【已实现】利用Eset HIPS防止各家安全软件抢地盘坑害用户

witty606

以前一直只是浏览卡饭，未注册过账号（好像是不允许注册）。三天前终于注册了，天天签到，今天终于可以在这里发贴了，我也正式加入卡饭大家庭。。。
此贴原先发表在精睿社区，可那里人气好低，现在发到这里试试，看看有没有和我一样有兴趣的！

这个问题困扰我两年多了，11年之后我就在思考，想办法。问题描述如下：
现在的安全问题似乎不是什么大问题，我很少见到病毒破坏机子，因为大家安全意识都高了，都有装各类安全软件。加上windows系统对安全方面的不断提升，病毒我觉得不是最大危害。如今的最大危害是各种安全软件打着安全旗号恶意推广，捆绑安装。。。一台电脑上装了杀毒软件了，第二个安全软件来了，无视第一个；第三个来了无视前二个，等等这些。。。我就见过一台电脑上同时有360系列（两个），金山系列（2个），QQ电脑管家，百度系列（两个），再加一个瑞星杀毒。一台电脑上同时运行着8个安全软件，病毒没见到，电脑自己都跑不动了。。。我称这些为“抢地盘”。
好了，看了上面大家应该明白了。也许有些人会说只有白痴才会装这么多，不懂的不要乱装，不会删除吗？在这里混的，我想都是自己能处理这些问题的，也很少发生这种事。有些人觉得没必要，但是想一下，捆绑安装，一个不小心自己没看到，按了下一步，又得删，麻烦。再比如，电脑给别的小伙伴用了下，一看给你装上这么多，你还是要花时间去删。。。所以，防止这些安全软件抢地盘很有必要。我觉得这些东西比病毒还可恶。。。
问题和必要性都说了，现在讲讲防护思路，之前有用过软件，后来发现组策略很好，再后来是win7下的applocker.基于证书屏蔽，这应该是个好方法。但是今天我们能否换个思路，用hips来做，希望大家一起努力探讨下是否可行。我最理想的方法是用eset自带的hips来做，不用额外安装软件，简洁高效。但是道理是相通的，希望有兴趣的朋友一起研究方法，然后再寻求各种hips下的实现，特别是eset的。欢迎探讨！

PS1:我们只限制指定的软件，对其它软件一律放行，不求传统hips的强大，只求达到黑名单效果。同时也做到无需用户干预，对用户透明，符合eset的精神！
PS2:win7下applocker应该是好方法，上面也说了，但实际使用中，有些机子上无效。查了好多资料，至今无解。（我用的是原版企业版），还有一个劣势是各卫士管家会默认优化禁用applocker的系统服务，导致无效。虽然是好方法，但是有这两点不足，让我重新考虑别的方法。这两天的试验说明可行性是可以的，利用eset hips来做，完全可行。就是不知道要阻止哪些地方，目前我只测试了system32\drivers下的360核心文件禁止写入。这样360即使装上，能运行，但是核心的防护功能无法开启，虽不够完美，但也是残废状态。下一步阻止下360的开机自启动项，应该会改善很多。不知有没有更简单方便的方法，用更少的规则来阻止？
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
最新进展：我已经做好，经测试ok了，讲下思路！
首先，对360安装程序释放到系统目录里的文件禁止写入。我们无法控制360安装程序，但不管安装在哪里，360都会向系统目录写入核心驱动等文件。所以，禁止这些文件写入，360的核心功能无法实现了。
其次，对360添加的注册表项进行保护，不允许添加、修改、重命名，但允许删除，方便用360卸载程序反安装。
再次，加一条AD方面的规则，源程序默认全部，目标应用程序选择360安装目录，我的为c:\program files (x86)\360\360safe\下所有程序禁止运行。这样360就无法启动。前面几位大神都说源程序不支持通配符，但可以支持相对路径，我的用相对路径就是没有效果，一定要绝对。
经过上面几步，可以说达到目的了，其余的就是桌面图标和开始菜单了，自己处理下就ok，最恨的还是无法在源程序上用相对路径，我会进一步试验。

cihkevin

HIPS 你想防止指定软件安装？这种情况现在用ESET不现实的，因为你要指定路径和文件名。路径一变，名字一改变，也就失效了。唯一可行的就是，在你干净系统下，用学习模式跑完所有的常用软件，创建好规则之后，采用交互模式，这样那个弹窗，没人会想在你电脑装东西的。有软件安装，也会触发相应的规则。不怕后台小动作。

witty606

cihkevin 发表于 2014-8-28 12:00
HIPS 你想防止指定软件安装？这种情况现在用ESET不现实的，因为你要指定路径和文件名。路径一变，名字一改 ...

知道，我利用eset hips做的只是阻止我不要的软件，其它的一律放行。不想给用户太多负担，不让他们选择。我们公司的人都是小白，所以强行阻止即可，保证用户体验。
还有一个，源文件名上，我们无法限制，所以只做目标文件规则。这点eset确实不方便，但还是能达成目的。一起研究！

hx1997

用 ESET HIPS 来弄会很麻烦，而且就算做出来了，分享给别人还是很麻烦，除非你想帮他们手动配置。

先放放，有时间再详细说。

witty606

hx1997 发表于 2014-8-28 13:43
用 ESET HIPS 来弄会很麻烦，而且就算做出来了，分享给别人还是很麻烦，除非你想帮他们手动配置。

先放 ...

是的，我是每台都去手动配置好。不麻烦！只要能实现，一次写好规则导入这两个文件到别的电脑就好！

bbszy

楼主可以参考我的帖子http://bbs.kafan.cn/thread-1632551-1-1.html

蓝雨风暴

我都是用其他HIPS把软件默认安装路径禁止生成指定文件夹

经常无语

eset的hips过于简略了，也不大支持通配符，自己写规则那是折磨自己，一定要玩hips，建议还是换一种

witty606

蓝雨风暴 发表于 2014-8-28 22:48
我都是用其他HIPS把软件默认安装路径禁止生成指定文件夹

有没有全盘监控文件写入的，360很变态，c：\program files下不让写，它会自动更改目录，装到别的地方。

蓝雨风暴

witty606 发表于 2014-8-29 08:59
有没有全盘监控文件写入的，360很变态，c：\program files下不让写，它会自动更改目录，装到别的地方。

这么牛x,不会吧,静默安装包还有这功能?我还没遇见过