ESET的HIPS规则编写说明（关于通配符）

hx1997

ESET里HIPS的规则好麻烦...通配符又很不完善...

想想帮助里面应该有关于规则编写的说明吧，就去找找，真找到了一点...
啰嗦一下 装了麦大的汉化版，HIPS的弹窗怎么还是英文的......
希望能给编写规则的卡饭们一点帮助..

If a part of the Source or the Target is left blank, it automatically means "for all" (the rule is set for all source applications,for all operations...). Note: You can use wildcards with certain restrictions when entering a target. Instead of one particular key, you can use an * (asterisk) arbitrary key in the registry path. For example HKEY_USERS\*\software can mean HKEY_USER\.default\software but not HKEY_USERS\S–1–2–21–2928335913–73762274–491795397–7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* is not a valid registry key path. A registry key path that has \*  means "this path, or any path on any level after that symbol". This is the only way of using wildcards for file targets. First, the exact path is evaluated, and then the path after the wildcard symbol (*).

如果源程序或目标程序其中一个是留空的，就代表“所有”（这条规则将作用于所有程序，所有操作...）
注意：输入目标时，你可以使用通配符，但注意一些限制。你可以使用*来匹配精确注册表路径。例如，HKEY_USERS\*\software可以代表HKEY_USER\.default\software但却不能代表HKEY_USERS\S–1–2–21–2928335913–73762274–491795397–7895\.default\software。
HKEY_LOCAL_MACHINE\system\ControlSet*不是一个有效的注册表路径，带有\*的注册表路径可以代表“这个路径，或者此路径的下级路径”。这是在输入文件目标时使用通配符的唯一原则。首先，精确路径先被计算，然后才是通配符*后的路径。

无垠穹宇

哦，原来如此，谢谢楼主

bayern

看到了注册表的通配符，说明对注册表的权限加以保护了
重要的系统文件和驱动层是不是没有呢

hx1997

回复 3楼 bayern 的帖子

什么意思...?没看懂
系统文件嘛，ESET现在的HIPS还没有FD...所谓的文件防护只是加驱、全局钩子之类的，应该算AD
写注册表加驱可防，加驱也有防
总之就是动态静态加驱都防
不过好像还不防注册表转储

bayern

回复 4楼 hx1997 的帖子

我说的文件防护自然是防篡改系统文件一类
其实更关心的是自动模式下，不知道基于什么判断行为的

hx1997

回复 5楼 bayern 的帖子

设置里写得很清楚了，自动模式是“规则，允许”
也就是不在规则里的都允许
ESET没自带规则所以自动就是个摆设

bayern

回复 6楼 hx1997 的帖子

测试版本来讲是不是要等正式版呢
还是说以后就是摆设，会不会结合云信誉进行判断呢

hx1997

回复 7楼 bayern 的帖子

正式版应该会加强的
说不定会有自带规则~
云信誉主防嘛，我觉得5.0正式版也不太可能有吧
有了就太好了

bayern

回复 8楼 hx1997 的帖子

其实我开始认为5.0的HIPS参照的时毛豆的云
这样相对提高了安全性和易用性，当然对于手动规则来讲安全性更高
只不过自动相对弹窗少安全性有所加强

hx1997

回复 9楼 bayern 的帖子

可惜ESET HIPS架构貌似还没完善好，规则也不完善，所以那些云信誉HIPS神马的可能要晚一点了
其实很期待云信誉HIPS...社区建议很有爱