微点新增的 自定义规则功能看起来不错

幽冥の龙

公司局域网无法上传图片，想看的可以自己下载预升级
https://www.depthsec.com.cn/download/MPU.Pre_2020-04-13_2.0.20266.3032.zip
此安装包是测试版，可能存在各种问题，请谨慎安装，如使用过程中发现问题，请及时联系微点，客服QQ：2737536537


预升级版 扩展工具里多了个“入侵防御”，包含“自定义规则”和“联网控制”。有多个皮肤可选，支持自定义背景图片。（不过微点主程序界面皮肤还是那几个）
自定义规则比火绒的还好用。监控项目 除“创建”“读取”“修改”“删除”“执行”还多了个“重命名”，不知道只监控重命名是否能更好的防御勒索并减少不必要弹窗。勒索行为是把用户文件重命名加密吧？平时如果规则监控“修改”行为这样弹窗太多了，但如果只监控“诱饵”的修改有被绕过的可能，而如果监控所有文件的重命名，或许对于防勒索效果会更完美？
另外监控对象有两种选择“全部程序”和 “未知程序”，如果勾选“未知程序”，则微点会自动放过“已知程序”，减少不必要弹窗。对于一些规则可以省去麻烦的一个个排除的过程。不过暂不清楚这个已知未知如何定义，是看签名还是有个白名单库或者别的？对于白加黑会不会也自动放过？
联网控制支持控制程序具体联的IP和端口，默认是全部。比如你设置C:\* IP和端口都用默认的，那就C盘下所有文件联网都会弹窗提示你。联网控制也支持勾选 监控 未知程序 和 全部程序
另外规则监控程序默认是* ，我以为是这样就是监控电脑所有文件，但是实际上规则写* 是无效的，必须有盘符比如C:\*，这样才会监控C盘下的所有文件，如果要监控电脑上全部文件就每个盘符都写一遍。

还有就是，暂时没找到规则弹窗后如果用户选择放行并记住操作之后在什么地方取消？

陌染淡殇

看起来不错的样子

微点佰慧

您好
1.  hips里面的未知程序是指不在微点白名单里面的程序
2.“规则监控程序默认是*”，这个问题，是指监控全部程序，不会区分盘符，我们测试下
3“还有就是，暂时没找到规则弹窗后如果用户选择放行并记住操作之后在什么地方取消？”，这个问题，如下图：

KF8888

关键是不会编辑规则啊 有这方面现场的规则可以导入吗 谢谢各位大神了

幽冥の龙

微点佰慧 发表于 2020-4-15 11:04
您好
1.  hips里面的未知程序是指不在微点白名单里面的程序
2.“规则监控程序默认是*”，这个问题，是指 ...

感谢解答，问一下如果白名单程序被恶意利用的话，规则选择的是“未知”会放过它吗？

huicuan

期待更新，更期待微软认证，我买永久已做支持

微点佰慧

幽冥の龙 发表于 2020-4-15 11:53
感谢解答，问一下如果白名单程序被恶意利用的话，规则选择的是“未知”会放过它吗？

如果是白利用，目前未知程序会放过，后续会增加解决白利用的方案，会溯栈判断发起模块是否为未知，hips这边也会做相应增加

微点佰慧

huicuan 发表于 2020-4-15 11:54
期待更新，更期待微软认证，我买永久已做支持

感谢支持，我们努力！

微点佰慧

KF8888 发表于 2020-4-15 11:38
关键是不会编辑规则啊 有这方面现场的规则可以导入吗 谢谢各位大神了

您好，以后会做一些规则出来!

幽冥の龙

微点佰慧 发表于 2020-4-15 11:59
如果是白利用，目前未知程序会放过，后续会增加解决白利用的方案，会溯栈判断发起模块是否为未知，hips这 ...

安装过程中会被卡巴报毒
15.04.2020 09.02.00        检测到的对象 ( 文件 ) 已删除        C:\Users\Dragon\AppData\Local\Temp\MP_EDC18374\mp110181.dll        文件: C:\Users\Dragon\AppData\Local\Temp\MP_EDC18374\mp110181.dll        对象名称: UDS:Trojan-PSW.Win32.Mimikatz        对象类型: 木马程序        时间: 2020/4/15 9:02

另外WIN10 64系统用微点真的卡…… 看来还是只能等微软认证后再用
还有微点添加信任希望可以支持添加整个文件夹