ESET的hips的几个新疑问

ysj963

1.假如ESEThips建立了系统程序白名单，允许他们的各种操作。但是未知父进程调用系统程序点击允许后，后面全都允许了吗？
2.为什么交互模式插U盘不能识别，必须学习模式让U盘插一次。
3.怎么让ESET的HIPS记规则的时候能记住目标位置，不只是允许修改文件（目标所有文件）这种大笼统的规则，很危险啊。难道一定要手动写出各种项吗？
4.假如电脑是干净的，学习模式后基于策略的模式一定安全吗？有没有什么其他规则上可能的漏洞？

夜微凉

回卡饭看几天，都注意到你了

HIPS玩着挺烦，还是喜欢中等偏少弹窗的

ysj963

夜微凉 发表于 2017-3-24 10:06
回卡饭看几天，都注意到你了

HIPS玩着挺烦，还是喜欢中等偏少弹窗的

。。。他不支持格式名确实造成很大麻烦。不过我用的软件也少 ，只是这个简陋的HIPS很容易漏，因为未知程序-系统程序-系统程序，第二部肯定是被学习模式记住了，第一步很容易放过。还是要多步的好判断。

fireherman

1，问题太复杂，不是说你的提问，而是实际情况下的问题；假如你把svchost.exe加白，一个ABC.exe的恶意程序调用svchost.exe写入123.sys到用户目录，在通过svchost.exe调用123.sys加驱注册服务；

你说第一步点了【允许】，关键是你又没说明允许了什么（FD的写文件？RD的删除注册表？AD的调用新程序？）

而ESET的HIPS弹窗后（不管是选择允许还是阻止），都能选择（并建立）详细的规则（精确到某一个程序，某一个文件，注册表的某一个键值）。

2，U盘为硬件设置，即为外置设备（外设），ESET有独立的选项操作。



3，ESET的HIPS弹窗能建立一条详细的规则（唯一不能命名该规则，需要在建立后进入HIPS规则编辑器里命名）


4，学习模式就是你所说的建立【笼统规则（指定源程序，却没指定目标（全部有效或者无效））】，所以并不安全。

5，【基于策略的规则模式】不适合个人用户（特别是……对电脑知识不了解的用户，我不喜欢用小bai，菜niao来形容，感觉有点鄙夷、挖苦的味道），这个规则（也包括其防火墙的策略模式），其实就是“非白即黑”的模式（全局禁止，加白放行），明显地如果用户不了解系统设置，会导致系统紊乱甚至瘫痪（因为阻止了本该放行的程序而又没加白；导致系统出错）。

ysj963

fireherman 发表于 2017-3-24 16:23
1，问题太复杂，不是说你的提问，而是实际情况下的问题；假如你把svchost.exe加白，一个ABC.exe的恶意 ...

原来如此 ，真实坑爹的HIPS啊，必须全手动输入。交互模式下产生的规则能不能精确到哪一条，或者说我RD规则目标只写到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*,(往下细写太累)，这样产生的规则能不能精确到EXPLORER之下的项？
还有那个未知调用白程序再干坏事确实很难搞。
另外写入驱动和加驱是不是不同的防御点？
还有在64位下安装全局钩子是不是防不了？
ESET的hips还有什么不能防？这个搞起来确实蛮心烦的，但是一直拖着360也不是办法。现在360风头正盛 ，要么不出事要么出大事，不敢用了。

ysj963

fireherman 发表于 2017-3-24 16:23
1，问题太复杂，不是说你的提问，而是实际情况下的问题；假如你把svchost.exe加白，一个ABC.exe的恶意 ...

U盘，我在学习模式下发现有什么直接读取硬盘，还有写入驱动动作。ESET目前能识别某个U盘吗？还是要自己在设备控制里手输？

fireherman

ysj963 发表于 2017-3-24 16:37
U盘，我在学习模式下发现有什么直接读取硬盘，还有写入驱动动作。ESET目前能识别某个U盘吗？还是要自己在 ...

U盘你还开什么【学习模式】，这是作死的节凑么？

U盘就是外设，就是本机本系统本来就没有见过的东西，相当于你在某个网站下载一个未知风险的程序（外来的程序，不是你本机产生的程序），你会开【学习模式】来运行吗？

U盘就应该【关闭自动播放功能】/【扫描后】，才决定是否运行U盘里面的程序，或者打开U盘里面的文件。

ysj963

fireherman 发表于 2017-3-24 16:44
U盘你还开什么【学习模式】，这是作死的节凑么？

U盘就是外设，就是本机本系统本来就没有见过的 ...

不开学习模式，无法识别U盘，我也不懂了，我还是开的交互模式。
我有个想法，在HIPS规则里把FD\RD\AD规则里面的每一小项都单独列出来，然后针对每一小项系统的重要位置和程序都询问，假设15项，然后模仿多步主防，如果一个软件过程中触发了2到3次高危操作直接阻止。然后如果是官网下的酌情。这样模仿多步主防行不行。单步实在难判断。

九尾野狐

ysj963 发表于 2017-3-24 19:51
不开学习模式，无法识别U盘，我也不懂了，我还是开的交互模式。
我有个想法，在HIPS规则里把FD\RD\AD ...

不开学习模式无法识别U盘 基本可以肯定是系统注册新U盘的动作给规则阻止了
如果是HIPS软件的话，倒是可以根据日志定位规则进行排除

fireherman

ysj963 发表于 2017-3-24 19:51
不开学习模式，无法识别U盘，我也不懂了，我还是开的交互模式。
我有个想法，在HIPS规则里把FD\RD\AD ...

搞不懂你这个【不开学习模式，无法识别U盘】是什么意思？
没有开【学习模式】，就无法识别（读取）U盘的数据？
还是没有开【学习模式】，就无法对U盘进行HIPS规则设置？

如果是前者，说明你的HIPS规则设置（自定义规则）有问题，卡住了U盘设备的正常访问，导致无法识别U盘。

如果是后者，根本就不存在的问题，作为未被ESET扫描过的数据，本来就属于未知风险级别，根本也就不可能开【学习模式】来使用（学习模式默认放行所有操作并且进来源程序记录）。