小白讲解如何编写eset的hips

1083086612

以EAV 8为例(本人觉得8版本更易懂)
上图

本人觉得这个版本的开机弹窗最好看





这篇文章以FD(文件保护)为例

FD文件的编写分为四大种类


首先,用的是两个解压软件,7-zip和win rar


-------------------------------------------------------------------------------------------------------------
第一种类:特定程序对特定文件的规则(以7-zip为例)
建立规则num1



第一种类的意思是7-zip只能在目标文件(Object File)下,规则才生效
将7-zip安装在Object File会发现被拒绝访问,

装在非保护文件夹就可以正常安装


-------------------------------------------------------------------------------------------------------------
第二种类:特定程序对所有文件的规则(以7-zip为例)
建立规则num2



将7-zip安装在任意一个文件夹,拒绝访问


-------------------------------------------------------------------------------------------------------------
第三种类:所有文件对特定文件的规则(以7-zip和win rar为例)
建立规则num3



分别将7-zip和win rar安装在Object File文件夹,会出现拒绝访问



-------------------------------------------------------------------------------------------------------------
第四种类:所有文件对所有文件的规则(以7-zip和win rar为例)
这种的话就不说了,没有针对性,全部软件在系统里都要遵守hips设置的规则,无意义

kafan988

哇，讲的真好啊

fireherman

【防写入/防删除】几乎是要配对出现的；可避免【源文件】的【原始代码】被修改（例如防勒索加密软件修改文件）

FD（File Defend），顾名思义，文件防护（exe, dll, sys这些特殊文件也是“文件的一种”，其静态数据（保存在硬盘上的数据）和mp3, jpg, txt, doc 这些非执行类文件没有本质上的区别）



楼主说的第四类就是【双全局模式：源为全局（所有），目标为全局（所有）】，一般来说，FD规则可以把【全局钩子】、【加载驱动】、【磁盘底层访问】设置这种模式，毕竟这3类规则都是和系统挂钩，且容易被病毒（包括流氓软件）恶意调用，可以选择【询问】来设置是否放行。