查看: 6672|回复: 26
收起左侧

[分享] ESET 特点de小分享

  [复制链接]
牛奶哈密瓜
发表于 2023-2-7 17:25:04 | 显示全部楼层 |阅读模式
本帖最后由 牛奶哈密瓜 于 2023-2-7 17:25 编辑

好多年来一直是铁壳拥趸,直到中了勒索病毒

本着对性能的执着,看上了ESET。最近搜集了一点关于ESET能力和特点内容,如有不对还请各位大佬及时指正内容取自ESET知识库、卡饭和百度,大部分是对HIPS功能的介绍。







一、ESET 对威胁的定义
1.恶意软件(病毒)
2.可疑应用程序(疑似病毒)
3.潜在不受欢迎的应用程序(广告、不良行为软件)
4.潜在不安全的应用程序(恶意工具,如密码爆破工具)



二、ESET 恶意软件检测手段
1.病毒库/特征码 (Signatures)
2.启发/高级启发式扫描 (Heuristics/Advanced Heuristics)
3.基因/广谱/智能特征码 (DNA/Smart Signatures)



三、ESET 能力特点
(1)HIPS 主机入侵防御系统(Host Intrusion Prevent System)
   HIPS是ESET独立于文件系统实时防护的另一套防御体系,是ESET独有的底层系统,它直接控制CPU,在安装杀软后的第一次重启即可生效。HIPS永远十分详尽地控制电脑上发生的任何磁盘访问、内存修改、进程拉起操作。当这些操作发生时,ESET立即对CPU发出挂起命令,并根据规则(用户可自定义规则),审查操作行为是否安全并符合规则,只有安全并合规的操作才允许执行。
   因此任何发生在我们电脑上的操作都必须经过HIPS系统的允许才能够执行,如果阻止了,程序将无法运行或修改。比如你双击了一个恶意程序,HIPS发现不安全行为来了个弹窗警告,此时你没有允许执行,那么病毒还是没有成功运行,相当于单步询问式主防。甚至连Windows系统自身的操作也包括在内,更不用说流氓软件和恶意程序了。



(2)HIPS 工作模式的运行逻辑
【自动模式】 自保规则 -> 用户自定义规则 -> 默认允许
【智能模式】 自保规则 -> 用户自定义规则 -> 内部规则  [危险行为询问]  -> 安全行为默认允许
【交互模式】 自保规则 -> 用户自定义规则 -> 默认询问
【基于策略的模式】 自保规则 -> 用户自定义规则 ->  [默认阻止]
【学习模式】 学习用户行为并自动建放行规则

  模式选择:
【学习模式】下,HIPS将允许一切未定义规则的操作,并自动建立新规则来记住这次操作,此后对该操作永久放行。如果不熟悉HIPS的话不建议开学习模式。如果非要写规则的话,建议打开学习模式运行信任的所有文件后,再调成智能模式使用。
【智能模式】下,HIPS会匹配ESET预定义的危险行为规则,并在行为危险时弹窗询问,行为安全时默认放行,相当于单步询问式主防。其安全方面优于自动模式,普通用户建议直接调整到【智能模式】使用。


(3)启发/高级启发式扫描(Heuristics/Advanced Heuristics)
· 启发/高级启发式扫描是一种可分析程序行为活动的算法,可前摄性的分析程序代码,或构建虚拟环境中分析软件执行动作,其不依赖于病毒特征库,在特征库过期时依然可以有效发现威胁。
· 高级启发式扫描是ESET的看家本领,能有效提高检出率。



(4)高级内存扫描(AMS)
· 为以防普通模拟或启发式扫描无法检出某个威胁,高级内存扫描程序可以威胁出现在系统内存时识别可疑行为并扫描威胁。 其对迷惑性极强的恶意软件也非常有效。



(5)漏洞利用阻止程序
· 通过监视进程的行为来查找可能表明漏洞的可疑活动(强化经常被漏洞利用的应用程序,如浏览器、PDF、邮件客户端和 Office 组件等)
· Java 漏洞利用阻止程序是现有漏洞利用阻止程序技术的扩展



ESET模块清单截图







相关文档与下载
ESET 官网入门指南  https://help.eset.com/eis/16/zh- ... ings_antivirus.html
ESSP/EIS 官网下载  https://www.eset.com/us/home/free-trial/
ESET 官网反恶意软件工具下载  https://www.eset.com/us/download/tools-and-utilities/



卡饭摘取内容,欢迎拜阅大佬原帖:
https://bbs.kafan.cn/thread-1322605-1-1.html  [讨论] ESET 检测方法对应的报毒方式
https://bbs.kafan.cn/thread-2053173-1-1.html  [原创] ESET使用指南1——基本知识2.0(update1.3)




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
ddd243346081 + 2 直观

查看全部评分

小小龙
发表于 2023-2-7 18:04:36 | 显示全部楼层
ESET对付勒索病毒目前也不是很乐观
虫虫退散
发表于 2023-2-7 18:26:37 | 显示全部楼层
有点感兴趣铁壳开着中了勒索,不知道方不方便分享
ws.reputation那个万物杀加上勒索防护很好奇会是怎么感染的?
牛奶哈密瓜
 楼主| 发表于 2023-2-8 15:13:36 | 显示全部楼层
小小龙 发表于 2023-2-7 18:04
ESET对付勒索病毒目前也不是很乐观

配了个KART安慰一下自己。。。这样的话感觉真是性能党的末路
牛奶哈密瓜
 楼主| 发表于 2023-2-8 15:25:07 | 显示全部楼层
虫虫退散 发表于 2023-2-7 18:26
有点感兴趣铁壳开着中了勒索,不知道方不方便分享
ws.reputation那个万物杀加上勒索防护很好奇会是 ...



某天回公司打开显示器就发现中头奖了所有图标花白
SEP弹窗报毒了,但好像没清掉,当时也没留意细节。。直接call IT拖走了
版本是14.2_RU1,防护基本上全开,B杀自动档。。而且公司网还不错,病毒库基本保持在最新


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +6 收起 理由
jasperchau + 2
anthonyqian + 2
虫虫退散 + 2 感谢解答

查看全部评分

野小子SAS
头像被屏蔽
发表于 2023-2-8 17:19:25 | 显示全部楼层
牛奶哈密瓜 发表于 2023-2-8 15:25
某天回公司打开显示器就发现中头奖了所有图标花白
SEP弹窗报毒了,但好像没清掉,当时也没留 ...

正常上网使用,还是捣鼓各种资源导致的
牛奶哈密瓜
 楼主| 发表于 2023-2-8 17:30:13 | 显示全部楼层
野小子SAS 发表于 2023-2-8 17:19
正常上网使用,还是捣鼓各种资源导致的

除了工作倒没捣鼓其他。应该还是内网传播,因为办公室里不是第一次了
ddd243346081
发表于 2023-2-8 19:55:23 | 显示全部楼层
我配个毛豆
牛奶哈密瓜
 楼主| 发表于 2023-2-9 08:52:24 | 显示全部楼层

好用不我也捣鼓下
ddd243346081
发表于 2023-2-9 10:34:50 | 显示全部楼层

eset关行为防护(留自保项)跟防火墙,毛豆默认设置(我添加了柯大的简单设置法),它们互相排除文件跟进程;这配合用得很滑溜,比用毛豆+系统MD还占用还少,我系统ltsc,可以试试
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 22:53 , Processed in 0.137944 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表