ESET hips语法初试与规则强化 （Update: 2016.08.24 官方反勒索规则）

bbszy

话说从哪里可以看到官方的规则哦。。。

renyifei

楼主，我觉得应该加一条这样的规则:
阻止向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Imag e File Execution Options添加Debugger键值，来防止映像劫持
不知自带规则有没有，一家之言仅供参考
@qftest

WYX_fanka

这个是说NOD32的HIPS设置么？

这样设置 能否起到基本的防止勒索病毒这种病毒特征不显著的勒索程序？

renyifei

WYX_fanka 发表于 2016-8-27 09:30
这个是说NOD32的HIPS设置么？

这样设置 能否起到基本的防止勒索病毒这种病毒特征不显著的勒索程序？

设置不同于规则，HIPS是根据报告可以文件行为让用户判断是否为可以文件
而规则，则是让HIPS在发现可以文件是有一个判断标准。并不是设置，因为HIPS本身是没有多少判断能力的
至于你的第二个问题，你去看看我的指南中的HIPS部分
HIPS就是在病毒入库之前将其行为报告给用户，让用户自己发现并阻止
而勒索病毒本身在起作用之前就会有一些可疑行为，所以HIPS就是用来分辨这类病毒特征不明显病毒的
楼主的规则是官方规则，是最好方案

qftest

bbszy 发表于 2016-8-26 21:41
话说从哪里可以看到官方的规则哦。。。

官方预定义规则对用户是“不可见的”，只能通过实验来测试
而如果你问的是主楼的官方反勒索规则，我已在主楼提供了油管视频链接，或者你也可以通过下面这个地址了解
http://support.eset.com/KB6119/?ref=yt/

qftest

renyifei 发表于 2016-8-27 09:04
楼主，我觉得应该加一条这样的规则:
阻止向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Imag e Fi ...

内置规则不保护IFEO，但主楼的自定义RD已经添加了相应规则
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
\* 包括了所有键值以及任意下级的项与键值

qftest

WYX_fanka 发表于 2016-8-27 09:30
这个是说NOD32的HIPS设置么？

这样设置 能否起到基本的防止勒索病毒这种病毒特征不显著的勒索程序？

如果你问的是主楼附录的hips“官方反勒索规则”
官方说那是“best practices”最佳方案

renyifei

qftest 发表于 2016-8-27 10:44
内置规则不保护IFEO，但主楼的自定义RD已经添加了相应规则
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ...

谢谢回答。

renyifei

qftest 发表于 2016-8-27 10:46
如果你问的是主楼附录的hips“官方反勒索规则”
官方说那是“best practices”最佳方案

既然是官方规则，那他为什么不加入到自带规则中，至少不放出来，让用户有更多选择呢？

qftest

renyifei 发表于 2016-8-27 10:52
既然是官方规则，那他为什么不加入到自带规则中，至少不放出来，让用户有更多选择呢？

因为官方同时还说“but the specific settings needed for your security environment may vary”，我想这就是没有内置的原因
然而我们可以看到，在v10版本中，“反勒索”与“脚本防御”已经成为单独的选项，并且和hips紧密关联，也许这就是v10的一个进步