HIPS的防护貌似有bug？

显示全部楼层 · 发表于 2022-7-22 09:31:16

本帖最后由 yexo 于 2022-8-4 00:48 编辑

最新版的HIPS写入注册表防护，对注册表的键和值的创建、修改、删除似乎都没有反应？
另外，再提几个建议：

1. 能否更新一下离线安装包以提供最完善的防护？不少杀软都是每日更新。不然下载安装一个发布于几个月前的安装包，对初始环境为离线状态下的使用不太友好，无法做到最大限度的防护和查杀。

2. 高分屏下不管是中文还是英文都字体较为模糊，不知整体UI和编辑器的优化大概什么时候能提上日程？

3. OpenSSL 还是4年前的版本？

显示全部楼层 · 发表于 2022-7-22 09:35:46

本帖最后由 00006666 于 2022-7-22 09:42 编辑

以前智量官网上面的安装包好像隔一段时间就会发布一次带最新特征库的版本。

离线环境的话从官网下载新的安装包覆盖安装可能也行。

显示全部楼层 · 发表于 2022-7-22 09:42:24

00006666 发表于 2022-7-22 09:35
智量官网上面的安装包好像隔一段时间就会发布一次带最新特征库的版本。

离线环境的话从官网下载新的安装 ...

刚才又去官网下载确认了一遍，3.0.7发布后安装包就没再更新过了，已经快俩月了。

显示全部楼层 · 发表于 2022-7-22 23:19:28

你好，感谢反馈。
1.自定义规则目前是支持拦截注册表写入，但是不支持拦截删除。如果是写入没有反应，方便的话请告知规则是如何创建的。
2.必要的时候，含新特征库的安装包是会更新至官网的。
3.UI优化预计是在商业化之后。

显示全部楼层 · 发表于 2022-7-23 00:18:19

本帖最后由 yexo 于 2022-7-23 00:36 编辑

智量官方发表于 2022-7-22 23:19
你好，感谢反馈。
1.自定义规则目前是支持拦截注册表写入，但是不支持拦截删除。如果是写入没有反应，方便 ...

规则名称 demo1
目标路径 *\demo1
事件写入注册表
阻止
其他都是默认

无论是创建一个名为demo1的键或者值，都没有反应。修改也没有。

比如，我想用智量来阻止Winlogon下WinStationsDisabled的修改，我设置为1，一重启又被系统自动改回0，这个启动阶段的修改动作用COMODO是可以拦截到的，我试过智量和火绒，都拦截不到。

另外，我发现智量每次开机都会去修改Tcpip6\Parameters下的DisabledComponents值（我设置了0xff来禁用ipv6），为啥捏？

显示全部楼层 · 发表于 2022-7-26 11:16:59

yexo 发表于 2022-7-23 00:18
规则名称 demo1
目标路径 *\demo1
事件写入注册表

1. 你好，如果是保护值，那么*\demo是可以的

然后用注册表编辑器随便在什么键下建立demo值并修改会弹窗, 注意如果只是建立demo但没有修改值相当于是没有建立demo这个值.

如果是要写修改键的规则，则需要将*\demo改为*\demo\*

2. WinStationsDisabled 修改的问题如果修改时间发生在智量启动前是拦截不到的.

3. IPv6的问题，智量会在某些特定的条件下修改DisabledComponents禁用teredo服务以更好的过滤IPV6流量.

显示全部楼层 · 发表于 2022-8-4 01:16:40

智量官方发表于 2022-7-26 11:16
1. 你好，如果是保护值，那么*\demo是可以的

就不再重新开帖了，借地方继续反馈：

用HIPS创建一个写入文件的阻止规则来保护Sandboxie的设置文件(C:\Windows\Sandboxie.ini)，然后在Sandboxie中修改设置，虽然智量弹窗提示已经阻止，但是文件依旧修改成功，防御强度还是需要继续强化。

另外，注册表的写入防护在我这边依然无法拦截，无论是*\demo，*\demo\*还是*demo*都不行，等有机会重装一下再看看吧。

显示全部楼层 · 发表于 2022-8-4 18:57:10

yexo 发表于 2022-8-4 01:16
就不再重新开帖了，借地方继续反馈：

用HIPS创建一个写入文件的阻止规则来保护Sandboxie的设置文件(C: ...

依旧修改成功可能是sandboxie在应用层操作失败后，让驱动层修改了?

注册表我们这肯定是可以拦截的, 你看看新建规则时事件是不是没选写入注册表

显示全部楼层 · 发表于 2022-8-5 00:35:58

智量官方发表于 2022-8-4 18:57
依旧修改成功可能是sandboxie在应用层操作失败后，让驱动层修改了?

注册表我们这肯定是可以拦截的, 你 ...

有可能。如果你们那边确认可以拦截，那就是我这边的问题，规则设置肯定是选择了写入注册表，等重装再看看吧。

显示全部楼层 · 发表于 2022-8-26 06:01:33

本帖最后由 yexo 于 2022-8-26 06:39 编辑

@智量官方

1. 重装后发现注册表防护失效问题依旧，虚拟机也试过了，结果也一样，应该是bug无疑了，写了大概接近一百个注册表规则来测试，只有两个规则生效，之前用热心网友提供的加强规则就很好奇为什么没怎么看到过注册表相关的弹窗。。。
你截图的那个规则我试了确实可以弹窗，但是我写的规则几乎都没有弹窗。

经过反反复复的测试后，大概已经找到问题的根源了：目前智量的注册表防护只能部分防护字符串相关类型的注册表值的创建和修改（之所以说是部分，因为当值的长度较短时，比如设置为1或者2，同样无效，难怪winlogon那个值防不住），对于QWORD，Binary以及更重要的DWORD值则完全无效。对注册表值的删除以及注册表项的创建，修改，删除也完全无效。希望后续能把删除操作也保护起来，毕竟这也可以算是某种写入，把某些值或者干脆连项都给你删了，相应的限制或保护就没了。

2. 另外，重装后又遇到一个新问题：智量会无法识别用户导入的数字证书，比如现在普遍使用的Digicert，下载安装了对应数字证书后，系统已经成功识别某些程序的数字签名，但是智量依然认为其没有签名，然后因为我的某些规则涉及签名，就会在程序安装和使用时很卡甚至假死，即便设置了放行规则。

目前的使用感受是，规则数目一多，就开始出现性能问题和规则执行的有效性问题了。

[智量] HIPS的防护貌似有bug？

评分

评分

本帖子中包含更多资源

评分

评分