搜索
查看: 11001|回复: 65
收起左侧

[讨论] 使用ESET的[HIPS]/[防火墙]限制绿色软件的活动范围(设置简单,懒人专用)

  [复制链接]
fireherman
发表于 2016-10-22 10:11:50 | 显示全部楼层 |阅读模式
本帖最后由 fireherman 于 2016-10-23 14:29 编辑



如果可以,我想大部分用户都喜欢用绿色版的软件。

为什么?

因为无需安装:避免和系统无媒媾和

因为卸载时没有残留:无产阶级好,离婚了不会出现争产风波,好聚好散。

但是……但是……但是……绿色软件真的那么绿色,那么环保吗?

我想大部分人都抱怀疑态度,尤其是当下这个物欲横流的、纸醉金迷的、星色犬马的、有中国特色的环境下……很多“绿色”软件们都总要留个小尾巴,嗲声嗲气地、万种风情地在你耳边吹吹风:“大哥,您会想我吗?” 然后右手轻轻地抚摸着你的后背,左手悄悄插进你的裤兜……

好啦好啦,黄文就不写了,用一个实例来说说该怎么做吧。

这里以一个绿色版的街机模拟器为例:

软件MAME plus 0.118
地址http://mamecn.com/jiejirom/42.html
配件ROM(powerins.zip)
地址http://mamecn.com/jiejirom/393.html
说明需要把ROM放在MAME的roms目录里(如:D:\Games\MAME_plus_0118\roms)
备注

此网站的下载虽说要用FlashGet(已改变),但其实可以用浏览器下载
FTP服务器,如果防火墙设置精细,记得开放21端口)

我使用的是FireFox的DTA



001.PNG

002.PNG



首先要进行扫描(没扫描过就解压运行就是作死)

003.png

004.PNG

评分

参与人数 8分享 +3 魅力 +1 人气 +8 收起 理由
屁颠屁颠 + 1 16年年度奖励
tomjohnjoan + 1 玩出新精彩!
renyifei + 1 很给力!
电脑发烧友 + 1 版区有你更精彩: )
ELOHIM + 1 原来重点在下面……

查看全部评分

fireherman
 楼主| 发表于 2016-10-22 10:12:07 | 显示全部楼层
本帖最后由 fireherman 于 2016-11-22 22:51 编辑



重头戏:就算扫描miss,但不代表这个绿色软件就没问题。

编写HIPS规则限定软件的【可操作范围】

【通杀规则】:



名称:[阻止]MAME街机模拟器
操作:阻止
启动规则[√] 日志[√] 通知用户[×]
源应用程序D:\Games\MAME_plus_0118\mamep.exe
D:\Games\MAME_plus_0118\mamepgui.exe
(ESET的HIPS不支持通配符 *.exe,需要一个一个填写)
目标文件
[FD规则]
删除文件全部有效(留空)
写入到文件
直接访问磁盘
安装全局挂钩
加载驱动程序
目标应用程序
[AD规则]
调试其他应用程序全部有效(留空)
拦截其他应用程序的事件
终止/暂停其他应用程序
启动新应用程序
修改其他应用程序的状态
目标注册表
[RD规则]
修改启动设置全部有效(留空)
从注册表删除
重命名注册表键
修改注册表





通杀规则建立后,就要建立【放行规则】,否则程序无法正常使用:

由于此目录里有两个程序(可执行文件),就这样设置,它们在自己的目录里怎么捣鼓都影响不到系统。

这里其实可能有漏洞的,望大神/高手支招

名称:[允许]MAME街机模拟器
操作:允许
启动规则[√] 日志[√] 通知用户[×]
源应用程序D:\Games\MAME_plus_0118\mamep.exe
D:\Games\MAME_plus_0118\mamepgui.exe
目标文件
[FD规则]
删除文件D:\Games\MAME_plus_0118\*.*
绝对不能勾选加载驱动程序(加驱),高危行为
真正的绿色软件也不应该有加驱行为,都加驱了还绿色个毛线啊?
写入到文件
直接访问磁盘
安装全局挂钩
加载驱动程序
目标应用程序
[AD规则]
调试其他应用程序D:\Games\MAME_plus_0118\*.*
ESET的HIPS就是奇怪,源不能用通配符,调用却可以。
拦截其他应用程序的事件
终止/暂停其他应用程序
启动新应用程序
修改其他应用程序的状态
目标注册表
[RD规则]
修改启动设置全部无效(留空)
从注册表删除
重命名注册表键
修改注册表


fireherman
 楼主| 发表于 2016-10-22 10:12:35 | 显示全部楼层
本帖最后由 fireherman 于 2016-11-2 12:05 编辑



HIPS规则只能限制程序本地动作,把防火墙也设置起来,形成联动机制(避免程序下载文件,然后调用)

两个程序要分开建立,但规则是一样的(禁止程序联网),就把一条写出来吧。

007.PNG

008.PNG

名称:[拒绝][双向][TCP/UDP]禁止MAMEp通信[全局]
启动规则[√] 日志[√] 通知用户[×]
应用程序D:\Games\MAME_plus_0118\mamep.exe
常规
方向两者(出站/入站)
操作拒绝
协议TCP & UDP
配置用于每个
日志勾选
本地
本地端口留空(用于每个)
应用程序D:\Games\MAME_plus_0118\mamep.exe
远程
远程端口留空(用于每个)
远程地址留空(用于每个)



fireherman
 楼主| 发表于 2016-10-22 10:15:29 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-22 11:03 编辑



搞完就当然可以运行看看了。

009.PNG

010.PNG


看看 HIPS/防火墙 记录

011.PNG

HIPS记录:有些注册表的访问,阻止也无大碍。

[mw_shl_code=css,true]2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\eggor.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\gorkans.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\mrtnt.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\eyeszac.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\eyes2.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\eyes.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\ctrpllrp.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\joyman.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:44        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\pacplus.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\paintrlr.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\mbrush.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\korosuke.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\maketrxb.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\maketrax.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\crush4.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\crush3.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\crush2.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\crush.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\abscam.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\piranhah.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\hangly3.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\hangly2.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\hangly.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\pacheart.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\newpuckx.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\newpuc2b.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\newpuc2.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\pacmod.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\puckmod.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\pacmanf.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\pacman.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\puckmanh.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\puckmanf.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\puckmana.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\puckman.ini        允许一些访问        [允许]MAME街机模拟器        删除文件
2016/10/22 10:54:43        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\MAME.ini        允许一些访问        [允许]MAME街机模拟器        写入到文件,获取文件独占访问权
2016/10/22 10:54:42        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\ini\mame32ui.ini        允许一些访问        [允许]MAME街机模拟器        写入到文件,获取文件独占访问权
2016/10/22 10:54:37        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\cfg\powerins.cfg        允许一些访问        [允许]MAME街机模拟器        写入到文件,获取文件独占访问权
2016/10/22 10:54:37        D:\Games\MAME_plus_0118\mamepgui.exe        获取文件访问权        D:\Games\MAME_plus_0118\cfg\default.cfg        允许一些访问        [允许]MAME街机模拟器        写入到文件,获取文件独占访问权
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\MostRecentStart        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Id        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Name        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Version        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\Direct3D\MostRecentApplication\Name        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:54:04        D:\Games\MAME_plus_0118\mamepgui.exe        启动新应用程序        D:\Games\MAME_plus_0118\mamepgui.exe        已允许        [允许]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\MostRecentStart        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Id        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Name        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_USERS\xxx\Software\Microsoft\DirectInput\MostRecentApplication\Version        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw\MostRecentApplication\ID        已阻止        [阻止]MAME街机模拟器       
2016/10/22 10:51:33        D:\Games\MAME_plus_0118\mamepgui.exe        修改注册表        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw\MostRecentApplication\Name        已阻止        [阻止]MAME街机模拟器        [/mw_shl_code]




防火墙记录:(无通信)

012.PNG




评分

参与人数 1人气 +1 收起 理由
sunnyjianna + 1 精品文章

查看全部评分

windows7爱好者
发表于 2016-10-22 12:43:40 | 显示全部楼层
没分了,先来顶贴
小小瞻
发表于 2016-10-22 13:20:09 | 显示全部楼层
学习一下
猪头无双
发表于 2016-10-22 15:53:13 | 显示全部楼层
了解一下,触类旁通的给火绒的自定义规则来点料
ysj963
发表于 2016-10-22 18:25:41 | 显示全部楼层
心累的规则。
ysj963
发表于 2016-10-22 18:29:50 | 显示全部楼层
其实我还是建议 直接给个关键注册表项,文件夹、应用程序的名单,让我们添加,其他就看自己了 。
fireherman
 楼主| 发表于 2016-10-23 02:58:38 | 显示全部楼层
猪头无双 发表于 2016-10-22 15:53
了解一下,触类旁通的给火绒的自定义规则来点料

WD+Comodo不是更好吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-24 06:34 , Processed in 0.063940 second(s), 9 queries , MemCached On.

快速回复 返回顶部 返回列表