查看: 12588|回复: 31
收起左侧

[分享] 单奔ESET防勒索推荐设置

  [复制链接]
B100D1E55
发表于 2017-10-30 12:35:36 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-10-30 13:05 编辑

大概这个是火星帖?不过还是再提一下

ESET对于小众威胁响应的确是个问题。谁都不想当第一批受害者,但是ESET默认设置对这第一批可怜用户的保护比较有限(特别是ransom这种恶性威胁)

不过ESET好处在于支持灵活定制HIPS规则,锁文件夹之类的还是能做到的……

个人推荐如果单奔ESET又担心勒索又不想太牺牲易用性的话可以在默认设置下做这几个改动:

1. 打开可疑程序检测,将HIPS从自动调整为智能模式
ESET的保守报毒决定了有一些灰色程序会被放在低优先级检测(甚至默认不检出)。我之前遇到过网页挖矿脚本只有可疑程序检测打开了才会拦截,如果希望高安全性建议打开,当然这个检测对很多注册机、挂之类的也会报,请自行决定(一般看报毒名就很清楚了)

HIPS智能模式可以提供最基本的关键部位防护。例如有一些恶作剧程序会禁用用户的任务管理器之类的,这些在打开智能模式后会被询问(日常使用情况鲜见弹窗)

2. 启用官方HIPS防勒索规则

官方推荐了7类HIPS防勒索规则,本质上就是禁运(cmd, powershell, office)。我的沙盘测试结果表明大部分普通防勒索没法阻止的ransomware基本都会命中这些禁运规则


某类勒索绕过了防勒索但是命中了沙盘里的ESET HIPS规则

当然如果经常使用cmd之类的请自行排除或者关闭一些规则
这里要注意的是如果用的是office365,官方的office路径已经过时了,新版的可能在:
C:\Program Files (x86)\Microsoft Office\root\Office16

具体请自己确认一下这些源exe的位置

规则在此:https://support.eset.com/kb6119/?viewlocale=en_US

3. 启用官方防火墙防勒索规则

有一些勒索需要和黑客服务器通信后才开始加密,禁止一些关键进程联网可能有助于阻挡位置威胁。官方规则如下


4. HIPS锁关键文件夹

对文档、onedrive等常用敏感文件夹设置FD规则(询问),仅授权给可信进程/程序。

5. 使用英文版ESET

这个囧……不过还是要提一下
中文版ESET不检出易语言家族(FlyStudio)之类的……如果不怎么用易语言的货并想让自己的ESET和VT结果相同,请使用英文版的ESET。

6. 使用最新版的ESET

ESET虽然扫描引擎比较犀利,局限也不少。事实上ESET官方现在仅把扫描看作初期防线:


很多老版本不提供上图完整的防御

就算近期版本和最新版一样提供了某些功能,也推荐使用最新版,因为官方的维护改进肯定集中在最新版本(典型代表就是ESS8的HIPS在win7下基本算半残状态,有漏毒可能,个人亲测)


总之这六点可以保证普通用户日常应用不弹窗不误杀并提供一些额外防护。

如果发现程序运行不正常,可查看ESET的日志看看是否是因为这些规则阻挡了一些正常程序。不放心的话可以调成默认询问。
ESET HIPS等的弹窗超时后会自动允许而不是阻止,而且还没法改 由此也可以见到ESET对这种东西谨慎(保守)到什么程度







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7人气 +7 收起 理由
KK院长 + 1 有空我也来玩NOD的HIPS
popu111 + 1 终于知道FlyStudio是啥了。。。(突然丢人
ELOHIM + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )
驭龙 + 1 版区有你更精彩: )

查看全部评分

fireherman
发表于 2017-10-30 12:54:56 | 显示全部楼层
本帖最后由 fireherman 于 2017-10-30 12:58 编辑



其实EIS/ESSP是绝对可以单奔的。

不过自己写规则(包括HIPS/FireWall规则)可能有点苦手,其实也不难,就是在【高级设置】里填几行东西而已。

教程:
http://bbs.kafan.cn/thread-2053173-1-1.html

http://bbs.kafan.cn/thread-2054501-1-1.html

http://bbs.kafan.cn/thread-2053386-1-1.html (官方反勒索规则写法)

https://bbs.kafan.cn/thread-2059713-1-1.html

用【HIPS锁关键文件夹】,一般情况下,强烈建议用[阻止]

因为FD的锁定,不影响【读(取)】,只影响【写(入)】;例如图片(JPG,PNG,GIF,BMP等)、视频(MP4,MKV,AVI,WMV等),放在锁定的文件夹里,可以读取(如用系统自带的图片浏览器打开BMP图片、用播放器打开MKV视频),但不能删除(也就是说无法被修改,当然也就无法“被加密”)

评分

参与人数 4人气 +4 收起 理由
sunnyjianna + 1 版区有你更精彩: )
ELOHIM + 1 感谢解答: )
Johnkay.Young + 1 版区有你更精彩: )
B100D1E55 + 1 给力

查看全部评分

iamLMH
发表于 2017-10-30 13:19:10 | 显示全部楼层
前排支持大神
cloud01
头像被屏蔽
发表于 2017-10-30 15:18:56 | 显示全部楼层
本帖最后由 cloud01 于 2017-10-30 15:20 编辑

不知道ESET的HIPS什么时候能支持批量选中单个文件,这样手编轻松多了,主要是要建立系统文件白名单,其他的都询问。
而我到底是谁
发表于 2017-10-30 15:54:55 | 显示全部楼层
最近我在开启一个我电脑里存在了很久的程序时eset弹出了拦截访问注册表,之前用是没有的。也许ESET是加强了注册表防护?
ELOHIM
发表于 2017-10-30 15:59:25 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-10-30 16:01 编辑



我把第三小段抄袭一下,放在系统墙里面。谢谢。。
————
额,不对,出站策略都是手动输入的,没有写的都是阻止。
ELOHIM
发表于 2017-10-30 16:03:47 | 显示全部楼层
fireherman 发表于 2017-10-30 12:54
其实EIS/ESSP是绝对可以单奔的。

不过自己写规则(包括HIPS/FireWall规则)可能有点苦手,其实也不 ...


这么棒帅哥技术工程师大神。
ELOHIM
发表于 2017-10-30 16:25:30 | 显示全部楼层
fireherman 发表于 2017-10-30 12:54
其实EIS/ESSP是绝对可以单奔的。

不过自己写规则(包括HIPS/FireWall规则)可能有点苦手,其实也不 ...



就用 NTFS怎么样啊……
fireherman
发表于 2017-10-30 17:37:09 | 显示全部楼层
本帖最后由 fireherman 于 2017-10-30 17:38 编辑
ELOHIM 发表于 2017-10-30 16:03
这么棒帅哥技术工程师大神。



帅哥……我认。(真的)

工程师大神……不敢认。(真心的)

NTFS是什么鬼?磁盘文件系统?不懂。
ELOHIM
发表于 2017-10-30 17:52:52 | 显示全部楼层
fireherman 发表于 2017-10-30 17:37
帅哥……我认。(真的)

工程师大神……不敢认。(真心的)



你都懂的,不要假装啦。。
简单了解一下,NTFS很灵活的。

读写,修改,所有权,完全控制,基于账户,基于注册表,继承不继承?巴拉巴拉小神仙。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 20:18 , Processed in 0.134064 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表