ESET的hips用法

ysj963

假如我装了系统先跑一边学习模式，再开交互模式是否可以达到反勒索效果，对直接加密的勒索是否也能很好抵御？防火墙自定义出站全部询问，是否能对付远控木马？

fireherman

1，【学习模式】建立的是【全局规则】，即指定【源】，指定【操作】，但却不指定【应用的值】；

例如【学习模式】下，HIPS会建立一条允许 abc.exe 【写入文件】的操作，但却不会指定【哪些可以写，哪些不可以】（全局允许）

2，再开【交互模式】，对于新增（新安装，运行等的操作），全部都是【询问】，可以在此时【建立明确的规则】，能不能防勒索取决于用户是否允许放行；完全依靠用户的判断。

3，这要看用户所定义的规则以及木马的类型，有些木马并非一定自身联网下载，而是通过调用系统进程来下载，这个也很需要用户来判断的。

最实际的例子，百度网盘管家就不是自身联网下载更新程序的（希望我没理解错，毕竟我用的是破解版），而是调用 lsass.exe （Local Security Authority Process）这个系统进程来验证及更新的。

ysj963

fireherman 发表于 2017-1-2 11:51
1，【学习模式】建立的是【全局规则】，即指定【源】，指定【操作】，但却不指定【应用的值】；

例 ...

你说的第一点我有切身体会，第2点在第一点修改好的基础上我估计差不多，第三点，其实我电脑里就几个常用软件，笔记本都是处理文档的。就怕勒索。

fireherman

ysj963 发表于 2017-1-2 14:34
你说的第一点我有切身体会，第2点在第一点修改好的基础上我估计差不多，第三点，其实我电脑里就几个常用 ...

那不简单……一条FD规则锁定【备份文档】，新安装软件先跑一跑虚拟机（虚拟机裸奔）……

自己小心点，勒索也就是一个加密程序而已，并不是想像那么可怕；反而那些加驱，钩子篡改首页的流氓还难防。

ysj963

fireherman 发表于 2017-1-2 14:39
那不简单……一条FD规则锁定【备份文档】，新安装软件先跑一跑虚拟机（虚拟机裸奔）……

自己小心 ...

eset有没有防更改快捷方式目标地址的规则，现在流氓都用低权限操作，防不胜防，主要都是针对IE快捷方式。我现在IE9打开天猫老是要显示系统繁忙要验证，不知道是什么问题。其他浏览器可以打开

linzh

ysj963 发表于 2017-1-2 14:34
你说的第一点我有切身体会，第2点在第一点修改好的基础上我估计差不多，第三点，其实我电脑里就几个常用 ...

如果你只要防勒索的话为何不用有防勒索模块的杀软。。像360，BD，趋势
设置了指定文件夹的勒索保护时那个文件夹是绝对不可能被加密的
你啥都不设置就去跑交互弹窗点到你手抽筋。。。