12
返回列表 发新帖
楼主: ysj963
收起左侧

[讨论] ESET的hips的几个新疑问

[复制链接]
ysj963
 楼主| 发表于 2017-3-24 20:45:02 | 显示全部楼层
fireherman 发表于 2017-3-24 20:43
搞不懂你这个【不开学习模式,无法识别U盘】是什么意思?没有开【学习模式】,就无法识别(读取)U盘 ...

我是说我开的交互模式U盘无法识别,开学习模式就识别了。难道是硬盘底层读取被我卡住了??搞不清楚了。ESET设备控制里面怎么设置才能只允许读取我自己的U盘?
fireherman
发表于 2017-3-24 20:56:45 | 显示全部楼层
ysj963 发表于 2017-3-24 20:45
我是说我开的交互模式U盘无法识别,开学习模式就识别了。难道是硬盘底层读取被我卡住了??搞不清楚了。E ...



实际上,U盘和物理硬盘、固态硬盘、甚至虚拟硬盘都没有本质上的区别;

当你插入U盘/USB鼠标/键盘等等外设,被系统识别的那一刻,系统就要对其进行监测;检查后就会加载对应的硬件驱动,继而就会进行端口分配、磁盘底层访问(如果是U盘/SSD的话,否则系统怎么知道这个U盘到底有多大?)等等一系列用户看不到的内部探测。

看你的问题,明显就是:不清楚你搞了什么规则,导致系统识别外设时出错;交互模式默认是询问,学习模式默认是放行;交互有问题,学习模式没问题,这不是明摆着系统没问题,你用的HIPS规则有问题吗?

这点你得自己去排查,谁也帮不了你,鬼知道你设置什么规则,鬼知道你什么配置……对不对?

ysj963
 楼主| 发表于 2017-3-24 21:07:31 | 显示全部楼层
本帖最后由 ysj963 于 2017-3-24 21:11 编辑
fireherman 发表于 2017-3-24 20:56
实际上,U盘和物理硬盘、固态硬盘、甚至虚拟硬盘都没有本质上的区别;

当你插入U盘/USB鼠标/键盘 ...


我想问问 ,document and settings 和 users文件夹下要保护哪个?如果我是administrator能删除其中哪一个吗?
ESET在64位上是不是不能防全局加驱和钩子?
com组这个鬼在注册表哪里,hkcr项下除了几个文件扩展名还有什么项要保护吗?貌似帖子很少有这个项的东西。
ESET是不是不能实现全局文档修改询问?正常是系统哪个程序读取doc等文档,我直接阻止别的程序调用它行不行,然后阻止这个系统程序以外的未知程序读取文档。
fireherman
发表于 2017-3-24 21:12:44 | 显示全部楼层
ysj963 发表于 2017-3-24 21:07
我想问问 ,document and settings 和 users文件夹下要保护哪个?如果我是administrator能删除其中哪一 ...



document and settings顾名思义:存放文档/设置的文件夹;实际情况实际操作,例如有些软件会在该目录放设置文件(INI文件),也会放其他一些需要调用的文件。

users就是用户目录,administrator就是管理员,是users的一份子;你用哪个用户就保护哪个。

至于加驱和钩子,自己开虚拟机测试。

windows7爱好者
发表于 2017-3-24 22:35:02 | 显示全部楼层
fireherman 发表于 2017-3-24 21:12
document and settings顾名思义:存放文档/设置的文件夹;实际情况实际操作,例如有些软件会在该目录 ...

你居然能做到认真的回复他,佩服佩服,在下功力不行
fireherman
发表于 2017-3-24 23:40:43 | 显示全部楼层
windows7爱好者 发表于 2017-3-24 22:35
你居然能做到认真的回复他,佩服佩服,在下功力不行



就是动动指头打几个字嘛,又不是多麻烦的事情;而且楼主的想法虽然奇葩及钻牛角尖,但学习或者说交流的态度是值得肯定的,你看看有些饭友……我连看都懒得看,回都懒得回,字都懒得打。

话说……小7最近好像失踪了,去哪儿风花雪月了?吓?老实交代!

评分

参与人数 1人气 +1 收起 理由
linzh + 1 这得打多久。。。

查看全部评分

ysj963
 楼主| 发表于 2017-3-25 00:04:59 | 显示全部楼层
fireherman 发表于 2017-3-24 21:12
document and settings顾名思义:存放文档/设置的文件夹;实际情况实际操作,例如有些软件会在该目录 ...

请问下 ,防挂钩 防键盘记录应该注意哪些动作,system32写入删除和全局注入我都是有的。
blacksaussage
发表于 2017-3-25 08:07:22 | 显示全部楼层
fireherman 发表于 2017-3-24 23:40
就是动动指头打几个字嘛,又不是多麻烦的事情;而且楼主的想法虽然奇葩及钻牛角尖,但学习或者说交流 ...

不过ESET的HIPS防护面相对并不完整 但是个人用户够用了就是…但是折腾起来好麻烦…官方的智能模式又不出力…eset的云也是个半死不活的东西…感觉当年4.2的辉煌回不来了……
欧阳宣
头像被屏蔽
发表于 2017-3-25 09:37:08 来自手机 | 显示全部楼层
blacksaussage 发表于 2017-3-25 08:07
不过ESET的HIPS防护面相对并不完整 但是个人用户够用了就是…但是折腾起来好麻烦…官方的智能模式又不出 ...

4.2人们会觉得辉煌是因为eset的优势在当时还能够压的住场面,启发的通吃程度还足够

现在一是威胁趋势变化大,变得复杂;二是机器学习概念被热炒,本来就低调稳重的eset在这时候声势就下去了

其实10.0补齐了很多东西,只不过不是按照我们的想法来的而已
blacksaussage
发表于 2017-3-26 00:59:09 | 显示全部楼层
欧阳宣 发表于 2017-3-25 09:37
4.2人们会觉得辉煌是因为eset的优势在当时还能够压的住场面,启发的通吃程度还足够

现在一是威胁趋势 ...

是的 现在主要是转向敲诈勒索而不是纯粹以破坏系统为目的的病毒, 而ESET近年只更新了一次启发引擎和一次整体架构,很多不够完善的例如AMS等并没有进行加强而是选择加入了类似于银行保护之类的功能…
不过说到银行保护我还是觉得FS的最舒服 沙盘什么的都没这么靠谱 除浏览器外全局断网才是王道
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 01:46 , Processed in 0.097125 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表