eset11版的hips功能完善了没呢？

zy373779171

ESET官方的思路里可能就没加强HIPS的打算

cloud01

HEMM 发表于 2018-6-14 19:18
高危？你是指要限制的？
*\cmd.*
*\regsvr32.exe

你看看我贴的里面有哪些是不需要的吗 ，能不能整合一下。

（1）系统启动程序程序
C:\Windows\explorer.exe
C:\Windows\SysWOW64\explorer.exe
C:\Windows\System32\csrss.exe
C:\Windows\System32\lsass.exe
C:\Windows\System32\lsm.exe
C:\Windows\System32\smss.exe
C:\Windows\System32\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\System32\dllhost.exe
C:\Windows\SysWOW64\dllhost.exe
C:\Windows\System32\dinotify.exe      Windows 设备安装
C:\Windows\SysWOW64\mmc.exe
C:\Windows\System32\msiexec.exe 程序安装器
C:\Windows\SysWOW64\msiexec.exe
C:\Windows\System32\regsvr32.exe 注册DLL
C:\Windows\SysWOW64\regsvr32.exe
C:\Windows\System32\rundll32.exe将dll作为应用程序运行
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\System32\services.exe控制所有服务
C:\Windows\System32\spoolsv.exe后台处理子程序
C:\Windows\System32\taskhost.exe任务主机进程
C:\Windows\System32\taskmgr.exe任务管理器
C:\Windows\System32\wininit.exe启动内核
C:\Windows\SysWOW64\wininit.exe
C:\Windows\System32\winlogon.exe登录启动

（2）二级关键程序
C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe   C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
C:\Windows\System32\attrib.exe 显示或更改文件属性
C:\Windows\SysWOW64\attrib.exe
C:\Windows\System32\autofmt.exe 在启动过程中格式化进程
C:\Windows\SysWOW64\autofmt.exe
C:\Windows\System32\bcdboot.exe 启动环境修复
C:\Windows\System32\bcdedit.exe重置BOOT
C:\Windows\SysWOW64\bcdedit.exe
C:\Windows\System32\bootcfg.exe配置ini
C:\Windows\SysWOW64\bootcfg.exe
C:\Windows\System32\bitsadmin.exe命令行下载
C:\Windows\SysWOW64\bitsadmin.exe
C:\Windows\System32\cacls.exe
C:\Windows\SysWOW64\cacls.exe命令行文件权限
C:\Windows\System32\cmd.exe 启动WINDOWSXP命令解释程序
C:\Windows\SysWOW64\cmd.exe
C:\Windows\System32\cscript.exe 脚本宿主
C:\Windows\SysWOW64\cscript.exe
C:\Windows\System32\convert.exe转换FATS
C:\Windows\SysWOW64\convert.exe
C:\Windows\System32\diskpart.exe创建删除硬盘分区
C:\Windows\SysWOW64\diskpart.exe
C:\Windows\System32\format.com格式化
C:\Windows\SysWOW64\format.com
C:\Windows\System32\icacls.exe更改文件访问权限，显示或修改文件的访问控制列表 (ACL)
C:\Windows\SysWOW64\icacls.exe
C:\Windows\System32\label.exe
C:\Windows\SysWOW64\label.exe
C:\Windows\System32\logoff.exe注销用户
C:\Windows\System32\mctadmin.exe启动程序，设置全局钩子，物理内存访问，远程代码，远程数据修改，挂起进程/线程，创建可执行程序，使用DNS API，枚举文件，关闭系统
C:\Windows\System32\mshta.exe HTML应用程序主机
C:\Windows\SysWOW64\mshta.exe
C:\Windows\System32\net.exe 网络操作命令
C:\Windows\SysWOW64\net.exe
C:\Windows\System32\net1.exe 同上
C:\Windows\SysWOW64\net1.exe
C:\Windows\System32\netsh.exe配置和监控 Windows命令行脚本接口
C:\Windows\SysWOW64\netsh.exe
C:\Windows\SysWOW64\ntkrnlpa.exe
C:\Windows\System32\ntoskrnl.exe系统调度调试
C:\Windows\SysWOW64\ntoskrnl.exe
C:\Windows\System32\regini.exe修改注册表权限
C:\Windows\SysWOW64\regini.exe
C:\Windows\System32\replace.exe 替换文件
C:\Windows\SysWOW64\replace.exe
C:\Windows\System32\runas.exe管理员身份运行
C:\Windows\SysWOW64\runas.exe
C:\Windows\System32\runonce.exe运行程序再开始菜单中
C:\Windows\SysWOW64\runonce.exe
C:\Windows\System32\sc.exe 一个用于NT服务控制端和服务端进行通讯的命令行
C:\Windows\SysWOW64\sc.exe
C:\Windows\System32\schtasks.exe 管理计划任务
C:\Windows\SysWOW64\schtasks.exe
C:\Windows\System32\setx.exe环境变量设置
C:\Windows\SysWOW64\setx.exe
C:\Windows\System32\shutdown.exe 关机命令
C:\Windows\SysWOW64\shutdown.exe
C:\Windows\System32\subst.exe路径替换，将路径与驱动器号关联，隐藏驱动器、安装
C:\Windows\SysWOW64\subst.exe
C:\Windows\System32\takeown.exe取得所有权
C:\Windows\SysWOW64\takeown.exe
C:\Windows\System32\taskeng.exe任务计划
C:\Windows\SysWOW64\taskeng.exe
C:\Windows\System32\taskkill.exe
C:\Windows\SysWOW64\taskkill.exe
C:\Windows\System32\userinit.exe 登录启动顺序
C:\Windows\SysWOW64\userinit.exe
C:\Windows\System32\wscript.exe脚本
C:\Windows\SysWOW64\wscript.exe
C:\Windows\System32\winload.exe  登录启动
C:\Windows\System32\wbem\WmiPrvSE.exe
C:\Windows\SysWOW64\wbem\WmiPrvSE.exe
C:\Windows\System32\xwizard.exe可扩展向导主机 ，加载
C:\Windows\SysWOW64\xwizard.exe

HEMM

cloud01 发表于 2018-6-14 21:56
你看看我贴的里面有哪些是不需要的吗 ，能不能整合一下。

（1）系统启动程序程序

啥一级二级的....你是指系统的进程限制管理分类吗？
........没........我没你那么细致......
我自己的分类比谁都粗，只有3个，除系统运行的关键进程分类为不管不问外，一个是控驱的services.exe，其余系统进程都被我分到一个类别，统一给予大部分权限进行放任，你应该问的是会去细控的人....例如MAN，柯姐，天使李子~
我只堵了个口子，口子一突破即破了......内部的分组甚至防火墙外联的请求都一律允，只有少量的限制.......
我的规则即不能测毒，也不能玩毒分析毒.......只是我作死前做了个阻挡我手贱的破木盾.....

你要看可以下载这位姐的规则
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2104564&extra=page%3D1%26filter%3Dtypeid%26typeid%3D196
我早就弃疗了.....欣赏那些严格的规则，但我自认驾驭不来......仅作为收藏和参考。

cloud01

HEMM 发表于 2018-6-14 22:20
啥一级二级的....你是指系统的进程限制管理分类吗？
........没........我没你那么细致......
我自己的 ...

你们都是姐？？

cloud01

HEMM 发表于 2018-6-14 22:20
啥一级二级的....你是指系统的进程限制管理分类吗？
........没........我没你那么细致......
我自己的 ...

我也没控的那么严格 ，我的二级是说非系统启动必要进程，我都是放行开机必须系统程序，对于系统程序调用其他不管，只管谁调用系统程序，除了命令行操作，主要难判断的是rundll32和regsvr32这两个动作不知道加载和注册的DLL是不是黑的，怎么办？

HEMM

cloud01 发表于 2018-6-15 09:10
我也没控的那么严格 ，我的二级是说非系统启动必要进程，我都是放行开机必须系统程序，对于系统程序调用 ...

哈？那我就更不管了，我平时都是关闭着的，为了少看弹窗，进来的几乎是一路允，由于是搭配，主力为WD，我才懒得判断。
你想要严格的，给你了个严格的，看看别人是怎么控的。
判断这玩意儿，你有多少知识储蓄才有本钱去判，总不能凭感觉吧，所以我个人选择不判......
恕我直言不如放自己一马，该轻松就轻松一点，靠智能，只管自己驾驭的来的，驾驭不来的就放手，轻轻松松的用HIPS，要嘛就慢慢的学，无法靠问就问的出来的。
系统内的巴啦啦那么多，谁有空闲解答你，全是自学.......

cloud01

HEMM 发表于 2018-6-15 09:30
哈？那我就更不管了，我平时都是关闭着的，为了少看弹窗，进来的几乎是一路允，由于是搭配，主力为 ...

高危主要就是这几个DLL相关的不好判断 ，其他的我也不怎么管，不怎么需要用到的都是直接禁止，不是高危也不好判断的就不管，加驱加服务看程序来。我管的也很少了 ，文件夹只管WINDOS和菜单启动文件写入，你不官DLL加载吗？

HEMM

cloud01 发表于 2018-6-15 10:41
高危主要就是这几个DLL相关的不好判断 ，其他的我也不怎么管，不怎么需要用到的都是直接禁止，不是高危也 ...

我已经全关闭很久了，你觉着呢？
没心情弄这个......
中了就中了........
临时开着只为挡手贱，测信誉.....
可信！关闭双击，未知删除.....

cloud01

HEMM 发表于 2018-6-15 11:57
我已经全关闭很久了，你觉着呢？
没心情弄这个......
中了就中了........

你这心态和我们不一样 ，我的是难得会弹窗，现在的360都不敢用，比ESET自己设置的HIPS弹窗还多，只要是未知的在桌面打开都会弹窗，关键点保护一下总归好 ，浏览器入口不安全隐私太多了。如果只是打打游戏的电脑装个卡巴斯基就完了。不过我也不烦了，反正就那么点关键的东西设置下。你是死猪不怕开水烫的心态还是见怪不怪的心态，我还年轻，玩的病毒不多，所以还是有点担心的，有HIPS心里有底，甚至比卡巴斯基整体防御还有安全感。

qftest

HEMM 发表于 2018-6-14 19:18
高危？你是指要限制的？
*\cmd.*
*\regsvr32.exe

H姐这个列表看起来很眼熟