ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）

nickooo

额 我是之前没有hips规则的，看到楼主帖子后就把你的规则强化那部分规则用上了，可能是我缺少允许的规则吧，才有那么多弹窗和通知。（附一张截图吧，添加那个防注入规则后通知瞬间飙到上万条）楼主说的不错，的确不能生搬硬套。

qftest

T.Yoshiyuki 发表于 2016-8-19 18:48
哦呀 这比方跟实际八竿子打不着呢
我应该说得很清楚了 摘抄的是卡巴自带的防御点 即一些需要保护的文件 ...

卡巴的规则语法跟ESET的不一样，比如卡巴可以用HKLM这样的简写，ESET却必须写完整HKEY_LOCAL_MACHINE
卡巴的那个“，，”应该是分隔符，比如这个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*
在ESET里表示该路径下的Installed Components项的所有键值及其后级路径的所有项和键值
而卡巴如果写成
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\*,,StubPath
意思就是该路径下的Installed Components项的任何下级路径的所有被赋值为StubPath的键

qftest

nickooo 发表于 2016-8-19 19:36
额 我是之前没有hips规则的，看到楼主帖子后就把你的规则强化那部分规则用上了，可能是我缺少允许的规则吧 ...

这个弹窗弹得很漂亮，阻止kwifiguard.exe（陌生程序）获得svchost.exe（系统进程）的访问权，展现了防注入规则的强大，很赞，要的就是这个效果
如果确认kwifiguard.exe无威胁，放行即可

qftest

呼啸风影 发表于 2016-8-19 19:12
学长，你的规则是在智能模式情况下补充创建的还是在基于条件模式的情况下

先用三天的学习模式，然后删除所有允许注入的学习规则，再切换成交互模式，手动增加主楼的四条自定义规则，开始正式打磨适合自己需求的实用规则（保持交互模式不变）

zebao

原来曾用过EES，就是有安装程序时不能暂停或进入安装模式，鼠标点个不停，太烦人。

renyifei

qftest 发表于 2016-8-19 19:47
卡巴的规则语法跟ESET的不一样，比如卡巴可以用HKLM这样的简写，ESET却必须写完整HKEY_LOCAL_MACHINE
卡 ...

卡巴斯基能简写? 我以前都是完整的写，现在觉得自己好傻

qftest

renyifei 发表于 2016-8-20 10:09
卡巴斯基能简写? 我以前都是完整的写，现在觉得自己好傻

卡巴、咖啡、BUG豆。。。都能简写，就ESET不能

renyifei

qftest 发表于 2016-8-20 11:10
卡巴、咖啡、BUG豆。。。都能简写，就ESET不能

感觉自己更傻了，以前用毛豆时也是全写

hx1997

无效：%USERPROFILE%\AppData\Local\Temp\*.*

关于这条：http://bbs.kafan.cn/thread-1257058-1-1.html

然而并没有什么卵用，官方表示你写绝对路径就好了。（微笑）

afire521

学习下怎么防注入，这个好难