ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）

T.Yoshiyuki

记得当年懒得自己写规则了 并尝试把卡巴非常完善的自带规则搬到ESET去
结果发现卡巴注册表部分支持的通配符那叫一个多啊……
搬到ESET里几乎一半要改的……
默默流泪

renyifei

T.Yoshiyuki 发表于 2016-8-19 13:14
记得当年懒得自己写规则了 并尝试把卡巴非常完善的自带规则搬到ESET去
结果发现卡巴注册表部分支持的通配 ...

这就好比什么呢，你把bd的毒库搬到卡巴斯基里，这样卡巴斯基的查杀和防御就会提高吗?只有自己的才是最好的

nickooo

楼主你的规则自己用了没？我添加了防注入那个规则，猎豹wifi就疯狂弹窗，电脑差点卡死  还有你的这条规则我添加之后就不断出现下面的弹窗  （就在我添加图片的时候chrome就弹了三次窗 我想应该是我添加了你的强化桌面文件夹保护这条规则造成的）

nickooo

nickooo 发表于 2016-8-19 18:17
楼主你的规则自己用了没？我添加了防注入那个规则，猎豹wifi就疯狂弹窗，电脑差点卡死  还有你的这条 ...

HKEY_USERS\*\Software\Microsoft\Internet Explorer\*  忘了粘贴进来。。

renyifei

nickooo 发表于 2016-8-19 18:18
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*  忘了粘贴进来。。

你把这条删了或禁用，看看是否有这种情况
而且楼主并没有提供规则啊！他只是教你怎样些写规则，需要注意什么，我按照这样试了试，楼主的规则编写注意区域不错，和我口味一样
你可以自己先写，然后再参考

nickooo

renyifei 发表于 2016-8-19 18:41
你把这条删了或禁用，看看是否有这种情况

我删了防注入的规则 好了 同时允许svchost.exe修改注册表和调试程序 要不然弹窗弹得飞起。

T.Yoshiyuki

renyifei 发表于 2016-8-19 14:14
这就好比什么呢，你把bd的毒库搬到卡巴斯基里，这样卡巴斯基的查杀和防御就会提高吗?只有自己的才是最好 ...

哦呀 这比方跟实际八竿子打不着呢
我应该说得很清楚了 摘抄的是卡巴自带的防御点 即一些需要保护的文件、注册表路径
这些由个人来总结非常繁琐 除了专门编写hips规则组并分享的大牛 几乎做不到
像这个帖的楼主也只列举了几个常见的防御点
而卡巴自带规则不仅分组规整、而且详细可观 这是我抄出来的一部分：


这个文件我在hips区分享过 你可以找找

虽然规则不能导出直接用 但只靠复制防御点 就能让ESET也用上不是吗
只不过卡巴这些注册表规则有一种蛋疼的通配符叫“，，” 让人摸不着头脑

顺便召唤楼主讨论@qftest

renyifei

T.Yoshiyuki 发表于 2016-8-19 18:48
哦呀 这比方跟实际八竿子打不着呢
我应该说得很清楚了 摘抄的是卡巴自带的防御点 即一些需要保护的文件 ...

对于防御点的编写，我一般都是人工，只保护几个极其敏感区(貌似思路一样)，剩下直接全局规则锁定(不要告我这样弹窗很多，我懒得编那么多规则)
摘抄别的安软，我真心没试过
要不然你再分享给我一份，我没找到哦！我也试试

呼啸风影

qftest 发表于 2016-8-18 22:15
这让我想起VSE，那个“阻止对所有共享资源的读写访问”可能更适合你的口味，VSE不是怕注入么，正好 ...

学长，你的规则是在智能模式情况下补充创建的还是在基于条件模式的情况下

qftest

nickooo 发表于 2016-8-19 18:17
楼主你的规则自己用了没？我添加了防注入那个规则，猎豹wifi就疯狂弹窗，电脑差点卡死  还有你的这条 ...

主楼的四条自定义规则都是我的自用规则的一部份，放在主楼作为范例以供读者参考
众所周知手动HIPS非常依赖于操作者的选择判断，不可以简单的生搬硬套毕竟系统环境不一样，不过我还是很高兴得知规则在你的电脑也能生效，至少证明在语法方面没有问题
至于你说的弹窗，我想这与排除有关，对于信任的系统进程你可以不限制，在实际使用中只要防止其他未知的陌生进程注入系统进程就可以了，这才是防注入规则的意义所在