查看: 51643|回复: 148
收起左侧

[原创] ESET hips语法初试与规则强化 (Update: 2016.08.24 官方反勒索规则)

  [复制链接]
qftest
发表于 2016-8-18 19:45:21 | 显示全部楼层 |阅读模式
本帖最后由 qftest 于 2016-8-24 13:08 编辑
This one is for real Geeks – now you can customize the behavior of the system in greater detail: specify rules for the system registry, active processes and programs, and fine-tune your security posture.                                                                                                ——by ESET.

LZ假设本帖读者是“real Geeks”或已阅读理解 http://bbs.kafan.cn/thread-1039113-1-1.htmlhttp://bbs.kafan.cn/thread-1098646-1-1.html


在规则编辑过程中,须知优先级:
自保规则->自定义规则
路径规则->通配符规则->全局规则
阻止->允许->询问



一、语法初试:

win7x64 pro+EEA5.0


在本帖中,“错误”指ESET提示规则语句错误、“无效”指ESET虽无提示错误但实际上规则无效、“正确”指语句符合规范且生效


1、通配符 ?、* 与 *.*
(a)在 AD&FD中,?是无效的,* 等同于*.*,需要注意的是类似于*.exe或exe.*及exe*.*是无效的,而且不能错误放置于路径中段
无效:D:\????\*.*
错误:D:\*\*.*
无效:D:\test\*.exe
无效:D:\test\exe.*
无效:D:\test\exe*.*
正确:D:\test\*
正确:D:\test\*.*

(b)在RD中,不能有*.*,且 * 在中段只能代指单级键值、在末段可代指当前级键值及后级键值
错误:HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*.*
正确:HKEY_USERS\S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
正确:HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*


2、不是所有的系统变量都有效
无效:%TMP%
正确:%TMP%\*
正确:%TEMP%\*.*
正确:Z:\TEMP\*.*

无效:%USERPROFILE%\AppData\Local\Temp\*.*
正确:C:\Users\qftest\AppData\Local\Temp\*.*


3、在RD中,还有一些值得注意的地方

无效:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\*
正确:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*

无效:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\IPSec\Policy\Local\*
无效:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local*
正确:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
正确:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*


4、此外,在x64系统中如果保护了主键,相应的Wow6432Node键值会自动得到保护,于是此情况下一条规则便可保护两条键值
例如:
增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\*


增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\*


增加保护:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
自动保护:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*


5、ESET hips不支持类似于\Device\HarddiskVolume1 的设备卷名自定义写法


6、FD规则中"删除文件/写入文件"的“文件”是指普通文件对象,不包括“文件夹”对象,这一点需要特别注意!
http://bbs.kafan.cn/thread-2053976-1-1.html


7、RD规则可以阻止删除、修改已有的注册表项及键值,也能阻止创建新的键值,但RD规则不能阻止创建新的注册表“项”


二、规则强化:



1、FD规则
实验发现,ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹,因此楼主认为有必要添加相应规则

全局询问:强化文件夹保护
C:\Users\qftest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\qftest\Desktop\*.*


2、AD规则
VSE默认规则中有一条非常重要的规则是防止从Temp系统临时文件夹运行文件,而这恰恰是ESET hips缺失的部份,楼主认为有必要移植过来

全局询问:防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\qftest\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\qftest\Local Settings\Temp\*.*
C:\Users\qftest\AppData\Local\Temp\*.*
%windir%\temp\*
%TMP%\*


ESET hips防注入非常优秀,单独为其建立规则能够得到专门的通知和日志记录,便于测试和分析

全局询问:防注入
源及目标:所有
勾选“修改应用程序状态”


3、RD规则
基于某个朴素的认识,楼主从PCHunter和Autoruns提取了HIPS未保护的重要注册表项

全局询问:强化注册表保护
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*
HKEY_USERS\*\Software\Policies\Microsoft\Internet Explorer\Control Panel\*
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\*

三、结语:
ESET hips虽然监控灵敏、防注入强悍,但是没有“安装模式”和“结束进程”功能,而且不能自动归类分组,不能不说是一大遗憾希望将来有所改进



附录:ESET hips官方反勒索规则   https://www.youtube.com/watch?v=Mu25uj1Ou2A





官方反勒索规则1禁止脚本解释器启动其他程序
阻止
源应用程序:
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe

操作:启动新应用程序
目标应用程序:所有


官方反勒索规则2禁止 explorer.exe 执行脚本解释器
阻止
源应用程序:C:\Windows\explorer.exe

操作:启动新应用程序
目标应用程序:
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe



官方反勒索规则3禁止 office 执行高危脚本
阻止
源应用程序:C:\Program Files (x86)\Microsoft Office\OFFICE11\WINWORD.EXE
——(LZ自用word2003,此处仅作为范例,读者应根据自身情况调整规则)




操作:启动新应用程序
目标应用程序:
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\windows\system32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe
C:\windows\system32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe



官方反勒索规则4禁止 regsvr32.exe 执行高危脚本
阻止
源应用程序:
C:\windows\system32\regsvr32.exe
C:\Windows\SysWOW64\regsvr32.exe

操作:启动新应用程序
目标应用程序:
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe



官方反勒索规则5禁止 mshta.exe 启动其他程序
阻止
源应用程序:
C:\Windows\System32\mshta.exe
C:\Windows\SysWOW64\mshta.exe

操作:启动新应用程序
目标应用程序:所有



官方反勒索规则6禁止 rundll32.exe 执行高危脚本
阻止
源应用程序:
C:\windows\system32\rundll32.exe
C:\Windows\SysWOW64\rundll32.exe

操作:启动新应用程序
目标应用程序:
C:\windows\system32\cmd.exe
C:\Windows\SysWOW64\cmd.exe
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe



官方反勒索规则7禁止 powershell.exe 启动其他程序
阻止
源应用程序:
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

操作:启动新应用程序
目标应用程序:所有

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 12原创 +1 魅力 +1 人气 +10 收起 理由
ikimi + 1 版区有你更精彩: )
renyifei + 1 精品文章
月光下的旅行 + 1 很给力!
Johnkay.Young + 1 版区有你更精彩: )
360rundll + 1

查看全部评分

本帖被以下淘专辑推荐:

qftest
 楼主| 发表于 2016-8-26 12:27:50 | 显示全部楼层
renyifei 发表于 2016-8-26 10:04
楼主的规则我写了一下,集成到设置里,有需要的朋友直接导入即可

@qftest

我个人是不太建议直接导入别人的规则。。
规则这东西个性化太强,用来参考比较好,如果不会甄别排除的话会比较麻烦
而且ESET的设置文件并不通用,比如EEA和EAV虽然设置导出后都是xml文件,但是不能互导即用

评分

参与人数 1人气 +1 收起 理由
智琛 + 1 很厉害啊

查看全部评分

renyifei
发表于 2016-8-18 20:33:24 来自手机 | 显示全部楼层
写的好,我会在指南里引用,好吗?
lkytal
发表于 2016-8-18 20:39:52 | 显示全部楼层
许多安装程序都会从Temp启动程序, 到不如不做干涉
qftest
 楼主| 发表于 2016-8-18 20:43:06 | 显示全部楼层
renyifei 发表于 2016-8-18 20:33
写的好,我会在指南里引用,好吗?

可以呀
qftest
 楼主| 发表于 2016-8-18 20:44:19 | 显示全部楼层
lkytal 发表于 2016-8-18 20:39
许多安装程序都会从Temp启动程序, 到不如不做干涉

包括许多流氓软件后台安装
以及利用IE命令行后台下载静默安装的灰色程序
renyifei
发表于 2016-8-18 21:20:52 | 显示全部楼层
qftest 发表于 2016-8-18 20:44
包括许多流氓软件后台安装
以及利用IE命令行后台下载静默安装的灰色程序

还不如直接封堵所有的入口,等要装软件时再关闭hips,我就是这样
qftest
 楼主| 发表于 2016-8-18 21:29:39 | 显示全部楼层
renyifei 发表于 2016-8-18 21:20
还不如直接封堵所有的入口,等要装软件时再关闭hips,我就是这样

不需要,询问temp就可以
关闭hips需要重启
如果要做到封堵入口,那么只需置顶一条全局询问规则即可,或者应用“基于策略”模式(禁运)大量排除等着你
在我用过的HIPS和Anti-exec中,ESET算是安全与易用方面平衡较好的了
renyifei
发表于 2016-8-18 21:53:56 | 显示全部楼层
qftest 发表于 2016-8-18 21:29
不需要,询问temp就可以
关闭hips需要重启
如果要做到封堵入口,那么只需置顶一条全局询问规则即可,或 ...

我习惯这样了,觉得不错,也许是我太在意安全性(biantai)了吧!我不禁加了全局,还对许多敏感区域特殊对待
asuracryin
发表于 2016-8-18 22:08:08 | 显示全部楼层
请问阻止程序a启动除程序b以外的其他程序要怎么写?分为2条,1条阻止a运行所有,1条允许a运行b会有效吗?
qftest
 楼主| 发表于 2016-8-18 22:15:48 | 显示全部楼层
renyifei 发表于 2016-8-18 21:53
我习惯这样了,觉得不错,也许是我太在意安全性(biantai)了吧!我不禁加了全局,还对许多敏感区域特殊对 ...

这让我想起VSE,那个“阻止对所有共享资源的读写访问”可能更适合你的口味,VSE不是怕注入么,正好让ESET配合一下,无敌了哈哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 15:48 , Processed in 0.136387 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表