关于ESET的HIPS规则定义项测试

fireherman

qftest 发表于 2016-11-3 23:48
这是让你记住，以后就别费劲找测试工具了，直接官网下个QQ

注入我可以测7-Zip，但……我都不知该说什么……

（说明：我是【阻止】）



日志：
[mw_shl_code=css,true]2016/11/3 23:53:41        C:\Windows\System32\svchost.exe        获取其他应用程序的访问权        D:\Program Files\7-Zip\7zFM.exe        阻止一些访问        [016][X]应用软件防护[7-Zip][FD]        修改其他应用程序的状态
2016/11/3 23:53:09        C:\Windows\System32\svchost.exe        获取其他应用程序的访问权        D:\Program Files\7-Zip\7zFM.exe        阻止一些访问        [016][X]应用软件防护[7-Zip][FD]        修改其他应用程序的状态
2016/11/3 23:52:30        C:\Windows\System32\svchost.exe        获取其他应用程序的访问权        D:\Program Files\7-Zip\7zG.exe        阻止一些访问        [016][X]应用软件防护[7-Zip][FD]        修改其他应用程序的状态[/mw_shl_code]





压缩：









解压：

qftest

fireherman 发表于 2016-11-3 23:55
注入我可以测7-Zip，但……我都不知该说什么……

（说明：我是【阻止】）

源和目标搞反了吧？
限制svchost.exe干嘛？放行呀

fireherman

qftest 发表于 2016-11-3 23:58
源和目标搞反了吧？
限制svchost.exe干嘛？放行呀

没有反转，【源】是所有（包括svchost.exe）

目标是7-Zip目录（里的所有程序）

而……即使选择【阻止】，7-Zip同样可以运行（解压，压缩）。

另外：
这条不是测试规则，我用【FD规则】的【删除/写入】来保护7-Zip的原文件（源代码），避免受到注入……呸呸呸……是避免受感染（被恶意程序“写入”代码，例如感染型的蠕虫病毒）

qftest

fireherman 发表于 2016-11-4 00:04
没有反转，【源】是所有（包括svchost.exe）

目标是7-Zip目录（里的所有程序）

连svchost.exe也限制这么多吗？我基本上都是放行的
拦注入也可运行很正常啊，当注入不成为运行的必要条件时，拦注入只是避免了被修改进程

fireherman

qftest 发表于 2016-11-4 00:07
连svchost.exe也限制这么多吗？我基本上都是放行的
拦注入也可运行很正常啊，当注入不成为运行的必要条 ...

我没有限制svchost.exe（在内的诸多系统进程）的活动（官方反勒索规则x 除外）。

同样只是添加上一条类似保护7-Zip的【FD规则】来保护其系统文件（包括进程exe、库dll、驱动sys 等）原始文件（代码）。

qftest

fireherman 发表于 2016-11-4 00:14
我没有限制svchost.exe（在内的诸多系统进程）的活动（官方反勒索规则x 除外）。

同样只是添加 ...

可是看日志和弹窗显示的不是阻止svchost.exe访问那什么7.zip么？这不是限制是什么？
你的规则表中没有建立svchost.exe的全局放行规则吧？

fireherman

qftest 发表于 2016-11-4 00:18
可是看日志和弹窗显示的不是阻止svchost.exe访问那什么7.zip么？这不是限制是什么？
你的规则表中没有建 ...

所以我31楼才说【我都不知该说什么……】

如果拦截的源是“explorer.exe”，甚至是“cmd.exe”我还可以理解，毕竟是我“手动”打开压缩包（explorer.exe资源管理器）

但为什么会扯上“svchost.exe”的，我自己都一头雾水。

看，此规则的【源】

qftest

fireherman 发表于 2016-11-4 00:22
所以我31楼才说【我都不知该说什么……】

如果拦截的源是“explorer.exe”，甚至是“cmd.exe”我 ...

因为你是用右键快捷菜单执行的压缩和解压操作吧？
试试直接打开7zip，在这个软件内置的菜单里操作看是否还会出现svchost.exe

fireherman

qftest 发表于 2016-11-4 00:25
因为你是用右键快捷菜单执行的压缩和解压操作吧？
试试直接打开7zip，在这个软件内置的菜单里操作看是否 ...

一样，我试过很多此了。

例如：这次是双击压缩包打开：

[mw_shl_code=css,true]2016/11/4 0:27:24        C:\Windows\System32\svchost.exe        获取其他应用程序的访问权        D:\Program Files\7-Zip\7zFM.exe        阻止一些访问        [016][X]应用软件防护[7-Zip][FD]        修改其他应用程序的状态[/mw_shl_code]

qftest

fireherman 发表于 2016-11-4 00:28
一样，我试过很多此了。

例如：这次是双击压缩包打开：

恩恩，确实会出现svchost.exe
那么我猜测这个与ESET的实时病毒监控有关了，而ESET的监控属于系统服务所以涉及svchost.exe