目录一 |
| (一)ESET公司介绍 |
ESET是总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年,由两家私有公司合并而成,最知名的产品为NOD32防毒软件。
ESET这一名称最早来源于埃及神话中的女神Isis。Isis又称作Aset或Eset,是地神Geb和天神Nut的女儿,是主管爱情和富庶的女神,也是负责治疗和魔力的女神。ESET在英文中可以理解为EssentialSolution Against Evolving Threats(针对威胁进化而必备的解决方案)。
ESET成立于1992年,是一家面向企业与个人用户的全球性的计算机安全软件提供商。开发总部在斯洛伐克的,销售总部在美国西海岸的圣迭戈。其获奖产品——NOD32防病毒软件,能够针对各种已知或未知病毒、间谍软件、rootkits和其他恶意软件为计算机系统提供实时保护。ESET NOD32可以提供有效的保护,获得了最多的VirusBulletin100%奖项。
ESET公司连续五年被评为“德勤高科技快速成长500强”公司,拥有广泛的合作伙伴网络,包括佳能、戴尔、微软等国际知名公司,ESET 在全球超过80个国家都设有办公室,在布拉迪斯拉发(斯洛伐克)、伦敦(英国)、布里斯托尔(英国)、布宜诺斯艾利斯(阿根廷)、布拉格(捷克)、圣地亚哥(美国)等地均设有办事处,代{过}{滤}理机构覆盖全球超过100个国家。
ps:中国代{过}{滤}理商,二版科技(深圳)
ESET家庭用户产品主要包括ESET NOD32防病毒软件(ESET NOD32Antivirus,EAV)和ESET NOD32安全套装(ESET SmartSecurity,ESS)两个系列。 |
关于二版:
二版科技(深圳)有限公司于2005年8月成立,它是香港Version 2 Ltd.在中国的旗舰公司,负责其在国内的业务。二版科技的总部设于深圳,并在北京中关村设有研发及市场策划总部。作为一家外资企业,二版科技拥有在不同地区的营销及管理经验,以及优良的企业文化;相信二版科技高效及充满活力的专业团队,能应对在中国高速发展所带来的挑战及机遇,让公司踏上成功之路。
深圳二版公司作为亚洲最有活力的IT公司之一,代{过}{滤}理各种不同的互联网、资讯科技、及多媒体产品,其中涵盖了通讯系统、安全、网络、多媒体及消费市场产品。透过公司庞大的网络、销售点、分销商及合作伙伴,二版科技提供被市场广为赞赏的产品和服务。总部设于香港的Version 2 Ltd.,其销售网络覆盖了中国大陆、中国香港、中国澳门、中国台湾、新加坡等地区。其客户来自各行各业,包括全球的跨国企业、上市公司、公用机构、政府部门、无数成功的中小企及来自亚洲各城市的消费市场的客户。
更多信息,请访问http://www.version-2.com
二版科技(深圳)有限公司
深圳市福田区中心区26-3中国凤凰大厦2栋27C
邮编:518026
电话: (86) 0755 8301 5850
传真: (86) 0755 8301 5890
办公时间:
星期一至星期五上午九时至下午六时 ( 星期六及公众假期除外 )
联络方法:
若您想通过电话与我们联络,请于办公时间内致电 (86) 0755 8301 5850 为您服务。
二版科技(深圳)有限公司重庆分公司
重庆市沙坪坝区煌华新纪元3号15-5
电话:(86)023-68500367
联络方法:
若您想通过电话与我们联络,请于办公时间内致电 (86)023-68500367 为您服务。
台灣二版有限公司
台北市南港區園區街3號F棟9樓(南港軟體園區) 9F, No.3, Yuanqu St, Nangang Dist., Taipei City 115, Taiwan, R.O.C. (Nankang Software Park)
办公时间:
星期一至五:9:00am-12:00pm, 1:30pm-6:00pm ( 星期六及公眾假期除外 )
联络方法:
電話:(886) 02 7722 6899 傳真:(886) 02 7722 6889
二版科技总公司
香港新界沙田香港科学园科技大道西八号西翼三楼三零七室
联系电话:(852) 2893 8860
传真:(852) 2893 8214
办公时间:
星期一至星期五上午九时三十分至下午六时三十分
星期六上午九时三十分至下午一时( 公众假期除外 )
联络方法:
若您想通过电话与我们联络,请于办公时间内致电 (852) 2893 8860 为您服务 。
二版科技客户服务中心
香港旺角广东道998号高明商业大厦18及21楼全层
销售热线:(852) 2893 8860
技术支持热线:(852) 2893 8186
传真:(852) 2148 0323
办公时间:
星期一至五:9:30am-1:00pm, 2:00pm-6:30pm
星期六:9:30am-1:00pm (公众假期除外)
题外话:nod32名称由来
说起NOD32名称的由来,有一段很有意思的典故。NOD32 的最早版本,开发于斯洛伐克出现第一个电脑病毒时。
当时有一个有名的连续剧正在捷克的电视频道上播放,片名是Nemocnica na Okraji Mesta ,英文名是Hospital at the Edge of the City(城市边的医院)。
第一个电脑病毒攻击位于磁盘最边缘的启动扇区,杀软又好比磁盘医生,因此ESET就以“Nemocnica na Okraji Disku”(斯洛伐克语)的缩写 NOD 来当作防病毒软件的名称,英文的意思是“Hospital at the Edge of the Disk”(磁盘边的医院)。
而又因为早期软件大多为16位,所以起初叫做NOD-ICE,后来32位系统出现,ESET改名为nod32,现在虽然有64位架构,但是因为nod还是以32位为基础,就没有改名,亦或是因为成为传统,就不再变动。 |
|
| (二)ESET的优点 |
| a.干练的保护:单独地运行病毒、黑客软件、广告插件和间谍软件的防护程序会拖慢计算机,并难于进行管理,必将带来安全问题。ESET NOD32设计了一个高效的内核,作为一个单独的、高度优化的引擎,提供统一的安全保护,防止不断的更新病毒、蠕虫、间谍程序的恶意攻击。ESET NOD32拥有先进的ThreatSense技术,可通过对恶意代码进行分析,实时侦测未知的病毒,让您时刻走在病毒编写者的前面。 |
| b.最快的扫描:安全防护绝不拖慢计算机。ESET NOD32是用大量的汇编语言编写而成,因极快的侦测速度和高效的查杀能力而连续地获奖,平均比其竞争对手快3到4倍。 |
| c.简单的管理:ESET NOD32会自动进行更新,如果是个人使用或是家庭办公的话,你根本不用去管理它。对于大型企业,eset提供了强大的远程分布式的网络管理,管理员可以集中部署、安装、监测和管理成千上万的ESET NOD32工作站和服务器。 最小影响和最快的速度可以得到的最好的保护。ESET NOD32能够多层次地保护你的组织,在桌面、文件服务器和邮件网关。都能为你提供最佳的解决方案。 |
d.启发式实时侦测: 启发式是最有效的安全保护,病毒防护必须要在其对计算机造成影响前实时地进行。那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗,稍不留神就有可能给造成灾难性的后果。ESET NOD32则凭借其ThreatSense技术,将会关闭这扇窗,而不像大部分依靠特征库更新的防毒软件。且eset的特征库小于大多反病毒软件,无需消耗大量内存
许多杀毒软件都会将收集到的病毒样本逐条添加,但是ESET不需要,他凭借着特征码识别技术,仅凭一条特征码就可以识别多种病毒及其变种,也许这可能会带来误报,但是ESET很好的控制了这种情况
PS:尽管许多杀毒软件都有着高启发技术,但ESET无疑是做的比较好的。 |
| e.高级内存扫描:简称AMS,一种先进的扫描技术,扫描内存中的可疑程序,在病毒脱壳或释放时将其清除。 |
| f.潜在不受欢迎应用程序有一定放流氓能力,但误报大于查杀。 |
| g.Web 过滤效率高(支持HTTPS),效果好(可以用来屏蔽广告的同时不影响网页访问速度);可用规则下一章提供,请期待 |
| (三)ESET的缺点 |
| a.清除病毒效果不好,ESET的查杀率高,但是清除效果不佳,如果ESET无法清除病毒,他就会反复报毒,这种情况将在最新的10版中得到改进。 |
| b.难以对付活动威胁;ESET对付活动威胁还欠些火候,一旦病毒运行起来,ESET将难以将其清除,只能将其强制删除或放入隔离区,但是经本人测试,隔离效果并不尽如人意。 |
| c.没有主动防御:许多国际知名杀毒软件都拥有主防,而ESET只有hips(主机入侵防御系统),虽然其在某些方面(放注入)比较优秀,但还是掩藏不了ESET防御较弱的缺点。 |
| d.HIPS极不人性化:ESET的HIPS是需要一定编写基础的,其编写规则与科莫多不同,又与许多知名HIPS不同,所以比较复杂,而官方至今没有推出一款可用规则,尽管有智能模式,但是还是不太理想,至今没有进入全智能状态,一旦实现,将是巨大突破。 |
| e.更新困难:ESET的默认更新服务器在海外,导致更新比较困难。 |
| (四)ESET10版看点(部分引自龙大) |
| a.全新的架构:众所周知,ESET的功能模块和引擎模块都是DAT格式,导致清毒和防御强度的不够,然而从10版开始,引擎和功能模块全部改为全新技术的DLL模块,无论是运行速度还是内存占用都大幅缩减,这是10版真正的蜕变。 |
b.新技术:神秘新功能RansomwareProtection
该Ransomware Protection功能是包含在HIPS主体下的新功能,与之前的EB AMS同在。
PS:Ransomware是勒索软件的意思,这应该是一个勒索软件防护功能。 |
c.家庭网络防护:一旦有新的设备连接到家庭路由器,那么ESET的新功能Home Network Protection 会立即提示有新设备出现。声呐图上会显示新出现的设备,就是带五角星的那个设备。此功能类似于各种卫士的防蹭网
当然Home NetworkProtection 还不仅如此,它能确认路由器的安全状态,发现路由器存在的安全隐患,点击扫描路由器即可。 |
| d.全新模块:功能和引擎模块大更新,重点是全新的Rootkits检测和清除模块以及网络保护模块还有家庭网络保护模块,清毒能力可能会有重大提升。 |
目录二 |
| (五)界面与功能(以ESS 9为例) |
在9.0之前,eset的界面大多是这样的:
插入图片
虽然官方说变扁平了,但是我却感觉不出来;9.0之后,界面变成了这样:
插入图片
这才是真的扁平化,ESET肯定换了美工;10将会延续9.0的设计。
PS:如果没有那个目光灼灼的机器人就更好了,向企业版这样看齐
插入图片
用户界面虽然不如技术重要,但是给人以赏心悦目的感觉才更好
好的,咱们来说功能。
| 主界面 | ESET9.0的主界面布局较之前看似有较大改进,仿佛变得更加整洁,但是,为了延续使用习惯,该在的按钮还在那,没有大的调整,主界面上的三个蓝色框,官方叫这是快速导航,可以在刚进入主界面时便可快速开始想要的操作。
插入图片
框中的三个选项分别是:
扫描计算机——扫描你的电脑上的所有文件,耗时长(不知ESET到现在都么有出一个快速扫描,只是因为它扫描快吗)
银行付款保护——但你在打开特定网站时,ESET会提示你打开受保护浏览器(和卡巴斯基的安全支付比较像)
访问ESET的其他在线服务——只要你点击,他就会打开“我的ESET”那个网站,进行一些管理
主界面不同的颜色也显示了不同的信息
绿色——安全,所有安全功能都处于活动中
插入图片
红色——危险,某些重要功能停止或不起作用
插入图片
这时托盘图标也会变样
插入图片
黄色——需要注意某些事项
主界面左边是六个选项,分别表示可以进行不同的操作
插入图片 | | 计算机扫描 | 这应该是杀软中必备功能吧
包含四个选项
扫描计算机——扫描并清除所有威胁
自定义扫描——扫描用户指定的位置
可移动磁盘扫描——扫描所有接入电脑的可移动存储设备
重复上次扫描——再次扫描上次用户所指定的任务
PS:这个“重复上次扫描”真没啥用,不如加一个快速扫描
插入图片
扫描中
插入图片
扫描窗口,相当于日志,记录本次扫描中的所有情况
插入图片
| | 更新 | 任何防病毒软件都需要更新来抵御最新威胁,ESET也不例外,但是ESET算是更新不频繁的了
ESET的更新有两种,一种是更新病毒库,一种是更新程序
ps:ESET许多老版本都还可以更新组件,所以即使不更新组件,也可以正常使用,不过我还是建议保持更新,毕竟越新的版本,用户界面,支持度等方面都会更好。
插入图片
| | 工具 | 点击工具选项,你会看到两个按钮,一个是防盗,另一个刚才提过
防盗是一个很鸡肋的功能,一旦盗窃者将你的电脑重装系统,他就失去了作用
插入图片
点击更多工具,这才出现有用的,感觉很丰富的有木有?
插入图片
第一个就是防护日志,他可以记录下所有的拦截,在这里,你可以看到ESET对你电脑做过的所有事情
如果你发现,某个好不容易下好的东西突然不见了,或者或者下着下着突然失败了,你去日志里看看,是不是ESET杀了或是拦截了
(记得定时清空哦)
插入图片
第二个是进程管理,类似于任务管理器
点击详细信息,就可以查看这个进程的底细,比如这个程序最早发现的时间,ESET用户中使用的人数,信誉等等
插入图片
第三个是防护统计,可以记录电脑中文件被感染病毒的数量和已清除的数量,点击复位就可以重新来过
防护统计中包含的就是文件系统实时防护中发现的病毒,木马,可疑程序等等,起到一个报告作用,而且以扇形表现出来,也非常直观
另外补充一下颜色问题:
绿色就是安全的,红色就是危险的,这个不用多说
插入图片
第四个是文件及网络活动
文件活动是指读写数据量
文件的读取写出,ESET都要扫描,一旦发现病毒,就会迅速杀掉
插入图片
网络活动是指接受和发送数据量
网络的流量,ESET也是要扫描的,举个例子,你用浏览器看片,片有多大,ESET扫描的流量就有多大,但是尽管是这样,ESET的流量扫描也不觉得卡网,这就是涉及到ESET过滤效果和效率问题了
插入图片
第五个是网络连接,可以查看已连接网络的程序的概述
如果在这里发现了某个正在联网的程序,比如一个破解补丁,就要小心喽
插入图片
第六个是任务
如果你想要让ESET在预定时间完成任务,点击添加任务即可
切记:不要随便添加扫描任务,否则电脑磁盘的苦日子就要来了,ESET是很守时的
PS:如何取消执行一个添加的任务?比如,我设定了一个扫描任务,但我今天不想扫描,你只需去掉任务前面的勾,而无须删除任务再添加
插入图片
第七个是上报
没有任何杀毒软件可以完全清除所有存在的病毒,学会上报很重要
PS:ESET上报的反应是很快的,有坛友反应ESET在他那里上报反应不快,我解释一下;ESET的上报反应速度真的蛮快,至少在我这里是如此,而且我身边用ESET的朋友也是这么说的;如果你那里有些慢,可能是上报的时间等问题所致
插入图片
第八个是隔离区,所有威胁都将被隔离
PS:他的效果不太好,据坛友反应,存在隔离之后程序还在运行等情况,如果可以,尽快删除隔离中的可疑程序
如何添加某个可疑程序去隔离区?
点击移至隔离区,然后添加文件即可
插入图片
(工具说完了,设置下一章说)
帮助与支持,我们看一看就好了,有问题直接打客服
插入图片
点击关于,就可以查看计算机及ESET的所有情况
插入图片 |
|
| (六)常见问题及解决办法 |
1.为什么ESET在更新时总会失败?
这是因为ESET的默认服务器在海外,就这样了,虽然二版有自己的服务器,但是却迟迟没有去用
我们可以手动修改更新源为二版科技的服务器
首先,找到目录 windows 然后可以发现有这样一个程序
插入图片
这是记事本,右键以管理员身份运行
左上角文件——打开
找到 windows/system32/drivers/etc
插入图片
然后右下角选所有文件
找到一个没有后缀的HOSTS文件
插入图片
打开,在里面最后一行加入119.29.72.159 update.eset.com
关闭是会提示你是否保存,点保存
ok!
注意:用卫士时看好它的体检,系统修复,杀毒,看里面是否报修改过的HOSTS文件,如果是,请添加到排除 |
2.如何关闭开机扫描
有的人先嫌开机扫描拖慢开机速度,那就要关闭它
下面是关闭这个功能的方法
打开ESET主界面,选择工具,计划任务
去掉两项自动开机文件扫描前方的钩即可 |
3.如何关闭ESET提示系统更新?
有的人嫌ESET提示系统更新麻烦,要关闭它
打开高级设置--工具--系统更新--下拉菜单选择无更新 即可 |
4.为何说我的ESET无法更新?
除了上面的一种可能外,还有就是你的激活码让封了,这在主界面可以看出
网上有很多ESET激活码分享可以免费用,但是人家毕竟是商业软件要赚钱的,封了也很正常。(此并不是误报!) |
5.如何用ESET的WEB访问保护来下载百度云大文件?(转自@经常看海 在此感谢 )
把*.ourdvsss.com*加入eset高级设置-web访问保护-url管理-允许的列表
|
6.导入/导出设置
xxxxxxxxxxxxxxxxxx |
7.关于搭配问题:很多坛友由于担心ESET的防御不够强大,所以想要找个辅助来搭配
这里有几个方便的解决办法:
a.EEA+CIS10不加反病毒组件
其实就是ESET加上毛豆墙了,为什么要用ESET企业版呢,因为ESET是要关闭HIPS的(防止冲突),而个人版关了之后会出现警报,企业版是不会的
b.ESET个人版+火绒
火绒一直是我最看好的国产杀软,很有国外感,也适合当辅杀,加上ESET后更是如虎添翼
c.ESET+HMPA
黑特曼最近有些不给力,但是依旧掩饰不了他是个反勒索神器,而ESET的一大弱点就是反勒索较弱,10之后会有勒索防御功能,到时我会以情况更新此组合
PS:如果黑特曼报某个程序有漏洞,把这个程序的攻击缓解关了
先说这么几个,今后再更 |
目录三 |
| (七)ESET高级设置 |
好的,话不多说,现在我来说一下病毒防护设置。
众所周知,ESET的清毒比较弱,而且监控比较虚,所以我们要采取某些措施来弥补。 |
|
1.病毒防护:默认设置保持不变,要搭配其他辅助杀毒软件的再在“不扫描的路径”里添加排除
但是不确定的文件不要乱排除
插入图片 |
2.文件系统实时防护:类似于卡巴斯基的文件反病毒
其通过不间断的扫描来防御病毒,也就是检测某些文件的变动,写入和读出,就是我们所说的监控
虽然是ESET中一种重要的防病毒措施,但还是存在着漏毒现象,要知道,卡巴斯基的文件反病毒是不漏毒的
所以我们要调高某些设置来减少漏毒现象
比如说设为严格清除,打开高启发等
建议如下设置
插入图片
这样设置,可以提高监控敏感度,减少漏毒现象
PS:至于加壳文件用不用扫描,这里我解释一下,带有病毒的加壳文件想要释放病毒是要脱壳的,而在脱壳时,高级内存扫描就可以发现他们
但是我因为心理作用,把扫描加壳文件这个选项开了,你们自愿。
扫描压缩文件同理 |
3.扫描设置,这里我建议设为深入扫描,毕竟扫描就要慢慢地分析,而且病毒一旦过了ESET的扫描,就变得很危险了,所以ESET的检出率很高
插入图片
下面的设置中,高启发是必开的,因为这是ESET的看家本领,不开的话,检出率会降低很多的
至于为什么默认设置没有开,可能是因为降低误报吧
插入图片 |
4.文档防护:也是如此(如果你开了的话)
其实正常情况下,是没必要开的,但是为了增强安全性,我开了,你们随意,因为这玩意主要保护office的文件
插入图片 |
| (八)HIPS of ESET(NOD32的主机入侵防御系统) |
HIPS相关:hips是ESET的辅助防护工具,对于防注入等方面拔尖。
HIPS表示的意思是主机入侵防御系统.
hips这个系统会监控你电脑中的文件运作流程,当电脑中运行的文件运行了其他的文件和注册表修改的时候.那么ESET的hips就会起作用了.提示用户来处理此软件是否允许这个行为.如果你点击阻止的话,那么这个文件修改注册表的动作就会被停止.比如一个病毒运行.ESET的hips系统提示,你点击阻止后.那么这个病毒是不会运行的
大家都知道网络上的病毒每天都有上万种的变种.杀毒软件不可能跟上病毒的脚步,只有等病毒出来后然后更新病毒库来查杀,防御.变种太多也许更新就慢.尽管ESET有强大的高启发,也是力不从心,那么这时候ESET的hips就起到作用了.
PS:比如小王的电脑上有个病毒,ESET的扫描没有发现他,这个病毒理应开始运作,这是电脑就处于危险中,但是这个病毒一运行起来,ESET的hips就接连报告了这个病毒的可疑动作,于是小王发现了病毒并将其阻止
这个hips会对
系统的应用程序防御
注册表防御
文件防御
这三个体系完成
ESET的hips总共有四种模式:自动模式,交互模式,基于策略模式,学习模式 | 自动模式:默认允许
| 智能模式:评估顺序是 规则 --可疑操作时询问--允许故障
(智能模式大幅度的减少了弹窗,但是对于任何可疑的会提示,智能模式是一种简单可靠的,大众可操作的hips)
| 交互模式:评估顺序是 规则 --操作时询问--允许故障
| 学习模式:建立规则
|
|
由于理念观念的差距,ESET和comodo走的明显是不同的方向,ESET的hips防护力相当强大,但是规则这块没多大投入,貌似是把打磨规则的任务交给用户了,这种态度对hips狂人是优点,但是对绝大多数用户却不够友好。
新手的话,建议开智能模式
自动模式几乎是全部放行
如果非要写规则的话,建议你打开学习模式后,运行你信任的所有文件,调成智能模式
插入图片 |
几个需要被保护的键值:
启动项,IE主页:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
UAC设置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA |
优先级问题:
我们会编辑多条规则来完善我们的HIPS系统,当有多个规则产生冲突时(例:对于某个对象,一条禁止一条允许),这时ESET会按优先权判断该执行那一条。总的来说,单一规则(即指定源程序或指定目标程序/文件/注册表键值)的规则优先于全局规则(未指明上述对象的规则)。而从操作上来看,拒绝>允许>询问。
说明一下,点击”允许“或”拒绝“仅生效一次,如果勾选了”创建规则“那么就会创建一条和你当前操作相同的单一规则。
当有两个互相冲突的规则时,按照拒绝>询问的顺序,将直接阻止访问
|
| 规则讲解(来自@qftest ) | 1、通配符 ?、* 与 *.*
(a)在 AD&FD中,?是无效的,* 等同于*.*,需要注意的是类似于*.exe或exe.*及exe*.*是无效的,而且不能错误放置于路径中段
无效:D:\????\*.*
错误:D:\*\*.*
无效:D:\test\*.exe
无效:D:\test\exe.*
无效:D:\test\exe*.*
正确:D:\test\*
正确:D:\test\*.*
(b)在RD中,不能有*.*,且 * 在中段只能代指单级键值、在末段可代指当前级键值及后级键值
错误:HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*.*
正确:HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
正确:HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
2、不是所有的系统变量都有效
无效:%TMP%
正确:%TMP%\*
正确:%TEMP%\*.*
正确:Z:\TEMP\*.*
无效:%USERPROFILE%\AppData\Local\Temp\*.*
正确:C:\Users\qftest\AppData\Local\Temp\*.*
3、在RD中,还有一些值得特别注意的地方
无效:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\*
正确:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
无效:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\IPSec\Policy\Local\*
正确:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
4、此外,在x64系统中如果保护了主键,相应的Wow6432Node键值会自动得到保护,于是此情况下一条规则便可保护两条键值
例如:
增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\*
增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\*
增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
5、ESET hips不支持类似于\Device\HarddiskVolume1 的设备卷名自定义写法(内置规则的底层磁盘访问部份支持\Device\DR01) | 规则强化:
1、FD规则
由于ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹,因此楼主认为有必要添加相应规则
全局询问:强化文件夹保护
C:\Users\qftest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\qftest\Desktop\*.*
2、AD规则
VSE默认规则中有一条非常重要的规则是防止从Temp系统临时文件夹运行文件,而这恰恰是ESET hips缺失的部份,楼主认为有必要移植过来
全局询问:防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\qftest\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\qftest\Local Settings\Temp\*.*
C:\Users\qftest\AppData\Local\Temp\*.*
%TMP%\*
ESET hips防注入非常优秀,单独为其建立规则能够得到专门的通知和日志记录,便于测试和分析
全局询问:防注入
源及目标:所有
勾选“修改应用程序状态”
3、RD规则
基于某个朴素的认识,楼主从PCHunter和Autoruns提取了HIPS未保护的重要注册表键
全局询问:强化注册表保护
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*
|
|
| (九)防火墙 |
防火墙自动即可;教程待完善。
|
楼主: renyifei
[复制链接]
发表于 2016-8-24 12:54:26
楼主
