简陋的ESET HIPS

显示全部楼层 · 发表于 2016-10-28 00:28:19

我发现我设置了某条修改询问注册表对应项或者其他规则后，一旦禁止了某个程序访问这条，并创建规则后，就变成了阻止修改所有注册表项，而不是只阻止访问此条注册表项，导致经常拖累其他应用程序，求讨论。

显示全部楼层 · 发表于 2016-10-28 09:38:44

本帖最后由 fireherman 于 2016-10-28 09:39 编辑

求讨论，也请说清楚问题啊。

我发现我设置了某条修改询问注册表对应项或者其他规则后，一旦禁止了某个程序访问这条，并创建规则后，就变成了阻止修改所有注册表项，而不是只阻止访问此条注册表项.

1，某条规则，哪条规则？（某些注册表键值，分主键和副键，保护了主键，副键自动受到保护。）

2，一旦禁止了某个程序访问这条，并创建规则后，就变成了阻止修改所有注册表项（我估计你是通过【学习模式】来建这条规则，学习模式建立规则的方式为：【指定程序】-【全部】，而不是楼主所想的【指定程序】-【局部】；所以学习模式建立后是需要手动进行修改的，例如手动指定注册表键值【局部】）

显示全部楼层 · 发表于 2016-10-28 09:42:03

人家@qftest 的教程里明明写得很清楚：http://bbs.kafan.cn/thread-2053386-1-1.html

4、此外，在x64系统中如果保护了主键，相应的Wow6432Node键值会自动得到保护，于是此情况下一条规则便可保护两条键值
例如：
增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\*

增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\*

增加保护：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
自动保护：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

显示全部楼层 · 发表于 2016-10-28 09:42:07

fireherman 发表于 2016-10-28 09:38
求讨论，也请说清楚问题啊。

我发现我设置了某条修改询问注册表对应项或者其他规则后，一旦禁止了某 ...

其实很有可能是规则写错了

别把楼主的话当真

显示全部楼层 · 发表于 2016-10-28 09:54:23

本帖最后由 fireherman 于 2016-10-28 09:59 编辑

欧阳宣发表于 2016-10-28 09:42
其实很有可能是规则写错了

别把楼主的话当真

不一定是的。

ESET的HIPS有时候的确非常白痴。

例如开【交互模式】，一个程序abc.exe，企图修改 E:\TEMP\123.dat （[写入] FD规则）。

弹窗后，用户可以手动建立这条规则，并且设置，但是……这里 ESET 只能指定程序abc.exe，却不会指定目录E:\TEMP\ （局部）

结果这条规则就变成：[阻止/允许] abc.exe [写入]任何目录（全局）

【学习模式】也是如此。

所以……ESET的HIPS不能依赖弹窗里的选项建立【明确的规则】，必须在建立这条【笼统的规则】后，进入HIPS细化规则设置。

另外，ESET的防火墙弹窗则可以建立【明确的规则】，这点和HIPS是不同的。

显示全部楼层 · 发表于 2016-10-28 10:07:52

fireherman 发表于 2016-10-28 09:54
不一定是的。

ESET的HIPS有时候的确非常白痴。

那智能模式和自动模式有何区别呢

显示全部楼层 · 发表于 2016-10-28 10:10:28

fireherman 发表于 2016-10-28 09:54
不一定是的。

ESET的HIPS有时候的确非常白痴。

绝对同意不能依赖弹窗选项建立规则，哪怕以此建了规则也应该进一步手动调整
其实吧，说一千道一万我还是那句话，整个ESET我只看中hips的防注入能力，

如果没了这个立马换成KES

非常喜欢KSN+SW回滚，所以目前搭配KAR自爽

显示全部楼层 · 发表于 2016-10-28 10:23:39

欧阳宣发表于 2016-10-28 10:07
那智能模式和自动模式有何区别呢

自动模式：自保规则 > 用户自定义规则 > 允许

智能模式：自保规则 > 用户自定义规则 > 内部规则（询问） > 允许

@qftest 应该是这样吧？

防注入已经是大杀器，病毒注入系统程序，木马注入系统驱动，恶意软件注入服务…… ESET（包括HIPS在内的模块）的相应还那么快，很好用嘛。

显示全部楼层 · 发表于 2016-10-28 10:49:46

fireherman 发表于 2016-10-28 10:23
自动模式：自保规则 > 用户自定义规则 > 允许

智能模式：自保规则 > 用户自定义规则 > 内部规则（ ...

请问下，在智能模式下我还需要自己制定规则保护系统重要应用程序防注入吗？我不太清楚有哪些关键程序需要防注入，能不能给我们列一下？

显示全部楼层 · 发表于 2016-10-28 10:54:44

本帖最后由 fireherman 于 2016-10-28 10:58 编辑

ysj963 发表于 2016-10-28 10:49
请问下，在智能模式下我还需要自己制定规则保护系统重要应用程序防注入吗？我不太清楚有哪些关键程序需 ...

人家@qftest 已经给了你啊，麻烦认认真真地看完人家呕心沥血写出来的帖子好吗？

记住要手动一条一条来写，用ESET的HIPS就不能偷懒。（但是他写帖子也偷懒，下例里我选择的是[阻止]，因为我的桌面非常干净（只有1列），而且我最多也只能接受2列，所以我直接选阻止）

http://bbs.kafan.cn/thread-2053386-1-1.html

如：

二、规则强化：

1、FD规则
实验发现，ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹，因此楼主认为有必要添加相应规则

全局询问：强化文件夹保护
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\用户名\Desktop\*.*

[讨论] 简陋的ESET HIPS

本帖子中包含更多资源