ESET的HIPS能不能拦截到QQ玫瑰小镇伴侣调用IE

墨家小子

试了好几次 都拦截不到
http://www.crsky.com/soft/20788.html

文件貌似是干净的 就是调用IE 弹网页窗口

https://www.virustotal.com/en/fi ... nalysis/1387169858/

cihkevin

可以阻止部分，修改主页阻止是没问题的，添加阻止调用程序规则后。部分阻止，还是有弹窗。
如图：

墨家小子

cihkevin 发表于 2013-12-16 16:13
可以阻止部分，修改主页阻止是没问题的，添加阻止调用程序规则后。部分阻止，还是有弹窗。
如图：

那个ie弹窗没有拦截到吗？有拦截日志吗？

cihkevin

墨家小子 发表于 2013-12-16 16:46
那个ie弹窗没有拦截到吗？有拦截日志吗？

那个弹窗 没拦截，我说的那个位置拦截 是有日志的。如图。


我点了两次 刚好对应两次日志。

墨家小子

cihkevin 发表于 2013-12-16 19:33
那个弹窗 没拦截，我说的那个位置拦截 是有日志的。如图。

能不能测试一下 用交互模式 我看你的时自定义规则

cihkevin

墨家小子 发表于 2013-12-17 09:42
能不能测试一下 用交互模式 我看你的时自定义规则

整体交互模式？你应该清楚交互模式那个弹窗量。个人觉得没必要，且很累（可怜我的小鼠标）。

但是测试，也是可以的。弹窗 是完全能够阻止的。

如图：



这是没有任何问题的。


是的，我的HIPS是自定义规则的自动模式。但是，可以这样设置，在对所有程序调用IE时，设置询问规则（当然也是自定义），这样玫瑰伴侣在调用IE时候，就会弹出提示窗口了。


我们可以清楚的看到

玫瑰小镇伴侣 ， 我昨天说  不能 阻止 的那个位置  是 通过SVCHOST,启动的IE。所以，在只添加“mgbanlv.exe”这一个源程序的时候，是没有阻止的。

同样实现了完全阻止弹窗的效果

如图：



ESET的默认 规则虽然简陋，但是加入自定义以后的HIPS，可以说是 很不错的。

墨家小子

cihkevin 发表于 2013-12-17 12:49
整体交互模式？你应该清楚交互模式那个弹窗量。个人觉得没必要，且很累（可怜我的小鼠标）。

但 ...

你的自定义规则能不能分享一下？

墨家小子

cihkevin 发表于 2013-12-17 12:49
整体交互模式？你应该清楚交互模式那个弹窗量。个人觉得没必要，且很累（可怜我的小鼠标）。

但 ...

还有这个也帮忙测试呗 我系统好像有问题 ESET的hips搞不出来你的说的 要么就是我没弄明白

http://soft.qqbm.net/cwbm_114.rar?t=112 （抢车位保姆V1.1.4 ）

https://www.virustotal.com/en/fi ... nalysis/1387260839/

cihkevin

墨家小子 发表于 2013-12-17 14:07
你的自定义规则能不能分享一下？

你也知道HIPS这种规则单一性很强。而且我们的防护要求不一样，软件一样，系统也可能不一样。

比如说我的Temp 文件夹 是禁止任何程序运行的。还是要自己编辑、打磨规则，才会事半功倍。

cihkevin

墨家小子 发表于 2013-12-17 14:15
还有这个也帮忙测试呗 我系统好像有问题 ESET的hips搞不出来你的说的 要么就是我没弄明白

http://s ...

运行之后，没有任何弹窗，ESET扫描正常。有什么问题？