【倒霉催的】也不知道咱大ESET是不是能搞定这个玩意儿

显示全部楼层 · 发表于 2013-10-5 14:08:29

本帖最后由 anycall9696 于 2013-10-5 14:18 编辑

bbszy 发表于 2013-10-5 13:54
我用的是卡巴，所以我是说想参考一下你的规则

你像参考什么规则？给你你也导入不进去啊

打几个比方，修改操作系统启动项。加载驱动，全局钩子，直接访问硬盘，第一个是一般国产流氓软件比较常见的问题，后三个是比较危险的动作，我都设置询问，另外，HIPS还可以禁止修改IE首页，其实就是不准删除写入更改IE首页的注册表，这个就不用询问了，直接就拒绝了

显示全部楼层 · 发表于 2013-10-5 14:10:32

anycall9696 发表于 2013-10-5 14:08
你像参考什么规则？给你你也导入不进去啊

我虚拟机里装下eset不就行了。

防流氓之类的规则。

显示全部楼层 · 发表于 2013-10-5 14:20:52

bbszy 发表于 2013-10-5 14:10
我虚拟机里装下eset不就行了。

防流氓之类的规则。

没有用，你就是导进去了也不适合你的虚拟机，只能你自己设置，因为软件的路径都不同，所以规则的路径也不一样，就像禁止修改IE首页，也是不通用的，每个计算机
具体可以打开注册表编辑器，展开HKEY_USERS根键，应该可以看到以下几项
.DEFAULT
S-1-5-18
S-1-5-19
S-1-5-20
S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx(x是数字，每个人电脑上的都不一样)
S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx_Classes

其中S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx就是你的SID.(按你的注册表里的名字来)

像这个帖子的IE首页规则，ESET HIPS中应该写成HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Internet Explorer\Main\Start Page

其中那些XXXXX就是你要写的规则

显示全部楼层 · 发表于 2013-10-5 14:28:28

anycall9696 发表于 2013-10-5 14:20
没有用，你就是导进去了也不适合你的虚拟机，只能你自己设置，因为软件的路径都不同，所以规则的路径也不 ...

嗯，谢谢。

显示全部楼层 · 发表于 2013-10-5 14:47:51

bbszy 发表于 2013-10-5 14:28
嗯，谢谢。

不要使用交互模式，否则电脑里狗屁大点的事都要弹窗询问你，用带规则的自动模式，主要就是，加载驱动（对于一般软件，是及其危险动作，99%是病毒木马），直接访问磁盘（对于不需要此方式的软件是危险动作，但是比如DiskGenius或者BOOTICE要放行），安装全局钩子（危险动作，比如旺旺），修改启动项（需要询问，不是你设置的就拒绝），拒绝修改IE注册表的首页（虽然不是危险动作，但是国产软件都好这一口

……你设置好主页，就拒绝修改就行了），其他的比如去广告，防止升级什么，更简单，比方说防止魔方升级，只要禁止任何程序运行D:\program files\魔方优化\rmup.exe就行了（rmup.exe只删除或者修改为只读是没有作用的，都会自动生成）所以，不必去研究rmup.exe本身，直接用规则禁止任何程序调用，rmup.exe就没有作用了，下面两个图，图1的意思是：拒绝所有程序，图2的意思：调用启动rmup.exe，合并起来就是：任何程序都不能调用rmup.exe运行，所以魔方就无法升级，防流氓的规则都大同小异，自己研究吧

显示全部楼层 · 发表于 2013-10-5 15:20:14

anycall9696 发表于 2013-10-5 14:47
不要使用交互模式，否则电脑里狗屁大点的事都要弹窗询问你，用带规则的自动模式，主要就是，加载驱动（对 ...

兄弟想问你一下，你用的那版本用HIPS会不会莫名其妙增加规则的，我以前用，每次打开关闭后都多出一条规则，后来就退回4.2了

显示全部楼层 · 发表于 2013-10-5 15:23:08

anycall9696 发表于 2013-10-5 14:47
不要使用交互模式，否则电脑里狗屁大点的事都要弹窗询问你，用带规则的自动模式，主要就是，加载驱动（对 ...

非常感谢。

显示全部楼层 · 发表于 2013-10-5 15:28:55

本帖最后由 anycall9696 于 2013-10-5 15:32 编辑

chensksk 发表于 2013-10-5 15:20
兄弟想问你一下，你用的那版本用HIPS会不会莫名其妙增加规则的，我以前用，每次打开关闭后都多出一条规 ...

多规则那是交互模式你同意了，或者学习模式自己建了规则……我一般不用，交互模式狗屁大的事都问，太烦了受不鸟，学习模式，弄不好会混进来流氓行为，所以我用带规则的自动模式，自己写几个主要规则，只要不是危险动作，都直接放行

显示全部楼层 · 发表于 2013-10-5 15:40:58

anycall9696 发表于 2013-10-5 15:28
多规则那是交互模式你同意了，或者学习模式自己建了规则……我一般不用，交互模式狗屁大的事都问，太烦 ...

我说的不是自己创建的规则，是每次打开hips那个界面再关闭（就算什么事也没干，只是看看有什么规则）就出现一条规则，再次打开再次关闭又多一条，总之打开几次就有几条一模一样的...

显示全部楼层 · 发表于 2013-10-5 16:02:56

chensksk 发表于 2013-10-5 15:40
我说的不是自己创建的规则，是每次打开hips那个界面再关闭（就算什么事也没干，只是看看有什么规则）就出 ...

是不是多了：允许成功启动所需的注册表访问和驱动程序加载

[求助] 【倒霉催的】也不知道咱大ESET是不是能搞定这个玩意儿

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源