对于nod32的hips目前有两个问题

ysj963

1.注册表是否需要使用通配符，是否是\*.*
2.为什么ESET的HIPS总是记不住规则
3.为什么有的规则取消后还会有询问弹窗？

fireherman

1，[ESET的][HIPS的][注册表规则]支持通配符，且支持中段通配符，但只能用 *

2，不明白是什么意思。

3，ESET的规则包括【ESET内部规则】和【用户自定义规则】。
其一：你所说的取消规则只能取消【用户自定义规则】，【内部规则不能取消】
其二：可能有另外一条规则接管了，而这个规则是询问

xzykgc4mc3

fireherman 发表于 2016-10-15 17:31
1，[ESET的][HIPS的][注册表规则]支持通配符，且支持中段通配符，但只能用 *

2，不明白是什么意思。

倒好像遇到两条规则冲突的问题。

一条规则是，AD规则--防止所有程序从 Temp 文件夹运行文件
全局询问：防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\qftest\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\qftest\Local Settings\Temp\*.*
C:\Users\qftest\AppData\Local\Temp\*.*
%windir%\temp\*
%TMP%\*

另一条规则是，AD规则--允许cleanmgr.exe从文件夹启动程序
操作：允许
源应用程序c:\Windows\System32\cleanmgr.exe
应用程序操作：启动新应用程序
应用程序：C:\Users\shzshadow\AppData\Local\Temp\*

原本以为是下面的规则优先度更高。可是我还是发现了cleanmgr.exe启动时的弹窗。查看日志，发现了2条规则同时生效的场景。

时间;应用程序;操作;目标;操作;规则;其他信息
2016/10/16 17:22:20;C:\Windows\System32\cleanmgr.exe;启动新应用程序;C:\Users\shzshadow\AppData\Local\Temp\7174DA27-B97F-432D-9879-B590197F3ABC\DismHost.exe;已允许;AD规则--防止所有程序从 Temp 文件夹运行文件;
时间;应用程序;操作;目标;操作;规则;其他信息
2016/10/14 23:00:17;C:\Windows\System32\cleanmgr.exe;启动新应用程序;C:\Users\shzshadow\AppData\Local\Temp\338CE000-9914-4536-B009-E02511C0201B\DismHost.exe;已允许;AD规则--允许cleanmgr.exe从文件夹启动程序;

fireherman

xzykgc4mc3 发表于 2016-10-16 18:16
倒好像遇到两条规则冲突的问题。

一条规则是，AD规则--防止所有程序从 Temp 文件夹运行文件

这条规则我是选择【拒绝】且勾选【日志】的。

当需要运行这种系统程序，则勾选【另外一条允许HIPS规则】。






但我没出现两条规则的情况（只有一条允许）：

[mw_shl_code=css,true]2016/10/16 18:40:52        C:\Windows\System32\cleanmgr.exe        启动新应用程序        Z:\TEMP\Win_TMP\05CDD3D5-427B-46BF-B573-89B28A4EE331\DismHost.exe        已允许        [运行]系统清理程序        [/mw_shl_code]



@qftest 请来回答。

qftest

xzykgc4mc3 发表于 2016-10-16 18:16
倒好像遇到两条规则冲突的问题。

一条规则是，AD规则--防止所有程序从 Temp 文件夹运行文件

什么系统？32/64位？ESET版本是多少？
确定同时启用了这两条规则（一条全局询问+一条路径允许）？
刚做了个实验，在我的win7x64+EEA5里无法复现该问题，同时启用时可以无弹窗准确优先执行规则2，符合预期
ps.如果你使用的是ESET 9，不排除是该版本的bug的可能

2016/10/16 20:35:55        C:\Windows\System32\cmd.exe        启动新应用程序        C:\Users\qftest\AppData\Local\Temp\test.exe        已阻止        全局询问：防止所有程序从 Temp 文件夹运行文件       
2016/10/16 20:35:47        C:\Windows\System32\cmd.exe        启动新应用程序        C:\Users\qftest\AppData\Local\Temp\test.exe        已允许        全局询问：防止所有程序从 Temp 文件夹运行文件       
2016/10/16 20:34:24        C:\Windows\System32\cmd.exe        启动新应用程序        C:\Users\qftest\AppData\Local\Temp\test.exe        已允许        自定义test cmd.exe tmp       

@fireherman

fireherman

qftest 发表于 2016-10-16 20:39
什么系统？32/64位？ESET版本是多少？
确定同时启用了这两条规则（一条全局询问+一条路径允许）？
刚做 ...

嗯，看来的确是个Bug。

我再试过（用的是 ESS 8），日志里：要么是【允许】，要么是询问后【允许/阻止】，要么是直接【阻止】。

不会出现他那种两条记录的情况。

xzykgc4mc3

qftest 发表于 2016-10-16 20:39
什么系统？32/64位？ESET版本是多少？
确定同时启用了这两条规则（一条全局询问+一条路径允许）？
刚做 ...

谢谢测试。我用的是win10 ltsb 2015+ess9。我是偶然出现这种冲突的情况。


可能真的是ess9 bug

qftest

xzykgc4mc3 发表于 2016-10-16 21:30
谢谢测试。我用的是win10 ltsb 2015+ess9。我是偶然出现这种冲突的情况。

http://bbs.kafan.cn/forum.php?mo ... 76&pid=38261585
我发现win10+eset9貌似问题挺多的？

xzykgc4mc3

qftest 发表于 2016-10-16 21:34
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2053976&pid=38261585
我发现wi ...

难不成逼着我用回win7