关于ESET的HIPS规则定义项测试

显示全部楼层 · 发表于 2016-11-3 19:30:47

本帖最后由 fireherman 于 2016-11-3 20:55 编辑

纯粹测试范例，看得懂给些意见，看不懂也不要问，因为我也是在测试。

[阻止]FD规则，删除文件

[mw_shl_code=css,true]2016/11/3 20:11:52 C:\Windows\explorer.exe 获取文件访问权 Z:\File_Ex_01.txt 阻止一些访问 [999][X]ESET-NOD32 HIPS Test[AD] 删除文件
2016/11/3 20:11:52 C:\Windows\explorer.exe 获取文件访问权 Z:\File_Ex_01.txt 阻止一些访问 [999][X]ESET-NOD32 HIPS Test[AD] 删除文件
2016/11/3 20:11:34 C:\Windows\explorer.exe 获取文件访问权 Z:\File_Ex_01.txt 阻止一些访问 [999][X]ESET-NOD32 HIPS Test[AD] 删除文件[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-3 20:20:52

本帖最后由 fireherman 于 2016-11-3 20:53 编辑

[阻止]FD规则，写入文件

BUG

[mw_shl_code=css,true]2016/11/3 20:21:36 C:\Windows\explorer.exe 获取文件访问权 Z:\File_Ex_01.txt 阻止一些访问 [999][X]ESET-NOD32 HIPS Test[AD] 删除文件[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-3 20:28:29

本帖最后由 fireherman 于 2016-11-4 19:32 编辑

[阻止]FD规则，访问磁盘

[mw_shl_code=css,true]2016-11-4 19:27:41 C:\Program Files\Tencent\QQLite\Bin\Tencentdl.exe Direct access to disk \\.\Harddisk0\DR0 allowed [999][H]ESET-NOD32 HIPS Test[FD] [/mw_shl_code]

@qftest 一个QQ轻聊版就搞定3个测试

显示全部楼层 · 发表于 2016-11-3 21:35:35

[阻止]FD规则，全局挂钩

思考中……

显示全部楼层 · 发表于 2016-11-4 14:38:37

本帖最后由 fireherman 于 2016-11-4 14:49 编辑

[允许]FD规则，加驱（非常失误地选择了“允许”）

开启QQ

日志：

[mw_shl_code=css,true]2016-11-4 14:30:19 C:\WINDOWS\system32\services.exe Load driver C:\WINDOWS\system32\drivers\QQProtect.sys allowed [103][H]ESET-NOD32 Test[FD:driver]
2016-11-4 14:30:07 C:\WINDOWS\system32\services.exe Load driver C:\WINDOWS\system32\drivers\QQFrmMgr.sys allowed [103][H]ESET-NOD32 Test[FD:driver] [/mw_shl_code]

显示全部楼层 · 发表于 2016-11-3 20:41:05

前排绑个小板凳学习

显示全部楼层 · 发表于 2016-11-3 20:47:35

fireherman 发表于 2016-11-3 20:20

2楼是FD禁写，与AD无关
前两个删写都是FD，后面三个低写磁盘挂钩加驱才是AD

显示全部楼层 · 发表于 2016-11-3 20:54:46

qftest 发表于 2016-11-3 20:47
2楼是FD禁写，与AD无关
前两个删写都是FD，后面三个低写磁盘挂钩加驱才是AD

我打错字了。。。。

谢谢提醒

经常把AD和FD打错。

磁盘直接访问，这个我还不知道该怎么测试好，要不要那个“样本”测试呢，很危险啊，我胆小。

显示全部楼层 · 发表于 2016-11-3 20:57:55

本帖最后由 ccboxes 于 2016-11-3 20:59 编辑

fireherman 发表于 2016-11-3 20:54
我打错字了。。。。

谢谢提醒

有DiskGenius吗？这个磁盘管理软件内置的文件管理器是底层磁盘访问。试试用这个的强制删除功能删些东西应该就可以触发。

显示全部楼层 · 发表于 2016-11-3 21:00:44

ccboxes 发表于 2016-11-3 20:57
有DiskGenius吗？这个磁盘管理软件内置的文件管理器是底层磁盘访问。试试用这个的强制删除功能删些东西 ...

我试试用碎片整理程序，看看能不能触发。

显示全部楼层 · 发表于 2016-11-3 21:06:24

fireherman 发表于 2016-11-3 20:54
我打错字了。。。。

谢谢提醒

直接测试系统自身的磁盘碎片整理功能就好了，这玩意就是直接访问磁盘
@ccboxes
另外你2楼所指的BUG是什么？日志显示的删除文件？
如果我没记错，你用的这条CMD命令执行结果其实就是先删除原文件、然后再保存为新文件，所以日志显示拦截删除文件并没有错，具体的行为可以用微软PM工具软件监控下——当然我也可能是记错了

显示全部楼层 · 发表于 2016-11-3 21:10:02

qftest 发表于 2016-11-3 21:06
直接测试系统自身的磁盘碎片整理功能就好了，这玩意就是直接访问磁盘
@ccboxes
另外你2楼所指的BUG ...

日志显示错误，只有一条日志，且明显和提示框不同。

[讨论] 关于ESET的HIPS规则定义项测试

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源