ESET+智量的具体设置

tjr57

引文链接
本文的ESET是ESET Internet Security（EIS），而Antivirus版本（ESET Nod32）的没防火墙，据说Antivirus版本当年没有第一时间防住勒索病毒，而ESI版本防住了。


用了ESET十多年了，经历过360引入的时代。前段时间看到了上面一文，试了一下，本来不抱什么希望，因为在此之前我也做了很多双杀共存的实验，其中“EIS+Dr主防”、“EIS+火绒+火绒hips”，效果都还行但都不完美，尤其是Dr.收费还垃圾。智量我原以为就只是国产普通的杀软，但混用了之后发现它和ESET搭配太完美了（要事先设置）。可以这么说，ESET防御一线而智量作为病毒库补充，有些病毒卡巴诺顿都不一定查得出来但ESET能够警报，但ESET查不出来的一些病毒连火绒360都能报警，所以智量就能够对未报警的病毒“补刀”，而且经过一段时间的使用我发现智量的查杀率真的不比卡巴诺顿低，也就是引擎烂了些。

所以我的配置思路如下：

1、ESET适应国内的易语言，误报率低于卡巴诺顿这类水土不服的国外如软件，同时开启“潜在不受欢迎的应用程序”来应对国内流氓软件。由于ESET要做一线防御，所有的“THREATSENSE”都应该是自动清除。为防止一线防御误杀，所有引擎都不宜超过“均衡”（可根据日常的误报情况酌情调低），“潜在不安全”建议关闭，目的是宁可放过也不能错杀，漏网之鱼交给第二防线——智量。总之，ESET的防御策略就是“尽量弱防，但要快速响应”，快速响应（自动清除）一来是一线需要，二来避免和智量同时报毒。

2、智量设置：在“基础监控”设置里关闭“扫描或新增的文件”，启发等级调高。监控新增文件ESET很在行智量开启了报毒会冲突，经过实验，若智量和ESET同时报毒ESET总是抢先一步，所以智量隔离了个寂寞，况且智量查杀引擎稀烂，也就做个主动防御器吧。

3、白名单设置：自己调用任务管理器查看双方进程，查找进程文件位置即可（本文图片和附件设置包含双方白名单）

ESET裸奔有以下情况：
a) ESET监控发现； b) ESET监控未发现，但查杀可发现； c) ESET监控和查杀都没发现，但病毒运行就发现； d) ESET始终未发现
对于a：略；对于b：病毒没运行之前通过查杀清除，若查杀前病毒开始运行，则：①病毒刚要运行被拦截并查杀（特征明显），②病毒运行后暴露特征被拦截查杀。如果是 ②，用户可能有风险，鉴于ESET能够通过查杀发现此类病毒，故②的概率很小
对于c：同b，鉴于ESET无法查杀此类病毒，只能通过运行过程中暴露的特征查杀，故②的概率较大，用户风险较高
对于d：直接凉了


以上abcd的条件下加入设置好的智量，则会有如下情况：
对于a：略；
对于b：若ESET在病毒运行前检监控文件检查到病毒头上则由ESET清除（ESET监控方式可以认为是一种全盘慢速扫描+新文件优先扫描），若病毒抢先运行则智量在病毒运行前阻止并隔离病毒
对于c：病毒运行前会被智量干掉，ESET等不到了
对于d：若智量能发现病毒，则病毒一开始就无法运行，若智量未发现病毒就凉了。不过连智量也没发现的病毒，其他杀软也很难发现，极个别样本各家有自己的针对优化，不算数，别抬杠。


以下为是智量设置与ESET配置文件（均含对方的白名单），感兴趣的朋友可自行去虚拟机测试一下。

henry217

esi是个什么玩意

tjr57

henry217 发表于 2021-2-5 23:22
esi是个什么玩意

文章开头已经解释了

InnoriaAlter

嗯。。。智量的占用如何

tjr57

InnoriaAlter 发表于 2021-2-6 00:18
是eis吧。。。
其他的话。。智量的占用如何

打错了，已经改好了。占用很小，虚拟机都流畅飞起

InnoriaAlter

tjr57 发表于 2021-2-6 00:57
打错了，已经改好了。占用很小，虚拟机都流畅飞起

嗯~还不错 看起来应该没有什么兼容性问题...
考虑什么时候试着搭配一下

PanzerVIIIMaus

ESET NOD32长期搭载HIPS功能
而且从去年的版本开始加入自动式行为主防
从“功能尽量不重复”的角度上来说，你这个搭配是不及格的

tjr57

PanzerVIIIMaus 发表于 2021-2-7 16:32
ESET NOD32长期搭载HIPS功能
而且从去年的版本开始加入自动式行为主防
从“功能尽量不重复”的角度上来说 ...

你照我说的去设置，自己跑一遍样本区再说。有些样本解压出来ESET是不报毒的，换做是其他一部分杀软会报毒，也有些ESET报毒其他一些杀软不报毒，这说明ESET样本库不全。ESET不报毒的情况下运行病毒结果就是病毒运行了，一段时间ESET才发现病毒，谁知道这段时间你损失了多少？ESET的hips和火绒一样，人家火绒有第三方hips支持而ESET有什么？添加规则你自己还得捣鼓半天，然后还不一定全防得住。你开交互模式，ESET给你报的一些进程倘若是常规进程你当然看得出来，可有些病毒的进程和系统进程一样，ESET都看不来你能看得出？就算你能看得出，光是每天开机都在点击“允许”你都累得慌。
我最后想通一件事，主防这种玩意终究是辅助，一个杀毒软件若能够识别所有病毒那还要ADT、hips这类东西干嘛？所以提升病毒库才是上策，最好像智量这种有云、有AI这种病毒库（目前我测试的病毒库ESET能查出来的智量一定能查出来，ESET查不出来的智量还是能查出来），所以我直接放弃ESET的hips，就靠智量的主防，只让智量监控进程即可，也就是ESET查不出来，然后你双击运行病毒智量就会拦截查杀，ESET若是发现病毒，那这个病毒肯定运行不起来，就和智量没关系了。
所以我的这个安排并没有冲突，ESET发挥启发式扫描的优势监控新增文件顺带防护网络，智量发挥病毒库优势监控进程做好第二道防线。至于你说的ESET的hips，我拿来做流氓软件（智量和ESET不报国产流氓）的防御，最后我累死了关掉自己的规则，下了火绒关掉所有监控只开启hips，直接用火绒论坛的第三方hips拦截流氓软件。

PanzerVIIIMaus

tjr57 发表于 2021-2-8 13:22
你照我说的去设置，自己跑一遍样本区再说。有些样本解压出来ESET是不报毒的，换做是其他一部分杀软会报毒 ...

未与你讨论效果的问题，为什么我不讨论？因为这个区是搭配区

从“功能尽量不重复”的角度上来说，你这个搭配是不及格的

对以上这句话，我向你严肃道歉，
因为如果始终以达成这个原则为基准，那就没几套能配的了


就算ESET的HIPS没法用，也不能第一句话就不加前提地说“没有”，特此重新强调

tjr57

PanzerVIIIMaus 发表于 2021-2-8 18:37
未与你讨论效果的问题，为什么我不讨论？因为这个区是搭配区

不是说hips没用，而是要分清主次，hips可以做辅助但不能过分依靠hips，真正最重要的还是病毒库，有最全量的病毒库谁用hips？就是因为每个杀软病毒库都有限，所以才有了hips、ADT这种主动防御机制，但是只能作为辅助，目的是分析并阻止可疑行为，实际上就是指望主动防御在杀软没发现病毒的情况下能够通过分析进程的异常行为进而“猜”出这是病毒，但猜永远不可能准确可靠。
所以我加入智量就是为了尽量补足病毒库，本质上不是加强主防而是加强病毒库。但之所以我让智量干主防的活是因为智量的主防不是hips，而是真的用病毒库去比对进程，不像hips那样靠黑名单也不像ADT那样靠“猜”。智量检测文件我就关闭了这个由ESET的启发式扫描来监控，ESET的进程监控和智量的都开启，实际上也不会冲突，有三种情况：①ESET和智量都能发现病毒——ESET报毒并清除智量就来不及发现（所以没冲突）【建议ESET监控设置为自动清除，目的是抢在智量前面】，②智量能发现病毒ESET不发现，那么如果病毒不运行就没事，一旦想运行就会被智量进程监控拦截并清除（因为智量没有开启文件监控所以病毒不运行就不报毒）【经过我测试，智量在多数情况下比ESET报毒数量更多，所以让智量做最后防线很合适】，③ESET偶尔也能发现智量不能发现的病毒，那就由ESET自主清除
我测试了很多新样本也发现有极少数病毒两个都没发现（评论区卡巴诺顿也经常没发现），这个时候ESET的hips就有用了，你可以设置禁止任何非系统程序访问系统核心，也可以设置软件隐私保护，禁止远程控制……这样即便病毒真的不幸运行了造成的伤害也不会很大。

tjr57

PanzerVIIIMaus 发表于 2021-2-8 18:37
未与你讨论效果的问题，为什么我不讨论？因为这个区是搭配区

另外说一下：hips和ADT都是主防的一种。hips就是黑白名单。ADT比较复杂，目前业内比特梵德最厉害，ADT就是信用打分机制，一个病毒文件在病毒库中没被记录，但是ADT可以检查每一个文件的信用，以100分为满分，当未知病毒开始未经用户允许自己运行时，ADT就会减30分，然后这个病毒想要访问注册表，再减30分，最后这个病毒想要修改C盘文件和注册表的时候ADT就减40分，这样这个病毒的信用就是0分，于是判断为病毒，然后阻止并删除。ADT最大的问题就是不容易漏网但是很容易滥杀无辜，你前几天安装的软件，那几天都没问题，结果今早起床开机就因为这个软件的ADT信用减为0分被删除了，你就很懵逼。比特梵德算是ADT的王者，低误杀率和准确度是业内最好的，即便如此我自己用着都难受，经常被删文件。
hips和ADT相反，无辜较少但是漏网的很多，除非你自己根据电脑实际情况设置第三方hips，那也是很费精神，而且你设置的规则今天很稳定，结果明天你装了一个新的软件就有可能被你设置的规则给拦截了你又得去改规则，不断修复。

PanzerVIIIMaus

tjr57 发表于 2021-2-8 20:08
另外说一下：hips和ADT都是主防的一种。hips就是黑白名单。ADT比较复杂，目前业内比特梵德最厉害，ADT就 ...

如果说我第一个回复有失误，让你误解成其他的意思，OK，我道歉，我再次道歉。

就算ESET的HIPS没法用，也不能第一句话就不加前提地说“没有”，特此重新强调

你真的看过这句话了吗？为什么在你的眼中就变成了

不是说hips没用，而是要分清主次，hips可以做辅助但不能过分依靠hips，

说hips没用，

能否与我分享一下你当初看到我的话的时候，你的第一想法是什么？或者说，你想论证的问题是什么？


好了，回到核心问题，ESET的HIPS到底是有，还是没有？对你来说，ESET的HIPS是不是没（不）法（符）子（要）用（求）？
其他论证都是多余的。

tjr57

ESET有hips，hips有用，有用了主防也是垃圾，更何况主防也不是防毒的重点，理由我之前论证过了，有其他大佬对杀软主防的分析和看法，我这里就不引用了，你可以自己翻论坛，ESET的主防垃圾不是我第一个说的，我自己用也可以感受到这一点，比如我之前回帖里说的：未知病毒运行了ESET的主防才后知后觉。

你最初的帖子就是说“功能尽量不重复”我搭配得不好，那我直接告诉你，ESET+Dr大蜘蛛主防独立版 就是完美搭配，功能完全不重复（你去大蜘蛛官网看，人家点名ESET搭配），结果就是大蜘蛛拉胯，有人做过独立主防的评测，我就不多说了。当然你也可以搭配微点主防，但这些都是不怎么理想的搭配。
我并不认为杀软功能重复就不能搭配，比如可以关闭重复的一些功能只发挥一部分就够了，我在说明里也说了要关闭智量的文件检测，进程检测和ESET不冲突甚至互补，如果你嫌ESET的hips麻烦你还可以再引入火绒，关闭火绒的所有防护只打开高级防护启用hips，去第三方论坛下载火绒的hips规则也是挺省心的。即便如此这三个软件都不会有冲突，记得相互设置白名单。
我也想搞不重复的搭配，但是找来找去没有理想的，我为什么不用卡巴、诺顿或者是比特梵德全家桶？本来全家桶就可以搞定一切，正因为我都用过，然后得出的结论是国外软件不适合国人用，误杀率很高。ESET虽然也有一定的误杀，但是和卡巴、诺顿、比特梵德相比，ESET有极为详细的设置，无论是网络还是本地都能够详细设置规避误杀，比特梵德甚至不能设置“询问”，你说我要来干嘛？比起前三款全能王，ESET有自己的缺点，我只能安装其他软件补短板，这样就能达到反流氓不输给火绒、反病毒不输给前三者、误杀率低的组合。
你也不用道歉，既然你否定我那我就尽可能和你讲清楚，至少希望能让你有所改观，当然我说的不好那我就自己改观。
这个话题就到此为止吧，如果技术上你有什么质疑的再另行讨论，谢谢

PanzerVIIIMaus

tjr57 发表于 2021-2-8 23:11
ESET有hips，hips有用，有用了主防也是垃圾，更何况主防也不是防毒的重点，理由我之前论证过了，有其他大佬 ...

好，我就跟你讨论讨论

我并不认为杀软功能重复就不能搭配，比如可以关闭重复的一些功能只发挥一部分就够了，

我个人赞同你的看法，搭配区本来就是要搭嘛

这次是我的角度过于刁钻了，我为我的角度刁钻可能给你带来的误解，第三次道歉








好了，讨论结束，现在回到核心问题


你可以说某个HIPS不符合要求，是垃圾，至于你会说哪个是垃圾，我不关注。

核心问题是，你将有、并且的确有发挥作用的HIPS，直接说“没有”，没有是什么？没有是指不存在这个东西、或者可以引申为基本不起可见的作用吧？
而你确实是说“没有”，而并不是说“没用”，

，而Antivirus版本（ESET Nod32）的没防火墙和hips，据

如果你这句话不打算改，那你可以说不改，这个话题也就简单地结束了

tjr57

PanzerVIIIMaus 发表于 2021-2-9 12:50
好，我就跟你讨论讨论

我个人赞同你的看法，搭配区本来就是要搭嘛

搞了半天你想说Antivirus版本有hips是吧？你要是说“ESET Internet Security和ESET NOD32 antivirus两个版本都有hips，区别是有没有防火墙。”我就听懂了，搞了半天我还以为你指的是EIS没有hips，我已经改好了，表达错误，因为我十年都不用antivirus版本了，都不知道，抱歉。

PanzerVIIIMaus

tjr57 发表于 2021-2-9 13:07
搞了半天你想说Antivirus版本有hips是吧？你要是说“ESET Internet Security和ESET NOD32 antivirus两个 ...

ESET自多年前推出HIPS后，反倒有一个奇怪的设计，就是自我保护属于HIPS的子功能，如果你关闭HIPS，那么，包括自我保护在内的所有子功能都会被关闭。
由此应当反推现在ESET全系都应该有HIPS。

类似的奇怪设计，迈克菲的Virus Scan Enterprise（VSE）就有了，不过VSE这个“访问保护”不属于所谓的HIPS，不论如何设定规则，也不存在所谓主防，如果信任迈克菲的扫描能力，那可以说是百搭小王子了。

tjr57

PanzerVIIIMaus 发表于 2021-2-9 13:23
ESET自多年前推出HIPS后，反倒有一个奇怪的设计，就是自我保护属于HIPS的子功能，如果你关闭HIPS，那么， ...

https://bbs.kafan.cn/thread-2201466-3-1.html
今早的测试结果，我觉得还行，隔壁的avast检测了93%（酸了）。

迈克菲我没用过，倒是以前在电脑报买电脑的地方经常看见推广迈克菲

小小龙

PanzerVIIIMaus 发表于 2021-2-9 13:23
ESET自多年前推出HIPS后，反倒有一个奇怪的设计，就是自我保护属于HIPS的子功能，如果你关闭HIPS，那么， ...

记得有位大神说过：VSE的防御点与HIPS防护不重叠，也是这个神器厉害的地方

蝙蝠BATGOD

感谢分享 已经用上了

lovehm

我是腾讯管家+EIS+智量，完全兼容