ESET的HIPS能不能拦截到QQ玫瑰小镇伴侣调用IE

显示全部楼层 · 发表于 2013-12-17 19:27:45

cihkevin 发表于 2013-12-17 17:40
运行之后，没有任何弹窗，ESET扫描正常。有什么问题？

不会吧要调用ie弹窗的吧

显示全部楼层 · 发表于 2013-12-17 19:58:22

墨家小子发表于 2013-12-17 19:27
不会吧要调用ie弹窗的吧

我运行几次，都没有。这次我运行了下。弹出了一个，不过和之前那个一样，通过SVCHOST启动IE，正常拦截。

后面那个日志是我点击“错误反馈和建议提交”产生的。依然被拦截了。

如图：

显示全部楼层 · 发表于 2013-12-17 22:24:31

cihkevin 发表于 2013-12-17 19:58
我运行几次，都没有。这次我运行了下。弹出了一个，不过和之前那个一样，通过SVCHOST启动IE，正常拦截。
...

为什么没有拦截到它注入svchost呢？

显示全部楼层 · 发表于 2013-12-17 23:41:08

墨家小子发表于 2013-12-17 22:24
为什么没有拦截到它注入svchost呢？

你直接开交互模式嘛，除去系统自带的一些弹窗警示。那么每一步程序的调用都会给你弹窗，

我就不截图了。一个完整的花园弹出ie的过程，ESET弹窗大概在11到12次左右（没数）。

并不是简单的SVCHOST来调用IE。

至于为什么第一步没有拦截到注入SVCHOST,这个在我创建规则以后没有显示有哪个程序去调用它。

直接开交互也一样的。也没有显示花园调用它。

这应该是ESET的HIPS的监控问题。至于为什么没监控到，达到这种专业水准的问题。我不清楚。（个人觉得，再深究没什么意义）。你有兴趣的话，可以深度研究下。

我个人的理解，ESET的HIPS虽然简陋，但是重点在于规则。

当我们对系统有深度的了解之后。编写出来的规则。肯定熟记于心。可以说是已经做到了很好的防护。

显示全部楼层 · 发表于 2013-12-18 09:19:39

cihkevin 发表于 2013-12-17 23:41
你直接开交互模式嘛，除去系统自带的一些弹窗警示。那么每一步程序的调用都会给你弹窗，

我就不截图了 ...

ESET的HIPS足够足够了关键在于规则编制得好
我这系统貌似有问题所以才发帖子的
这个最好有个比较跟别的HIPS

显示全部楼层 · 发表于 2013-12-18 09:27:37

墨家小子发表于 2013-12-18 09:19
ESET的HIPS足够足够了关键在于规则编制得好
我这系统貌似有问题所以才发帖子的
这个最好有个比较跟 ...

嗯关键是规则。我之前折腾的。用了COMDO的还有OP的。没研究ssp这种，最后还是返回ESET，自己编写的规则自己很清楚，有什么问题排除起来也方便。
不过ESET的HIPS，还有不足的地方，特别是注册表，编辑了某些规则也无用。它根本就没对某些键值做出防护。
你可以重装系统，然后再测试嘛。

显示全部楼层 · 发表于 2013-12-18 12:37:59

cihkevin 发表于 2013-12-18 09:27
嗯关键是规则。我之前折腾的。用了COMDO的还有OP的。没研究ssp这种，最后还是返回ESET，自己编写的规则自 ...

系统恢复一下就好懒得动它

其实是在等SSF下个版本
其实现实应用状态 ESET HIPS的AD就能解决很大一部分---拦截启动
貌似现在不少HIPS都在朝这个方向使劲像NVT（NoVirusThanks EXE Radar Pro ）、 AppGuard，都在转变成禁运党

显示全部楼层 · 发表于 2013-12-18 14:04:58

墨家小子发表于 2013-12-18 12:37
系统恢复一下就好懒得动它其实是在等SSF下个版本
其实现实应用状态 ESET HIPS的AD就能解决很大 ...

我自己大概编写从RD、FD到AD接近100条规则。再加上本地策略组。安全性应该没有太大问题的。ESS占用也小。
你说的对，很多HIPS都在向AD 这方面发展。从OP的HIPS就可以看出来。之前选择杀软和墙折腾的够呛。主要就是HIPS的选择。最后自己编写，单奔ESS足够。

像NVT，SSF，APPFURD，Zemana AntiLogger。这几个，没用过。请教下。哪个用起来防护更全面，更人性化。

显示全部楼层 · 发表于 2013-12-18 14:21:47

cihkevin 发表于 2013-12-18 14:04
我自己大概编写从RD、FD到AD接近100条规则。再加上本地策略组。安全性应该没有太大问题的。ESS占用也小。 ...

大哥，你太猛了 100多条规则 + 组策略 .. 此处省略一百字
高手就自己编写规则严密的很万无一失
普通用户懒人组就玩禁运吧像AppGuard的作者就给自己的亲人用AG 两年都没事（作者自己说的）
像NVT AG都很方便的给一般用户用即使进了挂马网页插上带毒U盘 Locked Down模式完爆啊这些病毒都运行不起来也不给小白乱安装软件的机会即便安装也有安装模式
SSF使用起来还是推荐给玩家吧
Zemana AntiLogger 中文输入状态加密失效
KeyScrambler 免费版其实挺不错的中文英文输入都支持网页中各种输入加密即使中了木马木马也截取不了密码

显示全部楼层 · 发表于 2013-12-18 14:46:40

墨家小子发表于 2013-12-18 14:21
大哥，你太猛了 100多条规则 + 组策略 .. 此处省略一百字
高手就自己编写规则严密的很万无一失
普通 ...

我说的是HIPS规则分组接近100.具体内容肯定不止。

是不是有点残暴？？？注册表某些部位，已经写好了。只待ESS后续HIPS完善添加。

听你这么说，那么KEYScrambler，NVT，还有SSF那必须研究下。

手痒痒了。

[求助] ESET的HIPS能不能拦截到QQ玫瑰小镇伴侣调用IE

本帖子中包含更多资源