如何使用HIPS规则保护svchost.exe（系统）文件

qftest

fireherman 发表于 2016-9-1 20:44
艺术和淫秽只是一线之差，马总说你淫秽你就是淫秽……不得上诉，也没有上诉：谁的底子厚谁说了算。[:01 ...

这是传说中的版聊吧？米版如果看到估计会扣你分
米版放我一马呗，我是无辜的

冬季、恋歌

监控svchost的dll加载，可以先开一下学习模式，让hips记住svchost加载了哪些dll，然后再一个一个排除非系统的dll，下来就可以直接进行监控了。

renyifei

qftest 发表于 2016-9-1 20:33
。。。
其实拦这个就可以了
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Interne ...

好的

fireherman

qftest 发表于 2016-9-1 20:18
我用的是EEA，不知道怎么阻止那个旋风连接TB，没见过这种情况
如果dll注册过了，那么ESET确实不会管它是 ...

@renyifei

我终于明白这个网址拦截是怎么回事了，是我自己犯了低级错误（忘记旋风是吸血驴，也忘记查看【工具】里的【网络连接】）。

旋风不是正规的P2P工具，会疯狂地使用HTTP（HTTPS），BT，ED2K三个协议在网络上搜索资源，包括服务器、已经启动旋风客户端的个人电脑；而在找到数据后，就会疯狂地发送连接请求……好死不死……这个网址正好是ESET的内部黑名单（用户黑名单），结果就出现被疯狂拦截的日志。

qftest

fireherman 发表于 2016-9-2 19:47
@renyifei

我终于明白这个网址拦截是怎么回事了，是我自己犯了低级错误（忘记旋风是吸血驴，也忘记查 ...

这个真不知该说什么

fireherman

qftest 发表于 2016-9-2 20:19
这个真不知该说什么

但我还是觉得奇怪，我下载的资源……片子……115服务器上有不奇怪，那个数字IP地址（估计也是服务器）有也不奇怪……为什么taobao上面都会有？

难道所有服务器端……都有黄段子？

qftest

fireherman 发表于 2016-9-2 20:33
但我还是觉得奇怪，我下载的资源……片子……115服务器上有不奇怪，那个数字IP地址（估计也是服务器）有 ...

这就有点玄幻了
不如用官方版本试试看，是否有同样的情况？

fireherman

qftest 发表于 2016-9-2 20:45
这就有点玄幻了
不如用官方版本试试看，是否有同样的情况？

---

不！！！！用官方那个，还要重新设置一堆HIPS规则，不要不要不要！！！

---

@renyifei

再次回到HIPS规则上。

使用Win7自带的备份工具，在备份完成后，怎么用HIPS规则保护？（主要是避免正常使用【系统还原】时出现的“不愉快”的情况（询问：拒绝/允许））

绿色框内的应该就是要保护的系统自带的备份工具所生成的【备份文件/文件夹】



建立2条规则：

1条用于允许[windos\*.*]调用这几个文件

另外1条用于拒绝除[windos\*.*]外的所有程序调用这几个文件

这样是否OK？

qftest

fireherman 发表于 2016-9-2 20:58

---

不！！！！用官方那个，还要重新设置一堆HIPS规则，不要不要不要！！！

不好意思的说，我至今不会用系统自带的备份工具，一直用的是AcronisTrueImage所以不懂
不过你的目的是加FD保护防篡改吧？如果是VSE规则就很好写，ESET hips恐怕就要授权很多源（凡是涉及到系统还原时被调用的系统程序）来对应这几个目标了，这些源要自己找；第2条规则不需要设置，在交互模式中未得到授权的非系统程序修改时会被内置规则自动拦截并提示

fireherman

qftest 发表于 2016-9-2 21:05
不好意思的说，我至今不会用系统自带的备份工具，一直用的是AcronisTrueImage所以不懂
不过你的目 ...

不过你的目的是加FD保护防篡改吧？[对，就是怕有“某些东西”篡改，这样备份就废了]

如果是VSE规则就很好写，ESET hips恐怕就要授权很多源（凡是涉及到系统还原时被调用的系统程序）来对应这几个目标了，这些源要自己找；[]

第2条规则不需要设置，在交互模式中未得到授权的非系统程序修改时会被内置规则自动拦截并提示 [明白，]