ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）

xzykgc4mc3

请问下，
全局询问：强化注册表保护这条规则，注册表里操作是选全部吗

设置后，这个注册表项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig疯狂弹出来。这个是做什么的呢

qftest

xzykgc4mc3 发表于 2016-10-17 18:14
请问下，
全局询问：强化注册表保护这条规则，注册表里操作是选全部吗

我在53#有回复，RD部份询问“删除+重命名+修改”就行了，至于“修改启动设置“这条不用勾选，因为在ESET内置规则中这条是默认全局并且对所有进程生效的
svchost.exe这个系统进程一般不用限制，在我的自用规则中svchost.exe拥有非常大的权限（虽然不是所有），但至少在修改注册表方面完全放行
开头的HKCU说明这是个用户键，软件，微软，IE浏览器，LowRegistry分支，音频，配置策略，所以这条的意思是修改当前用户IE浏览器音频配置策略，一般涉及开关音频和音量控制

xzykgc4mc3

qftest 发表于 2016-10-17 19:38
我在53#有回复，RD部份询问“删除+重命名+修改”就行了，至于“修改启动设置“这条不用勾选，因为在ESET ...

谢谢。能分享下你自用规则中svchost.exe的权限吗？这些规则，经常会遇到系统进程svchost.exe、spoolsv.exe的窗口。一下子，冒出好多个，鼠标都承受不住。点拒绝，又怕会对系统产生负面影响。

qftest

xzykgc4mc3 发表于 2016-10-17 20:23
谢谢。能分享下你自用规则中svchost.exe的权限吗？这些规则，经常会遇到系统进程svchost.exe、s ...

我不使用打印机，不但禁止了所有相关服务还禁用了NetBIOS，所以没有spoolsv.exe规则

源：C:\Windows\System32\svchost.exe

自定义允许: svchost.exe   <注入所有+直接访问磁盘>
目标：所有

文件：删除、写入、访问磁盘
程序：终止暂停、修改状态
注册表：删除、修改



自定义允许: svchost.exe   启动其他程序
操作：启动新应用程序
目标：
C:\Windows\System32\audiodg.exe
C:\Windows\System32\DeviceDisplayObjectProvider.exe
C:\Windows\System32\sdiagnhost.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\taskeng.exe
C:\Windows\System32\taskhost.exe
C:\Windows\System32\wbem\WMIADAP.exe
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\SysWOW64\dllhost.exe
C:\Windows\SysWOW64\wbem\WmiPrvSE.exe



自定义阻止: svchost.exe   启动其他程序
操作：启动新应用程序
目标：C:\Windows\System32\Defrag.exe

xzykgc4mc3

qftest 发表于 2016-10-17 20:56
我不使用打印机，不但禁止了所有相关服务还禁用了NetBIOS，所以没有spoolsv.exe规则

源：C:\Windows\S ...

全局询问：强化注册表保护，这个规则好像杀伤力也是挺大的。加了进去，打开个我的电脑和回收站，都弹窗。再加上你自用规则中对svchost.exe的赋予的权限，我是勾上了日志和弹窗。结果每次开机时，前几秒磁盘占用都升到100去了。看了下好像是svchost.exe和eset的进程。日志里也塞满了svchost.exe的记录。

qftest

xzykgc4mc3 发表于 2016-10-21 17:52
全局询问：强化注册表保护，这个规则好像杀伤力也是挺大的。加了进去，打开个我的电脑和回收站，都弹窗。 ...

你的排除没做好，而且勾选了不必要的日志和弹窗

fireherman

xzykgc4mc3 发表于 2016-10-21 17:52
全局询问：强化注册表保护，这个规则好像杀伤力也是挺大的。加了进去，打开个我的电脑和回收站，都弹窗。 ...

【全局询问：强化注册表保护】这条好像说过了。

我是改为【全局阻止：强化注册表保护】（勾选日志），然后跑几天看看……结果发现……阻止了也不会影响（我的）系统，于是……把日志的勾选也去掉。

@qftest 上面那条svchost.exe你也可以设置【阻止】，然后勾选日志，看看是不是影响到系统，然后一条一条排除嘛。

qftest

fireherman 发表于 2016-10-23 09:46
【全局询问：强化注册表保护】这条好像说过了。

我是改为【全局阻止：强化注册表保护】（勾选日志）， ...

svchost.exe自身的正常行为还是不要阻止的好，这个系统进程应该给予极大信任，防止它被其他进程利用才是目的
其实主要是懒。。逐条检查日志然后慢慢排除很烦的。。

fireherman

qftest 发表于 2016-10-23 13:03
svchost.exe自身的正常行为还是不要阻止的好，这个系统进程应该给予极大信任，防止它被其他进程利用才是 ...

svchost.exe自身的正常行为还是不要阻止的好，这个系统进程应该给予极大信任，防止它被其他进程利用才是目的
其实主要是懒。。逐条检查日志然后慢慢排除很烦的。。

关键就是，要辨别怎么样才算svchost.exe自身的正常行为，快把你的规则……毫无保留地、一丝不挂地、如数家珍的分享出来！！

qftest

fireherman 发表于 2016-10-23 13:05
svchost.exe自身的正常行为还是不要阻止的好，这个系统进程应该给予极大信任，防止它被其他进程利 ...

是否正常行为需要综合判断
我的规则很多很细，无法全部分享