如何使用HIPS规则保护svchost.exe（系统）文件

fireherman

svchost.exe是Windows系统下的重要文件（位置在Windows\System32\）。

正因为它很重要，于是就成为病毒、木马、恶意程序的攻击（控制）对象。

用HIPS规则对其进行监控，是其中一个有效预防的手段。

不过……关键是：这条规则该怎么写才能达致【安全】【高效】之目的。

PS：使用的是ESET自带HIPS

求高手指教：
@iduserid
@vanishtime
@经常看海
@电脑发烧友
@renyifei
@windows7爱好者
@qftest
没@到的大神请勿介意，大神太多，不好@啊。


附带自家（Windows7 x64旗舰版）svchost.exe的情况，望大神看看如何优化（13个）

Tasklist /svc 结果

svchost.exe                    800 DcomLaunch, PlugPlay, Power

svchost.exe                    884 RpcEptMapper, RpcSs

svchost.exe                    976 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc

svchost.exe                   1012 AudioEndpointBuilder, CscService, Netman,                                       PcaSvc, SysMain, TabletInputService,                                            TrkWks, UxSms, Wlansvc

svchost.exe                    264 BITS, EapHost, IKEEXT, iphlpsvc,                                                LanmanServer, ProfSvc, RasMan, Schedule,                                       SENS, ShellHWDetection, Themes, Winmgmt,                                       wuauserv

svchost.exe                    500 gpsvc

svchost.exe                    328 EventSystem, netprofm, nsi, SstpSvc,                                            WdiServiceHost

svchost.exe                   1060 CryptSvc, Dnscache, LanmanWorkstation,                                          NlaSvc, TapiSrv

svchost.exe                   1228 BFE, DPS, MpsSvc

svchost.exe                   1352 DiagTrack

svchost.exe                   2304 WinDefend

svchost.exe                   2464 PolicyAgent

svchost.exe                   1284 FontCache, SSDPSRV

qftest

这个svchost.exe是windows服务主进程，权限极大使得它成为攻击目标，要保护它涉及范围太大又使得很难面面俱到，尤其楼主还特别注明使用ESET hips，我觉得单靠ESET无法完成这个艰巨的任务
4楼说到了一些方面，对于ESET hips，防修改ok，ESET默认防修改svchost文件，操作内存ESET可以防大部份但不是全部，防调用也可以做到，但ESET防dll不行，因为没有命令行检测能力，只要dll被regsvr32注册成功了就默许可以被加载、并且还可能被通过特殊方式通过dll注册新服务（ESET拦不了这个，SSP可以）
在VSE规则中，因为svchost权限实在太大，所以有一条专门的规则“禁止svchost执行非windows可执行文件”，这里的可执行文件一般指dll动态库文件，但如上所述ESET防不了dll。。。而且实际上你也不应该对每个dll都去监控，要知道windows实质上几乎就是注册表+dll，如果那样去做将可能严重影响用户体验
因此，虽然ESET hips可以防加驱防创建服务防进程注入，但由于ESET hips的先天缺陷防不了dll加载、防不了进程间消息（这个可以间接控制svchost.exe）。。。说到这里我想安利ERP，简单好用的anti-exec，至少在regsvr32注册dll时可以拦截命令行，而拦截进程间通信就需要SSP，这两者搭配ESET绝无冲突。。。
总之，单靠ESET hips是不可能的

vanishtime

我不是高手

小白路过

经常无语

搬小板凳等听课！

电脑发烧友

一般来说
禁止未知程序修改svchost文件，操作svchost内存，调用也要监控，因为子进程是拥有父进程句柄的，所以调用svchost之后可以直接控制其行为，还要防止其加载的dll被篡改或者dll劫持，一般都是直接禁止未知程序写win目录。

windows7爱好者

电脑发烧友 发表于 2016-8-31 22:43
一般来说
禁止未知程序修改svc ...

还要防止dll随explorer启动
虽然我不知道规则怎么写，但是神网给了我这个教训

电脑发烧友

windows7爱好者 发表于 2016-8-31 22:49
还要防止dll随explorer启动
虽然我不知道规则怎么写，但是神网给了我这个教训

如果hips没有对dll加载的控制，监控dll的创建是不错的选择。

我要打十個

现在的HIPS有弊端
你不能对SVCHOST进行限制，所以只能限制程序对他的访问
但这又会影响到正常程序的运行

电脑发烧友

我要打十個 发表于 2016-8-31 22:53
现在的HIPS有弊端
你不能对SVCHOST进行限制，所以只能限制程序对他的访问
但这又会影响到正常程序的运行
...

可以对svchost直接限制，但是因为其隶属系统，限制起来需要考虑的比较多，远没有直接控制其他程序对svchost的动作来的实在。

我要打十個

电脑发烧友 发表于 2016-8-31 22:56
可以对svchost直接限制，但是因为其隶属系统，限制起来需要考虑的比较多，远没有直接控制其他程序对svc ...

都是些无关重要的限制，始终不能阻止他进行核心操作

电脑发烧友

我要打十個 发表于 2016-8-31 23:03
都是些无关重要的限制，始终不能阻止他进行核心操作

为什么无关紧要？不明白。核心操作是什么？一个系统程序要限制也要加倍小心，不是随便说说的。