收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 如何使用HIPS规则保护svchost.exe(系统)文件
12345678下一页
返回列表 发新帖
楼主: fireherman
 收起左侧

[讨论] 如何使用HIPS规则保护svchost.exe(系统)文件

[复制链接]
fireherman
 楼主| 发表于 2016-8-31 23:10:52 | 显示全部楼层
@我要打十個
@电脑发烧友


这个就是问题所在;HIPS只能选【询问】(选【允许】失去意义)

无论Svchost.exe是作为【源文件】还是【目标文件】,都会出现(过多的)弹窗:不高效

选【拒绝】又肯定会影响系统稳定性:不安全





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fireherman
 楼主| 发表于 2016-8-31 23:16:08 | 显示全部楼层
经常看海 发表于 2016-8-31 22:30
搬小板凳等听课!

你还听课?一脚把你踹上讲台。
回复

举报

电脑发烧友
发表于 2016-8-31 23:18:54 | 显示全部楼层
本帖最后由 电脑发烧友 于 2016-8-31 23:21 编辑
fireherman 发表于 2016-8-31 23:10
@我要打十個
@电脑发烧友


允许windows目录下的程序修改windows目录的所有文件
源程序* 目标 windows目录 询问创建修改删除文件(为了简化弹窗可以指定几个后缀)
源程序windows目录下所有程序 目标程序svchost  勾选启动新应用和修改应用程序状态 允许以上操作
源程序* 目标程序svchost  勾选启动新应用和修改应用程序状态 询问以上操作

第一条和第三条eset的hips应该做不到。
回复

举报

fireherman
 楼主| 发表于 2016-8-31 23:24:08 | 显示全部楼层
电脑发烧友 发表于 2016-8-31 23:18
允许windows目录下的程序修改windows目录的所有文件
源程序* 目标 windows目录 询问创建修改删除文件 ...


你的意思是写2条规则,相互制衡的同时,又能防止外来程序启动Svchost?

我有这样想过,但ESET的HIPS似乎真的很难实现第一条。
回复

举报

电脑发烧友
发表于 2016-8-31 23:29:56 | 显示全部楼层
fireherman 发表于 2016-8-31 23:24
你的意思是写2条规则,相互制衡的同时,又能防止外来程序启动Svchost?

我有这样想过,但ESET的HIPS ...

所有eset的hips认真玩的话估计玩不动。
回复

举报

fireherman
 楼主| 发表于 2016-8-31 23:31:46 | 显示全部楼层
本帖最后由 fireherman 于 2016-8-31 23:32 编辑
电脑发烧友 发表于 2016-8-31 23:29
所有eset的hips认真玩的话估计玩&# ...


ESET的HIPS通配符规则……真是有点害死人,也坑了ESET自己。

例如不支持*.exe / *.com / *.bat
回复

举报

电脑发烧友
发表于 2016-8-31 23:34:57 | 显示全部楼层
fireherman 发表于 2016-8-31 23:31
ESET的HIPS通配符规则……真是有点害死人,也坑了ESET自己。

例如不支持*.exe / *.com / *.bat

如果打算认真玩hips我还是不推荐eset的。
回复

举报

qftest
发表于 2016-8-31 23:47:08 | 显示全部楼层
本帖最后由 qftest 于 2016-8-31 23:48 编辑

这个svchost.exe是windows服务主进程,权限极大使得它成为攻击目标,要保护它涉及范围太大又使得很难面面俱到,尤其楼主还特别注明使用ESET hips,我觉得单靠ESET无法完成这个艰巨的任务
4楼说到了一些方面,对于ESET hips,防修改ok,ESET默认防修改svchost文件,操作内存ESET可以防大部份但不是全部,防调用也可以做到,但ESET防dll不行,因为没有命令行检测能力,只要dll被regsvr32注册成功了就默许可以被加载、并且还可能被通过特殊方式通过dll注册新服务(ESET拦不了这个,SSP可以)
在VSE规则中,因为svchost权限实在太大,所以有一条专门的规则“禁止svchost执行非windows可执行文件”,这里的可执行文件一般指dll动态库文件,但如上所述ESET防不了dll。。。而且实际上你也不应该对每个dll都去监控,要知道windows实质上几乎就是注册表+dll,如果那样去做将可能严重影响用户体验
因此,虽然ESET hips可以防加驱防创建服务防进程注入,但由于ESET hips的先天缺陷防不了dll加载、防不了进程间消息(这个可以间接控制svchost.exe)。。。说到这里我想安利ERP,简单好用的anti-exec,至少在regsvr32注册dll时可以拦截命令行,而拦截进程间通信就需要SSP,这两者搭配ESET绝无冲突。。。
总之,单靠ESET hips是不可能的

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 卡饭没有几个人说真心话了。。谢!

查看全部评分

回复

举报

fireherman
 楼主| 发表于 2016-9-1 00:06:54 | 显示全部楼层
qftest 发表于 2016-8-31 23:47
这个svchost.exe是windows服务主进程,权限极大使得它成为攻击目标,要保护它涉及范围太大又使得很难面面俱 ...

我很想给你一个Like(赞),可惜我没有这个权限。

唯一能做到的,就是把你的回复进行【顶置】
回复

举报

iduserid
发表于 2016-9-1 02:30:55 | 显示全部楼层
不懂规则,所以我不会

但监控“System32”文件夹的软件年初我倒试用过一个SystemProtect
----SystemProtect默认对“System32”文件夹生效----
(当时目的是想防御“敲诈者”病毒的,提醒:软件不一定支持WIN10)

SystemProtect的主页现在已大变样,我就没有找到它
(论坛规定:附加网页就是广告,这次幸运呀--有主页的我通常带个主页)

百度盘分享
http://pan.baidu.com/s/1skQb5cL

此软件也可以手动添加其它文件(夹)的监控,
适合普通用户使用---它就是一个对文件(夹)的监控(保护)软件

简洁,有效
(实际效果交给其它朋友测试了,我也不知)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12345678下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 10:38 , Processed in 0.103931 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表