关于ESET的HIPS规则定义项测试

fireherman

qftest 发表于 2016-11-4 00:34
恩恩，确实会出现svchost.exe
那么我猜测这个与ESET的实时病毒监控有关了，而ESET的监控属于系统服务所 ...

我连这样都弹，所以我怎么都想不明白。

[mw_shl_code=css,true]2016/11/4 0:31:57        C:\Windows\System32\svchost.exe        获取其他应用程序的访问权        D:\Program Files\7-Zip\7zFM.exe        阻止一些访问        [016][X]应用软件防护[7-Zip][FD]        修改其他应用程序的状态[/mw_shl_code]

qftest

fireherman 发表于 2016-11-4 00:35
我连这样都弹，所以我怎么都想不明白。

[mw_shl_code=css,true]2016/11/4 0:31:57        C:\Wind ...

我试了下WINRAR也是一样，感觉象是监控弄的
不放行svchost.exe就会有大量弹窗

fireherman

qftest 发表于 2016-11-4 00:40
我试了下WINRAR也是一样，感觉象是监控弄的
不放行svchost.exe就会有大量弹窗

svchost.exe这个果然是个“顽皮的孩子”，不好驾驭。

qftest

fireherman 发表于 2016-11-4 00:42
svchost.exe这个果然是个“顽皮的孩子”，不好驾驭。

系统正常运行的基础程序之一，你说呢？
不放行就是自找罪受，哈哈
防范别的程序注入它就行了，至于它本身，就由着它随意吧

fireherman

qftest 发表于 2016-11-4 00:40
我试了下WINRAR也是一样，感觉象是监控弄的
不放行svchost.exe就会有大量弹窗

@qftest  @qftest  

其实我倒想过，会不会是ESET自身AMS惹出的货（就像你的说法），ESET文件实时保护 监控 静态文件。

一旦文件（程序）被运行，就轮到AMS上阵监控，而AMS是由svchost.exe服务开启的。

好死不死………………ESET的HIPS连自身的AMS都不放过，拦你没商量。

qftest

fireherman 发表于 2016-11-4 00:45
@qftest  

hips六亲不认是好事，也是应该的
相似的还有VSE，一样铁面无私

fireherman

qftest 发表于 2016-11-4 00:50
hips六亲不认是好事，也是应该的
相似的还有VSE，一样铁面无私

但是svchost.exe（内存进程，AD规则），他不是会改变的么？怎么防注入？怎么知道注入的是信任的程序，还是未知的程序？

qftest

fireherman 发表于 2016-11-4 00:57
但是svchost.exe（内存进程，AD规则），他不是会改变的么？怎么防注入？怎么知道注入的是信任的程序 ...

什么改变？加载的服务等内容不一样？

fireherman

qftest 发表于 2016-11-4 11:33
什么改变？加载的服务等内容不一样？
怎么防注入这个问题可不简单，我不知道怎么简单回答，那些东西吱歪 ...

待我慢慢捣鼓一下先。

fireherman

[允许]FD规则，加驱（非常失误地选择了“允许”）

开启QQ

日志： [mw_shl_code=css,true]2016-11-4 14:30:19        C:\WINDOWS\system32\services.exe        Load driver        C:\WINDOWS\system32\drivers\QQProtect.sys        allowed        [103][H]ESET-NOD32 Test[FD:driver]       2016-11-4 14:30:07        C:\WINDOWS\system32\services.exe        Load driver        C:\WINDOWS\system32\drivers\QQFrmMgr.sys        allowed        [103][H]ESET-NOD32 Test[FD:driver]   [/mw_shl_code]