.cn/thread-1098646-1-1.html

但是交互模式下，为什么运行ARK加驱都不提示呢？还有魔方小助手那个注入explorer写规则可以拦截，默认下什么弹窗都没有。不是说交互模式下弹窗比较多吗？到现在一个也没见到

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:6月24日17:20发布　
—— 今天星期一(6月24日) 阵雨转阴 29℃～21℃ 西南风 微风   
—— 明天星期二(6月25日) 多云 34℃～22℃ 南风 微风
—— 发帖时间：现在是2013年06月24日 第2季度 星期一 22时11分22秒370毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！