楼主: qftest
收起左侧

[原创] ESET hips语法初试与规则强化 (Update: 2016.08.24 官方反勒索规则)

  [复制链接]
nickooo
发表于 2016-8-19 19:36:59 | 显示全部楼层
额 我是之前没有hips规则的,看到楼主帖子后就把你的规则强化那部分规则用上了,可能是我缺少允许的规则吧,才有那么多弹窗和通知。(附一张截图吧,添加那个防注入规则后通知瞬间飙到上万条)楼主说的不错,的确不能生搬硬套。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2016-8-19 19:47:56 | 显示全部楼层
T.Yoshiyuki 发表于 2016-8-19 18:48
哦呀 这比方跟实际八竿子打不着呢
我应该说得很清楚了 摘抄的是卡巴自带的防御点 即一些需要保护的文件 ...

卡巴的规则语法跟ESET的不一样,比如卡巴可以用HKLM这样的简写,ESET却必须写完整HKEY_LOCAL_MACHINE
卡巴的那个“,,”应该是分隔符,比如这个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*
在ESET里表示该路径下的Installed Components项的所有键值及其后级路径的所有项和键值
而卡巴如果写成
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\*,,StubPath
意思就是该路径下的Installed Components项的任何下级路径的所有被赋值为StubPath的键
qftest
 楼主| 发表于 2016-8-19 19:59:42 | 显示全部楼层
nickooo 发表于 2016-8-19 19:36
额 我是之前没有hips规则的,看到楼主帖子后就把你的规则强化那部分规则用上了,可能是我缺少允许的规则吧 ...

这个弹窗弹得很漂亮,阻止kwifiguard.exe(陌生程序)获得svchost.exe(系统进程)的访问权,展现了防注入规则的强大,很赞,要的就是这个效果
如果确认kwifiguard.exe无威胁,放行即可
qftest
 楼主| 发表于 2016-8-19 20:04:55 | 显示全部楼层
呼啸风影 发表于 2016-8-19 19:12
学长,你的规则是在智能模式情况下补充创建的还是在基于条件模式的情况下

先用三天的学习模式,然后删除所有允许注入的学习规则,再切换成交互模式,手动增加主楼的四条自定义规则,开始正式打磨适合自己需求的实用规则(保持交互模式不变)
zebao
发表于 2016-8-19 20:57:02 | 显示全部楼层
原来曾用过EES,就是有安装程序时不能暂停或进入安装模式,鼠标点个不停,太烦人。
renyifei
发表于 2016-8-20 10:09:42 | 显示全部楼层
qftest 发表于 2016-8-19 19:47
卡巴的规则语法跟ESET的不一样,比如卡巴可以用HKLM这样的简写,ESET却必须写完整HKEY_LOCAL_MACHINE
卡 ...

卡巴斯基能简写? 我以前都是完整的写,现在觉得自己好傻
qftest
 楼主| 发表于 2016-8-20 11:10:06 | 显示全部楼层
renyifei 发表于 2016-8-20 10:09
卡巴斯基能简写? 我以前都是完整的写,现在觉得自己好傻

卡巴、咖啡、BUG豆。。。都能简写,就ESET不能
renyifei
发表于 2016-8-20 11:20:24 | 显示全部楼层
qftest 发表于 2016-8-20 11:10
卡巴、咖啡、BUG豆。。。都能简写,就ESET不能

感觉自己更傻了,以前用毛豆时也是全写
hx1997
发表于 2016-8-20 21:01:34 | 显示全部楼层
无效:%USERPROFILE%\AppData\Local\Temp\*.*


关于这条:http://bbs.kafan.cn/thread-1257058-1-1.html

然而并没有什么卵用,官方表示你写绝对路径就好了。(微笑)

评分

参与人数 1人气 +1 收起 理由
qftest + 1 感谢解答: )

查看全部评分

afire521
发表于 2016-8-20 22:23:12 | 显示全部楼层
学习下怎么防注入,这个好难
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 07:20 , Processed in 0.093264 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表