收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 ESET(NOD32) 使用ESET的hips对软件进行限制
返回列表 发新帖
查看: 3669|回复: 8
收起左侧

[讨论] 使用ESET的hips对软件进行限制

[复制链接]
1083086612
发表于 2016-11-22 17:50:23 | 显示全部楼层 |阅读模式
本帖最后由 1083086612 于 2016-11-22 17:52 编辑

刚了解一些hips知识,如果操作不正确不要打脸

看了@fireherman 的使用ESET的[HIPS]/[防火墙]限制绿色软件的活动范围(设置简单,懒人专用)
http://bbs.kafan.cn/thread-2061514-1-1.html
虽然这方法很有效限制绿色软件的活动范围,但是如果面对一些文件夹内有很多运行程序,逐条添加又费时又费力

以下以迅雷(我是直接复制一个成功安装后的迅雷的文件夹到另一个系统使用的)为例


1、先对Thunder文件夹的运行程序全部以询问形式

源应用程序留空
目标应用程序选择Thunder文件夹的路径



2、然后要知道迅雷下载的时候要运行哪些程序,
用PChunter可以知道,迅雷的Thunder.exe和ThunderPlatform.exe一定要运行



然后对这两个程序进行特定规则设置(禁止全局运行)

源程序 选择 迅雷的Thunder.exe和ThunderPlatform.exe



目标文件  目标应用程序  目标注册表 都选择 用于所有操作   其他全部留空




设置好禁止运行后就要放行了
源程序 选择 迅雷的Thunder.exe和ThunderPlatform.exe
目标文件选择 【删除】【写入】【直接访问】文件夹添加Thunder文件夹  和 你的迅雷下载文件的位置
目标应用程序选择【启动新应用程序】 文件夹添加Thunder文件夹   




设置好规则后,就可以运行程序了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fireherman
发表于 2016-11-22 22:50:23 | 显示全部楼层


另外,有点有问题,也是我那个帖子的失误:【直接磁盘访问】也不应该勾选,高危行为之一,MBR注入的必经之路

回复

举报

fireherman
发表于 2016-11-22 17:58:21 | 显示全部楼层


迅雷很无耻的,尤其是防火墙设置那一块,能坑哭你。

http://bbs.kafan.cn/thread-2064974-1-1.html

所以不建议用迅雷(迅雷离线=云盘,不是迅雷软件)

回复

举报

1083086612
 楼主| 发表于 2016-11-22 18:04:33 | 显示全部楼层
fireherman 发表于 2016-11-22 17:58
迅雷很无耻的,尤其是防火墙设置那一块,能坑哭你。

http://bbs.kafan.cn/thread-2064974-1-1 ...

没办法。我下载的美剧基本都是迅雷的专用链接,,如果逐条扔到迅雷离线再下载的话很麻烦
更何况我写这东西的重点时能不能像你那样限制绿色软件的活动范围
回复

举报

fireherman
发表于 2016-11-22 19:14:11 | 显示全部楼层
1083086612 发表于 2016-11-22 18:04
没办法。我下载的美剧基本都是迅雷的专用链接,,如果逐条扔到迅雷离线再下载的话很麻烦
更何况我 ...



还有……楼主思路好,让大家更多认识(ESET的)HIPS。

HIPS可是防流氓的大杀器(前提是要用好不容易)

回复

举报

1083086612
 楼主| 发表于 2016-11-22 23:28:32 | 显示全部楼层
fireherman 发表于 2016-11-22 22:50
另外,有点有问题,也是我那个帖子的失误:【直接磁盘访问】也不应该勾选,高危行为之一,MBR注入的必 ...

话说eset的hips会不会出现抽风
我刚刚对软件进行范围限制,日志居然没有记录
应该是失效
回复

举报

haoge250
发表于 2016-11-23 03:16:04 | 显示全部楼层
本帖最后由 haoge250 于 2016-11-23 03:18 编辑

说实话,正常情况下对HIPS设置的越多,日常使用越不方便。如果不逛毒区,把系统几个关键点设置一下就行了。软件下别人优化精简过的。(说实话EES的HP比ESS好太多了,很直观,就是没智能模式)
回复

举报

fireherman
发表于 2016-11-23 04:47:07 | 显示全部楼层
本帖最后由 fireherman 于 2016-11-23 04:56 编辑
1083086612 发表于 2016-11-22 23:28
话说eset的hips会不会出现抽风
我刚刚对软件进行范围限制,日志居然没有记录
应该是失效




不是ESET的HIPS抽风,而是你设置不当……

主要是你为了偷懒,而选用了【通配符的AD规则(启动新程序)】,然后想想:

假如:Thunder.exe/ThunderPlatform.exe调用(可能同时有参数)自身目录里的abc.exe

而由于你整个限制的规则都只对Thunder.exe/ThunderPlatform.exe,结果就被abc.exe钻空子,去写注册表,去调用其他应用程序,去访问动态链接库(DLL),甚至是加驱(SYS)

所以……这种限制的规则是不能偷懒的。

对于这种非绿色的软件,要控制好,起码要设置3条以上的规则:

1,限制软件(请注意,是软件,不是程序,一个软件可能甚至肯定包含多个程序)写注册表、加驱、全局钩子

2,限制软件访问系统目录(包括FD规则和AD规则),FD规则防止调用系统文件进行越权操作(全局钩子,加驱),AD规则防止调用系统程序进行逆向注入(调用系统程序+参数)

3,有限放行软件可操作范围(必定要勾选日志,某些软件如果设置不当,会有BUG,例如百度盘你不放行【用户目录的文件写入/删除(FD规则)】,它会狂刷此目录,导致系统不堪负荷,最后内存溢出……当机)

回复

举报

泰诺琳迪索菲雅
发表于 2016-11-23 09:04:12 | 显示全部楼层
正想换eset呢 听你这么一说 有点不敢用了
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-10 23:23 , Processed in 0.130782 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表