楼主: qftest
收起左侧

[原创] ESET hips语法初试与规则强化 (Update: 2016.08.24 官方反勒索规则)

  [复制链接]
xzykgc4mc3
发表于 2016-10-17 18:14:07 | 显示全部楼层
本帖最后由 xzykgc4mc3 于 2016-10-17 18:34 编辑

请问下,
全局询问:强化注册表保护这条规则,注册表里操作是选全部吗

设置后,这个注册表项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig疯狂弹出来。这个是做什么的呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2016-10-17 19:38:33 | 显示全部楼层
xzykgc4mc3 发表于 2016-10-17 18:14
请问下,
全局询问:强化注册表保护这条规则,注册表里操作是选全部吗

我在53#有回复,RD部份询问“删除+重命名+修改”就行了,至于“修改启动设置“这条不用勾选,因为在ESET内置规则中这条是默认全局并且对所有进程生效的
svchost.exe这个系统进程一般不用限制,在我的自用规则中svchost.exe拥有非常大的权限(虽然不是所有),但至少在修改注册表方面完全放行
开头的HKCU说明这是个用户键,软件,微软,IE浏览器,LowRegistry分支,音频,配置策略,所以这条的意思是修改当前用户IE浏览器音频配置策略,一般涉及开关音频和音量控制
xzykgc4mc3
发表于 2016-10-17 20:23:43 | 显示全部楼层
本帖最后由 xzykgc4mc3 于 2016-10-17 20:26 编辑
qftest 发表于 2016-10-17 19:38
我在53#有回复,RD部份询问“删除+重命名+修改”就行了,至于“修改启动设置“这条不用勾选,因为在ESET ...


谢谢。能分享下你自用规则中svchost.exe的权限吗?这些规则,经常会遇到系统进程svchost.exe、spoolsv.exe的窗口。一下子,冒出好多个,鼠标都承受不住。点拒绝,又怕会对系统产生负面影响。
qftest
 楼主| 发表于 2016-10-17 20:56:47 | 显示全部楼层
xzykgc4mc3 发表于 2016-10-17 20:23
谢谢。能分享下你自用规则中svchost.exe的权限吗?这些规则,经常会遇到系统进程svchost.exe、s ...

我不使用打印机,不但禁止了所有相关服务还禁用了NetBIOS,所以没有spoolsv.exe规则

源:C:\Windows\System32\svchost.exe

自定义允许: svchost.exe   <注入所有+直接访问磁盘>
目标:所有

文件:删除、写入、访问磁盘
程序:终止暂停、修改状态
注册表:删除、修改



自定义允许: svchost.exe   启动其他程序
操作:启动新应用程序
目标:
C:\Windows\System32\audiodg.exe
C:\Windows\System32\DeviceDisplayObjectProvider.exe
C:\Windows\System32\sdiagnhost.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\taskeng.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\wbem\WMIADAP.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\SysWOW64\dllhost.exe
C:\Windows\SysWOW64\wbem\WmiPrvSE.exe



自定义阻止: svchost.exe   启动其他程序
操作:启动新应用程序
目标:C:\Windows\System32\Defrag.exe
xzykgc4mc3
发表于 2016-10-21 17:52:31 | 显示全部楼层
qftest 发表于 2016-10-17 20:56
我不使用打印机,不但禁止了所有相关服务还禁用了NetBIOS,所以没有spoolsv.exe规则

源:C:\Windows\S ...

全局询问:强化注册表保护,这个规则好像杀伤力也是挺大的。加了进去,打开个我的电脑和回收站,都弹窗。再加上你自用规则中对svchost.exe的赋予的权限,我是勾上了日志和弹窗。结果每次开机时,前几秒磁盘占用都升到100去了。看了下好像是svchost.exe和eset的进程。日志里也塞满了svchost.exe的记录。
qftest
 楼主| 发表于 2016-10-21 18:41:12 | 显示全部楼层
xzykgc4mc3 发表于 2016-10-21 17:52
全局询问:强化注册表保护,这个规则好像杀伤力也是挺大的。加了进去,打开个我的电脑和回收站,都弹窗。 ...

你的排除没做好,而且勾选了不必要的日志和弹窗
fireherman
发表于 2016-10-23 09:46:23 | 显示全部楼层
xzykgc4mc3 发表于 2016-10-21 17:52
全局询问:强化注册表保护,这个规则好像杀伤力也是挺大的。加了进去,打开个我的电脑和回收站,都弹窗。 ...

【全局询问:强化注册表保护】这条好像说过了。

我是改为【全局阻止:强化注册表保护】(勾选日志),然后跑几天看看……结果发现……阻止了也不会影响(我的)系统,于是……把日志的勾选也去掉。

@qftest 上面那条svchost.exe你也可以设置【阻止】,然后勾选日志,看看是不是影响到系统,然后一条一条排除嘛。
qftest
 楼主| 发表于 2016-10-23 13:03:06 | 显示全部楼层
fireherman 发表于 2016-10-23 09:46
【全局询问:强化注册表保护】这条好像说过了。

我是改为【全局阻止:强化注册表保护】(勾选日志), ...

svchost.exe自身的正常行为还是不要阻止的好,这个系统进程应该给予极大信任,防止它被其他进程利用才是目的
其实主要是懒。。逐条检查日志然后慢慢排除很烦的。。
fireherman
发表于 2016-10-23 13:05:35 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-23 13:06 编辑
qftest 发表于 2016-10-23 13:03
svchost.exe自身的正常行为还是不要阻止的好,这个系统进程应该给予极大信任,防止它被其他进程利用才是 ...




svchost.exe自身的正常行为还是不要阻止的好,这个系统进程应该给予极大信任,防止它被其他进程利用才是目的
其实主要是懒。。逐条检查日志然后慢慢排除很烦的。。

关键就是,要辨别怎么样才算svchost.exe自身的正常行为,快把你的规则……毫无保留地、一丝不挂地、如数家珍的分享出来!!


qftest
 楼主| 发表于 2016-10-23 13:10:35 | 显示全部楼层
fireherman 发表于 2016-10-23 13:05
svchost.exe自身的正常行为还是不要阻止的好,这个系统进程应该给予极大信任,防止它被其他进程利 ...

是否正常行为需要综合判断
我的规则很多很细,无法全部分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 10:00 , Processed in 0.116123 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表