搜索
查看: 31060|回复: 95
收起左侧

[原创] ESET使用指南2——进阶知识(update:8.29)

  [复制链接]
renyifei
发表于 2016-8-27 11:09:40 | 显示全部楼层 |阅读模式
本帖最后由 renyifei 于 2016-9-17 20:46 编辑

     
ESET使用指南2
HIPS编写教程

版本:v1.2
前言
近日@qftest 大大在论坛发了一个ESET的规则强化,写明了ESET的各个防御点,但是有坛友反应说他们不会将这些精华带入到实际中,也就是玩不转,我写这篇帖子的目的就是为了教会广大坛友如何编写一套属于你自己的规则。
PS:大家如果哪里有问题或不明白,楼下跟贴即可
强烈推荐:杀软交流群,群号493883659

这篇不是很长,算是对1的补充和提高。

本帖适用于那些想学习编规则但又没有什么思路的同学,大神可以略过了。

如果你是ESET的初用者,可以先由基础开始:http://bbs.kafan.cn/thread-2053173-1-1.html

本文的介绍是希望你能做到:
1.对于任何一篇讲解ESET的HIPS防御点的帖子都要仔细观看,并且毫不犹豫的收藏下来
2.仔细阅读,不要放过任何一个细节,往往关键就在细节中
3.相信自己,不要看到复杂文件及注册表路径就想放弃,坚持下来,你会觉得其实没那么难


ESET的HIPS是神器,但是神器必须等级高才能用吗?不不不,新手一样可以拿神器

行了,话不多说,楼下开始讲具体的
PS:关于ESET的HIPS的澄清:
许多朋友都看不上ESET的HIPS,认为语法生涩,规则不能分组,但我想说,世界上有什么东西是绝对完美的呢?
不可否认ESET的HIPS是比较难用,但是其在许多方面还是比较出色的

感谢@fireherman 帮助排版
                     

评分

参与人数 4原创 +1 魅力 +1 人气 +2 收起 理由
屁颠屁颠 + 1 16年年度奖励
Johnkay.Young + 1 版区有你更精彩: )
Tarchia + 1 版区有你更精彩: )
qftest + 1 码字辛苦排版很漂亮

查看全部评分

renyifei
 楼主| 发表于 2016-8-27 12:05:50 | 显示全部楼层
本帖最后由 renyifei 于 2016-8-29 07:52 编辑

目录一
(一)理论篇:ESET规则的编写流程
1.目的:确定你要用HIPS来干什么
2.定位:找到所需要的应用程序,文件,注册表
3.编写:编写规则来进行控制
名词解释
FD文件防御(Files Defense)
RD注册表防御(Registry Defense)
AD应用程序防御(Applications Defense)
(二)实例篇:我们以@qftest 大大的规则来作为示范
FD规则
操作目标:全局询问:强化文件夹保护
C:\Users\qftest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
大大在当中提到要保护三个文件夹(全局询问),所以选择时“操作影响”的当然是文件,而在选择“操作”时是询问。
PS:操作影响就是说你设定这个规则受影响的是什么
捕获.PNG
选择源应用程序,在这里,我说一下:
选择所有应用程序的话就是全局规则,意思是此规则对你电脑上所有应用程序都适用
选择特定应用程序的话此规则只对你选定的程序适用,其他程序不受影响
在这里由于是全局性规则,我们选择所有应用程序
捕获6.PNG
选择之后就会让你选择应用程序干什么时HIPS提示。
选择所有文件操作
PS:文件有几种操作
1.删除文件:删除受保护文件夹中的文件
2.写入文件:往受保护文件中写东西
3.直接写入磁盘:已非标准形式直接读取或写入磁盘
4.安装全局挂钩:从MSDN库中调用函数
5.加载驱动:我们说的加驱,在系统上安装或加载驱动(危险动作)

捕获3.PNG
接着会让你选择是需要保护哪些文件
所有文件:对所有文件进行这些操作时都会提示(我叫这是双全局)
特定文件:只保护你选定的文件
我们因为是要保护关于修改启动项的文件,所以我们选择特定文件
选择文件的方法有两种:
1.自己找:从ESET给你的文件列表中找到所需文件(点旁边的四个小点)
2.直接输入路径:把文件路径直接写到长条中
捕获18.PNG
将所需文件添加至其中,就会出现下图所示
两种方法各有利弊
自己找的话,ESET会自动为您写好语法
直接输入会节省时间,但是要注意语法
注意:路径中间不能有通配符(*)
捕获4.PNG
由于我们是直接套用现成的路径,所以我选第二种
输完之后,点击确定,这个规则就写完了,点击完成
这是文件防御的写法
RD规则
大大在RD部分列出了许多重要的注册表键值,我们如何将其转化为规则呢?
全局询问:强化注册表保护
所以“操作影响”是注册表,“操作”是询问
捕获5.PNG
下一步,因为是全局规则,所以此规则对于所有应用程序都适用,那我们在选择源应用程序时就是所有应用程序。
和文件防御一样,接着会让你选择在应用程序进行那些注册表操作时询问。

选择所有注册表操作
PS:显示的几个注册表操作
1.更改启动设置:更改启动项
2.从注册表中删除:删除受保护注册表的键值(高危动作)
3.重命名注册表键:重命名注册表条目的名称
4.修改注册表:对受保护的注册表进行其他任何修改(如增加一个键值)

捕获7.PNG
接着就会选择是要保护哪些注册表条目了
我们在这里也有两种寻找的办法:
1.自己找:用ESET为你打开的注册表编辑器寻找注册表条目
2.直接输入:直接输入注册表条目的路径
优缺点和上面类似,一个适合语法不是很精通的,一个省时间
由于大大已经将注册表条目和位置写好了,所以我们选择第二种
依次添加后是这样
点击完成即可
捕获8.PNG
AD规则
应用程序防御就是限制某个应用程序对其他应用程序进行一些动作,而且其中有些动作很敏感
所以我们要编写一些规则来防御
我们以“全局询问:防止所有程序从 Temp 文件夹运行文件”为例
因为这是AD规则,所以“操作影响”当然是应用程序
又因为是全局询问,所以“操作”是询问
捕获9.PNG
接着又会让你选择这条规则适用的应用程序
既然是全局,那么源应用程序肯定是“所有应用程序”
捕获10.PNG
因为是启动新的应用程序,所以我们选择的操作只有“启动新应用程序”
PS:所显示的几个应用程序操作
1.调试另一个应用程序:将调试程序附加到进程。调试应用程序时,可以查看和修改其行为的许多详细信息,访问其数据。(高危动作)
2.拦截其他应用程序的事件:拦截针对受保护程序的事件
3.中止暂停其他应用程序:暂停,终止,继续进程
4.启动新应用程序:启动新的进程
5.修改其他应用程序的状态:写入受保护应用程序的内存或代表其代码(注入)

捕获11.PNG
接着,我们就要选择受保护的应用程序了
这里由于是防止启动临时文件目录下的所有程序,所以我们把整个目录复制进去(当然你也可以自己找)
点击确定,出来是这个样子
点击完成即可保存
捕获12.PNG
反勒索
之前我们讲的都是全局性的规则,当然也有非全局性的
我们以反勒索规则一为例
操作目标:禁止脚本解释器启动其他程序
阻止
源应用程序:
C:\windows\system32\wscript.exe
C:\windows\system32\cscript.exe
C:\Windows\SysWOW64\wscript.exe
C:\Windows\SysWOW64\cscript.exe
C:\windows\system32\ntvdm.exe

操作:启动新应用程序
目标应用程序:所有

首先可以确定,这是一条AD规则
捕获21.PNG
所以我们选择的“操作影响”是应用程序
然后“操作”处选择阻止
接着会让你找到文件路径,由于这不是全局规则,所以我们选择“特定应用程序”并点击添加
接着会弹出白框,一点他,就会弹出一个文件管理器
ps:在文件管理器最下面直接输入文件路径就会找到相应程序
捕获23.PNG
将四个程序依次添加,会出现下图所示
捕获22.PNG
然后会让你选择在这几个程序做什么事时HIPS询问
由于要禁止其启动新应用程序
所以我们选择第四项
捕获24.PNG
接着会让你选择启动什么程序时询问,因为目标应用程序是所有,我们选择所有应用程序
点击完成
捕获25.PNG
(三)结语
ESET的HIPS看起来复杂,但是只要多学多问,就会明白其中的道理。
renyifei
 楼主| 发表于 2016-8-28 17:55:56 | 显示全部楼层
本帖最后由 renyifei 于 2016-8-29 16:47 编辑

目录二
(三)应用篇:关于ESET的HIPS弹窗
ESET的弹窗很单一,基本上就是下图这种
PS:弹窗的出现,一般有两种情况
1.根据制定的规则
2.根据自带规则或行为判断
捕获26.PNG

应用程序就是说该动作的发起者(上图为Google的Chromium项目组)
注:Chromium项目组并不等同于Chrome浏览器开发组
公司程序的生产商
信誉程序的信誉等级和第一次发现程序的时间
访问类型应用程序的动作(如访问某个受保护文件,修改某个受保护注册表键值)
目标此应用所产生的动作是指向什么
允许(按键)允许一次该程序的动作
拒绝(按键)拒绝一次该程序的动作
创建规则(左下勾选框)永久记住,并创建一条此程序关于此动作的规则,如果选择,ESET将自动生成规则,今后会根据你本次的决定做出判断(不弹窗)
暂时记住(左下勾选框)不创建规则,但是暂时记住你的决定(好像重启后就失效了)
(四)关于防火墙设置问题
ESET的防火墙规则编写很复杂,我怕一说出来许多朋友就懵了
但是也有朋友对于默认的设置实在不放心,想要自己来几条
但我忠告:不要乱动,设置不好连不上网,也不会排错,到时哭都来不及了
我这里有一个简单粗暴的写规则办法:
首先,打开防火墙设置,选择学习模式
捕获28.PNG
然后保存设置,开始运行电脑上所有程序
这时会频频弹窗,别管他,继续
到了没有程序可运行时,转换成交互模式
捕获27.PNG
重启电脑,一开机,可能会有一些弹窗,可能是系统服务,也可能是驱动程序
点创建规则,允许即可
PS:这个办法有个前提就是必须在系统没有安任何破解/绿色软件时才有效;对于很多杀毒软件来说,破解的软件有入侵程序的动作,属于间谍行为。

siqiang
发表于 2016-8-28 17:58:20 | 显示全部楼层
占楼支持。昨天刚转战ESET
renyifei
 楼主| 发表于 2016-8-28 17:58:54 | 显示全部楼层
siqiang 发表于 2016-8-28 17:58
占楼支持。昨天刚转战ESET

谢谢支持
fireherman
发表于 2016-8-28 18:39:55 | 显示全部楼层
本帖最后由 fireherman 于 2016-8-28 18:41 编辑

终于迎来了进阶篇。

似乎缺乏点名词解释,要不要加上?

例如FD,AD

评分

参与人数 1人气 +1 收起 理由
renyifei + 1 辛苦了

查看全部评分

vanishtime
发表于 2016-8-28 22:07:55 | 显示全部楼层
本帖最后由 vanishtime 于 2016-8-28 22:36 编辑

施工了好久。。。支持
hips完全不会写,感谢

等到10出bd应该也过期了,正好换回

这句中应该是eset
1.对于任何一篇讲解ESEY的HIPS防御点的帖子都要仔细观看,并且毫不犹豫的收藏下来
renyifei
 楼主| 发表于 2016-8-28 22:25:27 来自手机 | 显示全部楼层
vanishtime 发表于 2016-8-28 22:07
施工了好久。。。支持
hips完全不会写,感谢


谢谢反馈
qftest
发表于 2016-8-28 22:37:23 | 显示全部楼层
码字辛苦排版很漂亮
我不是大大,请叫我小Q。。。技能冷却中,明天补人妻
ysj963
发表于 2016-8-28 23:13:54 | 显示全部楼层
我想问用了360卫士主防还有必要在nod32hips上设置吗,会冲突吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-17 10:58 , Processed in 0.048833 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表