Настройка HIPS

RSS
Подскажите каким образом настроить правила в HIPS'e чтобы защищалась целая ветка реестра, а не конкретный параметр.
На форуме уже спрашивал, Валентин сказал что это возможно, но подробностей не было. В справке подобную информацию не обнаружил.
Screen_116.png (71.94 КБ)
Правильно заданный вопрос - это уже половина ответа

Ответы

да я сам надеялся что там разные параметры, но нет, все три как на указанном скрине
вообщем похоже починил следующим образом:
отредактировал файлик HipsRules.xml который лежит здесь C:\ProgramData\ESET\ESET NOD32 Antivirus
в нём и были три этих дублированных правила, убрал два, перезапустил HIPS и автоматом создалось одно правило, наконец-то...

Всё бы хорошо, но вот только осталось смутное чувство :) что файлик HipsRules.bin, который лежит в этой же папке, может по прежнему содержать в себе эту ошибку с дублированием правил, так как его размер остался 51,5 кб и примерно такого же размера до правки был и HipsRules.xml, сейчас его размер - 16,9 кб
вообщем HIPS работает не совсем корректно, убедился в этом уже на двух компьютерах, у знакомого установлена версия нода 5.2 так вот при просмотре файла HipsRules.xml увидели что вышеупомянутые правила у него дублируются аж семь раз, почистили сейчас в этом плане всё нормально... но вот при выключении компа в журнал ошибок что у меня на 6-ой версии, что у него на 5-ой пишутся два одинаковых предупреждения:
Код
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2822955051-2090423913-205404063-1000_Classes:
Process 1892 (\Device\HarddiskVolume2\Program Files\ESET\ESET NOD32 Antivirus\egui.exe) has opened key \REGISTRY\USER\S-1-5-21-2822955051-2090423913-205404063-1000_CLASSES

это в коротком варианте, а так оно содержит где-то строк 20... обратился даже в техподдержку майкрософта, но ответ такой, что это проблемы разработчиков стороннего софта, в данном случае ESET-овцев
возможно проблема решена, добавил ноду в исключения egui.exe пока ошибки в системном журнале больше не появляются
Подскажите как запретить запись в %userprofile% файлов *.exe (сделать защиту от блокираторов-вымогателей).
Указываю конечные файлы так: %userprofile%\*.exe - записываю файл 22.exe без запросов
и так: %userprofile%\22.exe - записываю файл 22.exe без запросов
А так: C:\Users\admin8\22.exe - появляется запрос на запись (и удаление).

eset 6.0.308.2, windows 8 64бит
антивирус не понимает переменную %userprofile%
поэтому приходится полный путь писать, например так - C:\Users\admin8\*
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
антивирус не понимает переменную %userprofile%
поэтому приходится полный путь писать, например так - C:\Users\admin8\*
1) А какие переменные понимает?
2) C:\Users\admin8\* - это надо понимать ВСЕ файлы (и папки с подпапками ?) в папке C:\Users\admin8 ? И в том числе NTUSER.DAT - боюсь попробовать что будет в этом случае  :o  
3) А как сказать все exe-шники? C:\Users\admin8\*.exe - у меня разрешает записывать без вопросов.
Конечная цель - сделать xml правило для импорта настроек на другом компьютере с другим именем пользователя.
1. я только %windir% пробовал
2. а вы не блокируйте полный доступ, а поставьте запрос, чтоб контролировать кто и что туда пишет. для системных процессов в процессе работы разрешающие правила создадите чтоб каждый раз не запрашивали доступ
3. не понимает только маску почему-то
4. давно сделал такой xml :) - http://rghost.ru/users/Angel-iz-Ada/releases/HIPS-for-ESET5
Правильно заданный вопрос - это уже половина ответа
2) На моем компьютере почему-то вирусы не попадаются (кейгены не считаем), по интернету хожу куда хочу. Сосед (в компьютерах почти ноль) через неделю ловит в интернете блокиратора (exe в папку пользователя). У него Win XP SP3 с последними обновлениями, Opera, ESET. Лечил с помощью AntiSMS.
4) Пользуюсь таким xml с месяц. Спасибо. Нравится.
Возвращаясь к сообщению пост#75 - как создать правило (для импорта соседу) чтобы запретить/спросить запись exe в профиль ?пользователя ? Или где в интернете url чтобы 100% поймать блокиратора - я на себе попробую ловить и лечиться.
Цитата
Сергей Иванович пишет:
Я на себе попробую...
Патриотично ! :)
Поставе человеку - Sandboxie - объясните как пользоваться.
Читают тему (гостей: 2)