ESET+智量的具体设置

tjr57

引文链接
本文的ESET是ESET Internet Security（EIS），而Antivirus版本（ESET Nod32）的没防火墙，据说Antivirus版本当年没有第一时间防住勒索病毒，而ESI版本防住了。


用了ESET十多年了，经历过360引入的时代。前段时间看到了上面一文，试了一下，本来不抱什么希望，因为在此之前我也做了很多双杀共存的实验，其中“EIS+Dr主防”、“EIS+火绒+火绒hips”，效果都还行但都不完美，尤其是Dr.收费还垃圾。智量我原以为就只是国产普通的杀软，但混用了之后发现它和ESET搭配太完美了（要事先设置）。可以这么说，ESET防御一线而智量作为病毒库补充，有些病毒卡巴诺顿都不一定查得出来但ESET能够警报，但ESET查不出来的一些病毒连火绒360都能报警，所以智量就能够对未报警的病毒“补刀”，而且经过一段时间的使用我发现智量的查杀率真的不比卡巴诺顿低，也就是引擎烂了些。

所以我的配置思路如下：

1、ESET适应国内的易语言，误报率低于卡巴诺顿这类水土不服的国外如软件，同时开启“潜在不受欢迎的应用程序”来应对国内流氓软件。由于ESET要做一线防御，所有的“THREATSENSE”都应该是自动清除。为防止一线防御误杀，所有引擎都不宜超过“均衡”（可根据日常的误报情况酌情调低），“潜在不安全”建议关闭，目的是宁可放过也不能错杀，漏网之鱼交给第二防线——智量。总之，ESET的防御策略就是“尽量弱防，但要快速响应”，快速响应（自动清除）一来是一线需要，二来避免和智量同时报毒。

2、智量设置：在“基础监控”设置里关闭“扫描或新增的文件”，启发等级调高。监控新增文件ESET很在行智量开启了报毒会冲突，经过实验，若智量和ESET同时报毒ESET总是抢先一步，所以智量隔离了个寂寞，况且智量查杀引擎稀烂，也就做个主动防御器吧。

3、白名单设置：自己调用任务管理器查看双方进程，查找进程文件位置即可（本文图片和附件设置包含双方白名单）

ESET裸奔有以下情况：
a) ESET监控发现； b) ESET监控未发现，但查杀可发现； c) ESET监控和查杀都没发现，但病毒运行就发现； d) ESET始终未发现
对于a：略；对于b：病毒没运行之前通过查杀清除，若查杀前病毒开始运行，则：①病毒刚要运行被拦截并查杀（特征明显），②病毒运行后暴露特征被拦截查杀。如果是 ②，用户可能有风险，鉴于ESET能够通过查杀发现此类病毒，故②的概率很小
对于c：同b，鉴于ESET无法查杀此类病毒，只能通过运行过程中暴露的特征查杀，故②的概率较大，用户风险较高
对于d：直接凉了


以上abcd的条件下加入设置好的智量，则会有如下情况：
对于a：略；
对于b：若ESET在病毒运行前检监控文件检查到病毒头上则由ESET清除（ESET监控方式可以认为是一种全盘慢速扫描+新文件优先扫描），若病毒抢先运行则智量在病毒运行前阻止并隔离病毒
对于c：病毒运行前会被智量干掉，ESET等不到了
对于d：若智量能发现病毒，则病毒一开始就无法运行，若智量未发现病毒就凉了。不过连智量也没发现的病毒，其他杀软也很难发现，极个别样本各家有自己的针对优化，不算数，别抬杠。


以下为是智量设置与ESET配置文件（均含对方的白名单），感兴趣的朋友可自行去虚拟机测试一下。

henry217

esi是个什么玩意

tjr57

henry217 发表于 2021-2-5 23:22
esi是个什么玩意

文章开头已经解释了

InnoriaAlter

嗯。。。智量的占用如何

tjr57

InnoriaAlter 发表于 2021-2-6 00:18
是eis吧。。。
其他的话。。智量的占用如何

打错了，已经改好了。占用很小，虚拟机都流畅飞起

InnoriaAlter

tjr57 发表于 2021-2-6 00:57
打错了，已经改好了。占用很小，虚拟机都流畅飞起

嗯~还不错 看起来应该没有什么兼容性问题...
考虑什么时候试着搭配一下

PanzerVIIIMaus

ESET NOD32长期搭载HIPS功能
而且从去年的版本开始加入自动式行为主防
从“功能尽量不重复”的角度上来说，你这个搭配是不及格的

tjr57

PanzerVIIIMaus 发表于 2021-2-7 16:32
ESET NOD32长期搭载HIPS功能
而且从去年的版本开始加入自动式行为主防
从“功能尽量不重复”的角度上来说 ...

你照我说的去设置，自己跑一遍样本区再说。有些样本解压出来ESET是不报毒的，换做是其他一部分杀软会报毒，也有些ESET报毒其他一些杀软不报毒，这说明ESET样本库不全。ESET不报毒的情况下运行病毒结果就是病毒运行了，一段时间ESET才发现病毒，谁知道这段时间你损失了多少？ESET的hips和火绒一样，人家火绒有第三方hips支持而ESET有什么？添加规则你自己还得捣鼓半天，然后还不一定全防得住。你开交互模式，ESET给你报的一些进程倘若是常规进程你当然看得出来，可有些病毒的进程和系统进程一样，ESET都看不来你能看得出？就算你能看得出，光是每天开机都在点击“允许”你都累得慌。
我最后想通一件事，主防这种玩意终究是辅助，一个杀毒软件若能够识别所有病毒那还要ADT、hips这类东西干嘛？所以提升病毒库才是上策，最好像智量这种有云、有AI这种病毒库（目前我测试的病毒库ESET能查出来的智量一定能查出来，ESET查不出来的智量还是能查出来），所以我直接放弃ESET的hips，就靠智量的主防，只让智量监控进程即可，也就是ESET查不出来，然后你双击运行病毒智量就会拦截查杀，ESET若是发现病毒，那这个病毒肯定运行不起来，就和智量没关系了。
所以我的这个安排并没有冲突，ESET发挥启发式扫描的优势监控新增文件顺带防护网络，智量发挥病毒库优势监控进程做好第二道防线。至于你说的ESET的hips，我拿来做流氓软件（智量和ESET不报国产流氓）的防御，最后我累死了关掉自己的规则，下了火绒关掉所有监控只开启hips，直接用火绒论坛的第三方hips拦截流氓软件。

PanzerVIIIMaus

tjr57 发表于 2021-2-8 13:22
你照我说的去设置，自己跑一遍样本区再说。有些样本解压出来ESET是不报毒的，换做是其他一部分杀软会报毒 ...

未与你讨论效果的问题，为什么我不讨论？因为这个区是搭配区

从“功能尽量不重复”的角度上来说，你这个搭配是不及格的

对以上这句话，我向你严肃道歉，
因为如果始终以达成这个原则为基准，那就没几套能配的了


就算ESET的HIPS没法用，也不能第一句话就不加前提地说“没有”，特此重新强调

tjr57

PanzerVIIIMaus 发表于 2021-2-8 18:37
未与你讨论效果的问题，为什么我不讨论？因为这个区是搭配区

不是说hips没用，而是要分清主次，hips可以做辅助但不能过分依靠hips，真正最重要的还是病毒库，有最全量的病毒库谁用hips？就是因为每个杀软病毒库都有限，所以才有了hips、ADT这种主动防御机制，但是只能作为辅助，目的是分析并阻止可疑行为，实际上就是指望主动防御在杀软没发现病毒的情况下能够通过分析进程的异常行为进而“猜”出这是病毒，但猜永远不可能准确可靠。
所以我加入智量就是为了尽量补足病毒库，本质上不是加强主防而是加强病毒库。但之所以我让智量干主防的活是因为智量的主防不是hips，而是真的用病毒库去比对进程，不像hips那样靠黑名单也不像ADT那样靠“猜”。智量检测文件我就关闭了这个由ESET的启发式扫描来监控，ESET的进程监控和智量的都开启，实际上也不会冲突，有三种情况：①ESET和智量都能发现病毒——ESET报毒并清除智量就来不及发现（所以没冲突）【建议ESET监控设置为自动清除，目的是抢在智量前面】，②智量能发现病毒ESET不发现，那么如果病毒不运行就没事，一旦想运行就会被智量进程监控拦截并清除（因为智量没有开启文件监控所以病毒不运行就不报毒）【经过我测试，智量在多数情况下比ESET报毒数量更多，所以让智量做最后防线很合适】，③ESET偶尔也能发现智量不能发现的病毒，那就由ESET自主清除
我测试了很多新样本也发现有极少数病毒两个都没发现（评论区卡巴诺顿也经常没发现），这个时候ESET的hips就有用了，你可以设置禁止任何非系统程序访问系统核心，也可以设置软件隐私保护，禁止远程控制……这样即便病毒真的不幸运行了造成的伤害也不会很大。