查看: 2713|回复: 2
收起左侧

[问题求助] 卡巴斯基的HIPS要怎么使用?

[复制链接]
gbx972
发表于 2021-7-14 18:15:33 | 显示全部楼层 |阅读模式
本帖最后由 gbx972 于 2021-7-25 02:53 编辑

是这样的,我用的一个剪贴板工具ditto没有加密功能,只要拿到它的数据库文件就能获取复制内容,不安全。
所以我想用HIPS限制ditto外的任何软件操作ditto数据库的权限。
原来我是用火绒的,先在“自定义防护”添加ditto数据库全局询问规则,
1.png
然后在“自动处理”添加ditto程序操作数据库的“自动允许”权限,
2.png
效果用卡巴扫描显示被拦截,ditto使用正常。
2-1.png
现在想用卡巴方案
卡巴的HIPS全局拒绝,
3.png
然后单独对ditto操作全允许,
4.png
但是发现ditto不能正常使用,查看日志发现还是“阻止”了,
5.png
问题出在哪里呢?要怎么样编写卡巴的规则才可以达到我想要的效果呢?


找到方法了,无法全部“拒绝”然后对个别程序单独“允许”。
但对全部程序“询问”,然后对个别程序单独“允许”是可以的。
KES没有“询问”选项,所以只有KIS可以做得到。


6.png

7.png

今天发现只要把ditto设置成“不继承父进程的限制”可以达到效果


微信截图_20210725023237.png

但还是不如KIS完美,KIS可以独立对ditto的启动顺序设置权限。
微信截图_20210725024451.png

微信截图_20210725024524.png

这样仅是explorer→ditto这样的启动顺序会允许,其它的程序通过ditto来访问目标都是拒绝的



njh001
发表于 2021-7-15 09:09:38 | 显示全部楼层
explorer允许、ditto允许,其他拒绝
wdwcpu
发表于 2021-7-22 00:05:07 | 显示全部楼层
卡巴是启动链都要允许
比如你启动ditto是用EXPLORER.EXE启动CMD.EXE然后用CMD启动ditto,你就得允许EXPLORER.EXE和CMD.EXE还有ditto
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 09:04 , Processed in 0.136815 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表