查看: 3971|回复: 19
收起左侧

[讨论] ESET的hips的几个新疑问

[复制链接]
ysj963
发表于 2017-3-24 09:50:43 | 显示全部楼层 |阅读模式
1.假如ESEThips建立了系统程序白名单,允许他们的各种操作。但是未知父进程调用系统程序点击允许后,后面全都允许了吗?
2.为什么交互模式插U盘不能识别,必须学习模式让U盘插一次。
3.怎么让ESET的HIPS记规则的时候能记住目标位置,不只是允许修改文件(目标所有文件)这种大笼统的规则,很危险啊。难道一定要手动写出各种项吗?
4.假如电脑是干净的,学习模式后基于策略的模式一定安全吗?有没有什么其他规则上可能的漏洞?
夜微凉
发表于 2017-3-24 10:06:17 | 显示全部楼层
回卡饭看几天,都注意到你了

HIPS玩着挺烦,还是喜欢中等偏少弹窗的
ysj963
 楼主| 发表于 2017-3-24 10:43:36 | 显示全部楼层
夜微凉 发表于 2017-3-24 10:06
回卡饭看几天,都注意到你了

HIPS玩着挺烦,还是喜欢中等偏少弹窗的

。。。他不支持格式名确实造成很大麻烦。不过我用的软件也少 ,只是这个简陋的HIPS很容易漏,因为未知程序-系统程序-系统程序,第二部肯定是被学习模式记住了,第一步很容易放过。还是要多步的好判断。
fireherman
发表于 2017-3-24 16:23:50 | 显示全部楼层


1,问题太复杂,不是说你的提问,而是实际情况下的问题;假如你把svchost.exe加白,一个ABC.exe的恶意程序调用svchost.exe写入123.sys到用户目录,在通过svchost.exe调用123.sys加驱注册服务;

你说第一步点了【允许】,关键是你又没说明允许了什么(FD的写文件?RD的删除注册表?AD的调用新程序?)

而ESET的HIPS弹窗后(不管是选择允许还是阻止),都能选择(并建立)详细的规则(精确到某一个程序,某一个文件,注册表的某一个键值)。

2,U盘为硬件设置,即为外置设备(外设),ESET有独立的选项操作。



3,ESET的HIPS弹窗能建立一条详细的规则(唯一不能命名该规则,需要在建立后进入HIPS规则编辑器里命名)


4,学习模式就是你所说的建立【笼统规则(指定源程序,却没指定目标(全部有效或者无效))】,所以并不安全。

5,【基于策略的规则模式】不适合个人用户(特别是……对电脑知识不了解的用户,我不喜欢用小bai,菜niao来形容,感觉有点鄙夷、挖苦的味道),这个规则(也包括其防火墙的策略模式),其实就是“非白即黑”的模式(全局禁止,加白放行),明显地如果用户不了解系统设置,会导致系统紊乱甚至瘫痪(因为阻止了本该放行的程序而又没加白;导致系统出错)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ysj963
 楼主| 发表于 2017-3-24 16:34:28 | 显示全部楼层
fireherman 发表于 2017-3-24 16:23
1,问题太复杂,不是说你的提问,而是实际情况下的问题;假如你把svchost.exe加白,一个ABC.exe的恶意 ...


原来如此 ,真实坑爹的HIPS啊,必须全手动输入。交互模式下产生的规则能不能精确到哪一条,或者说我RD规则目标只写到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*,(往下细写太累),这样产生的规则能不能精确到EXPLORER之下的项?
还有那个未知调用白程序再干坏事确实很难搞。
另外写入驱动和加驱是不是不同的防御点?
还有在64位下安装全局钩子是不是防不了?
ESET的hips还有什么不能防?这个搞起来确实蛮心烦的,但是一直拖着360也不是办法。现在360风头正盛 ,要么不出事要么出大事,不敢用了。
ysj963
 楼主| 发表于 2017-3-24 16:37:11 | 显示全部楼层
fireherman 发表于 2017-3-24 16:23
1,问题太复杂,不是说你的提问,而是实际情况下的问题;假如你把svchost.exe加白,一个ABC.exe的恶意 ...

U盘,我在学习模式下发现有什么直接读取硬盘,还有写入驱动动作。ESET目前能识别某个U盘吗?还是要自己在设备控制里手输?
fireherman
发表于 2017-3-24 16:44:53 | 显示全部楼层
本帖最后由 fireherman 于 2017-3-24 16:47 编辑
ysj963 发表于 2017-3-24 16:37
U盘,我在学习模式下发现有什么直接读取硬盘,还有写入驱动动作。ESET目前能识别某个U盘吗?还是要自己在 ...




U盘你还开什么【学习模式】,这是作死的节凑么?

U盘就是外设,就是本机本系统本来就没有见过的东西,相当于你在某个网站下载一个未知风险的程序(外来的程序,不是你本机产生的程序),你会开【学习模式】来运行吗?

U盘就应该【关闭自动播放功能】/【扫描后】,才决定是否运行U盘里面的程序,或者打开U盘里面的文件。

ysj963
 楼主| 发表于 2017-3-24 19:51:30 | 显示全部楼层
本帖最后由 ysj963 于 2017-3-24 19:54 编辑
fireherman 发表于 2017-3-24 16:44
U盘你还开什么【学习模式】,这是作死的节凑么?

U盘就是外设,就是本机本系统本来就没有见过的 ...


不开学习模式,无法识别U盘,我也不懂了,我还是开的交互模式。
我有个想法,在HIPS规则里把FD\RD\AD规则里面的每一小项都单独列出来,然后针对每一小项系统的重要位置和程序都询问,假设15项,然后模仿多步主防,如果一个软件过程中触发了2到3次高危操作直接阻止。然后如果是官网下的酌情。这样模仿多步主防行不行。单步实在难判断。
九尾野狐
头像被屏蔽
发表于 2017-3-24 20:36:21 | 显示全部楼层
ysj963 发表于 2017-3-24 19:51
不开学习模式,无法识别U盘,我也不懂了,我还是开的交互模式。
我有个想法,在HIPS规则里把FD\RD\AD ...

不开学习模式无法识别U盘 基本可以肯定是系统注册新U盘的动作给规则阻止了
如果是HIPS软件的话,倒是可以根据日志定位规则进行排除
fireherman
发表于 2017-3-24 20:43:02 | 显示全部楼层
本帖最后由 fireherman 于 2017-3-24 20:44 编辑
ysj963 发表于 2017-3-24 19:51
不开学习模式,无法识别U盘,我也不懂了,我还是开的交互模式。
我有个想法,在HIPS规则里把FD\RD\AD ...




搞不懂你这个【不开学习模式,无法识别U盘】是什么意思?
没有开【学习模式】,就无法识别(读取)U盘的数据?
还是没有开【学习模式】,就无法对U盘进行HIPS规则设置?

如果是前者,说明你的HIPS规则设置(自定义规则)有问题,卡住了U盘设备的正常访问,导致无法识别U盘

如果是后者,根本就不存在的问题,作为未被ESET扫描过的数据,本来就属于未知风险级别,根本也就不可能开【学习模式】来使用(学习模式默认放行所有操作并且进来源程序记录)。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 01:24 , Processed in 0.116447 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表