FD规则 |
操作目标:全局询问:强化文件夹保护
C:\Users\qftest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
大大在当中提到要保护三个文件夹(全局询问),所以选择时“操作影响”的当然是文件,而在选择“操作”时是询问。
PS:操作影响就是说你设定这个规则受影响的是什么
|
选择源应用程序,在这里,我说一下:
选择所有应用程序的话就是全局规则,意思是此规则对你电脑上所有应用程序都适用
选择特定应用程序的话此规则只对你选定的程序适用,其他程序不受影响
在这里由于是全局性规则,我们选择所有应用程序
|
选择之后就会让你选择应用程序干什么时HIPS提示。
选择所有文件操作
PS:文件有几种操作
1.删除文件:删除受保护文件夹中的文件
2.写入文件:往受保护文件中写东西
3.直接写入磁盘:已非标准形式直接读取或写入磁盘
4.安装全局挂钩:从MSDN库中调用函数
5.加载驱动:我们说的加驱,在系统上安装或加载驱动(危险动作)
|
接着会让你选择是需要保护哪些文件
所有文件:对所有文件进行这些操作时都会提示(我叫这是双全局)
特定文件:只保护你选定的文件
我们因为是要保护关于修改启动项的文件,所以我们选择特定文件
选择文件的方法有两种:
1.自己找:从ESET给你的文件列表中找到所需文件(点旁边的四个小点)
2.直接输入路径:把文件路径直接写到长条中
|
将所需文件添加至其中,就会出现下图所示
两种方法各有利弊
自己找的话,ESET会自动为您写好语法
直接输入会节省时间,但是要注意语法
注意:路径中间不能有通配符(*)
|
由于我们是直接套用现成的路径,所以我选第二种
输完之后,点击确定,这个规则就写完了,点击完成
这是文件防御的写法 |
RD规则 |
大大在RD部分列出了许多重要的注册表键值,我们如何将其转化为规则呢?
|
所以“操作影响”是注册表,“操作”是询问
|
下一步,因为是全局规则,所以此规则对于所有应用程序都适用,那我们在选择源应用程序时就是所有应用程序。
和文件防御一样,接着会让你选择在应用程序进行那些注册表操作时询问。
|
选择所有注册表操作
PS:显示的几个注册表操作
1.更改启动设置:更改启动项
2.从注册表中删除:删除受保护注册表的键值(高危动作)
3.重命名注册表键:重命名注册表条目的名称
4.修改注册表:对受保护的注册表进行其他任何修改(如增加一个键值)
|
接着就会选择是要保护哪些注册表条目了
我们在这里也有两种寻找的办法:
1.自己找:用ESET为你打开的注册表编辑器寻找注册表条目
2.直接输入:直接输入注册表条目的路径
优缺点和上面类似,一个适合语法不是很精通的,一个省时间
由于大大已经将注册表条目和位置写好了,所以我们选择第二种
依次添加后是这样
点击完成即可
|
AD规则 |
应用程序防御就是限制某个应用程序对其他应用程序进行一些动作,而且其中有些动作很敏感
所以我们要编写一些规则来防御
我们以“全局询问:防止所有程序从 Temp 文件夹运行文件”为例
因为这是AD规则,所以“操作影响”当然是应用程序
又因为是全局询问,所以“操作”是询问
|
接着又会让你选择这条规则适用的应用程序
既然是全局,那么源应用程序肯定是“所有应用程序”
|
因为是启动新的应用程序,所以我们选择的操作只有“启动新应用程序”
PS:所显示的几个应用程序操作
1.调试另一个应用程序:将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,访问其数据。(高危动作)
2.拦截其他应用程序的事件:拦截针对受保护程序的事件
3.中止暂停其他应用程序:暂停,终止,继续进程
4.启动新应用程序:启动新的进程
5.修改其他应用程序的状态:写入受保护应用程序的内存或代表其代码(注入)
|
接着,我们就要选择受保护的应用程序了
这里由于是防止启动临时文件目录下的所有程序,所以我们把整个目录复制进去(当然你也可以自己找)
点击确定,出来是这个样子
点击完成即可保存
|
反勒索 |
之前我们讲的都是全局性的规则,当然也有非全局性的
我们以反勒索规则一为例 |
操作目标:禁止脚本解释器启动其他程序
阻止
源应用程序:
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe
操作:启动新应用程序
目标应用程序:所有
首先可以确定,这是一条AD规则
|
所以我们选择的“操作影响”是应用程序
然后“操作”处选择阻止
接着会让你找到文件路径,由于这不是全局规则,所以我们选择“特定应用程序”并点击添加
接着会弹出白框,一点他,就会弹出一个文件管理器
ps:在文件管理器最下面直接输入文件路径就会找到相应程序
|
将四个程序依次添加,会出现下图所示
|
然后会让你选择在这几个程序做什么事时HIPS询问
由于要禁止其启动新应用程序
所以我们选择第四项
|
接着会让你选择启动什么程序时询问,因为目标应用程序是所有,我们选择所有应用程序
点击完成
|