求部分实在不会的HIPS设置

qftest

setwinevenhook和setwindowshokex这两个hook无论ESET hips怎么设置都应该拦不了，这是先天缺陷没有办法的
ESET可以拦DDE吧（不确定）？这个好象是调用并试图控制IE，只要拦截调用IE估计就行了
COAT虽然不直接调用IE，但却会给IE发消息试图通过IE访问网络和修改缓存数据，因为ESET天生不拦消息所以应该也拦不了。不过因为COAT会探查能否成功修改IE缓存，所以必须事先清空缓存，否则结果可能会不一样
Changedrvpath这个ESET是拦不了的，这是通过特殊的方法注册驱动，仍然属于ESET hips的先天缺陷
fildrop打错了应该是filedrop，这个是向系统目录里写exe，这种动作ESET根本是无压力拦截，只要启用FD“写入文件”规则就可以了

ysj963

qftest 发表于 2016-10-19 10:19
setwinevenhook和setwindowshokex这两个hook无论ESET hips怎么设置都应该拦不了，这是先天缺陷没有办法的
...

感谢恢复，我理解了。我说怎么全盘规则也没用。

ysj963

fireherman 发表于 2016-10-18 23:51
我觉得这是种小企老板的心态：生怕员工用公司的电脑做私人的事情（例如游戏、网购、上黄网等等） ...

其实大老板和小老板都是这么想的！

qftest

ysj963 发表于 2016-10-19 10:22
感谢恢复，我理解了。我说怎么全盘规则也没用。

不客气
ESET hips因为设计之初就被定位为辅助，所以防御点不象comodo那种hips全面，还是建议搭配个SSF之类的比较好，比如拦那两个hook全局挂钩对SSF来说就是小意思了

fireherman

qftest 发表于 2016-10-19 10:41
不客气
ESET hips因为设计之初就被定位为辅助，所以防御点不象comodo那种hips全面，还是建议搭配个SSF之 ...

所以我觉得他这么爱折腾为啥不用Comodo呢？规则可控范围大多了。

别的不说，ESET的HIPS要防某一类文件被注入（例如DLL，例如SYS），要一个一个写，Comodo一条 *.SYS 就搞定了。

如果ESET的HIPS支持这种通配符就好了。

qftest

fireherman 发表于 2016-10-19 10:51
所以我觉得他这么爱折腾为啥不用Comodo呢？规则可控范围大多了。

别的不说，ESET的HIPS要防某一类文 ...

comodo防御点虽然比ESET hips全面，但如果单说防注入的话，嘿嘿，至少在我的测试中还真比不过ESET
通配符的问题估计也就这样了，没办法

fireherman

qftest 发表于 2016-10-19 11:01
comodo防御点虽然比ESET hips全面，但如果单说防注入的话，嘿嘿，至少在我的测试中还真比不过ESET
通配 ...

我觉得是因为ESET的模块化做得好（优化得好），程序响应速度也高（看看实时防护就知道了）

别的不说，这防注入对于勒索软件有奇效，试过在虚拟机里让个勒索发作：
ESET目录（自保规则）、系统目录 / 备份文档目录（自定义规则）统统都加不了密，因为响应速度快，在勒索软件前抢先取得系统最高权限锁死文件。


就不知道重启类，如MBR的勒索是否也能防住（ESET的启动虽然快，但始终需要等重要系统文件先加载），你快试试。

qftest

fireherman 发表于 2016-10-19 11:10
我觉得是因为ESET的模块化做得好（优化得好），程序响应速度也高（看看实时防护就知道了）

别的 ...

恩，防注入和防调用都是ESET的强项，而这两种手段都是现在勒索软件常用的
重启类的无压力，版区以前不是有个视频么，专门测试各家杀软对付重启类，我记得ESET的成绩很好
已经写好MBR的就没办法了吧，这不是启动优先的问题了，ESET只能启用底层磁盘和在写入前拦截注入与调用

ysj963

fireherman 发表于 2016-10-19 10:51
所以我觉得他这么爱折腾为啥不用Comodo呢？规则可控范围大多了。

别的不说，ESET的HIPS要防某一类文 ...

毕竟COMODO的查杀太坑了 ，我也是想用ESET的HIPS做辅助关键点监控，想这么重要的都做不了也是蛮坑的。直接用COMODO有点得不偿失了，我一直建议ESET搞个COMODO的HIPS不就完了么。

柯林

ysj963 发表于 2016-10-19 13:09
毕竟COMODO的查杀太坑了 ，我也是想用ESET的HIPS做辅助关键点监控，想这么重要的都做不了也是蛮坑的。直 ...

说得轻巧，吃根灯草，你以为厂家少林七十二艺样样精通，想上什么就上什么？照这说法，东邪再练个蛤蟆功不就无敌了？那是永远不可能的事！一门绝技，是花费了一辈子的心血才得到的，不是一朝一夕能够成就的，要这么简单，微软班子可以秒杀天下！而且，一旦套路形成，改也改不了了，该有的缺陷一辈子都有，这个就叫先天死穴！