Настройка HIPS

RSS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 20.09.2011 16:54:27

Подскажите каким образом настроить правила в HIPS'e чтобы защищалась целая ветка реестра, а не конкретный параметр.
На форуме уже спрашивал, Валентин сказал что это возможно, но подробностей не было. В справке подобную информацию не обнаружил.

Прикрепленные файлы

Screen_116.png (71.94 КБ)

Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 5 6 7 8 9 След.

Сообщений: 6

Баллов: 3

Регистрация: 26.12.2012

Размещено 26.12.2012 12:50:05

да я сам надеялся что там разные параметры, но нет, все три как на указанном скрине

Сообщений: 6

Баллов: 3

Регистрация: 26.12.2012

Размещено 26.12.2012 15:09:21

вообщем похоже починил следующим образом:
отредактировал файлик HipsRules.xml который лежит здесь C:\ProgramData\ESET\ESET NOD32 Antivirus
в нём и были три этих дублированных правила, убрал два, перезапустил HIPS и автоматом создалось одно правило, наконец-то...

Всё бы хорошо, но вот только осталось смутное чувство

что файлик HipsRules.bin, который лежит в этой же папке, может по прежнему содержать в себе эту ошибку с дублированием правил, так как его размер остался 51,5 кб и примерно такого же размера до правки был и HipsRules.xml, сейчас его размер - 16,9 кб

Сообщений: 6

Баллов: 3

Регистрация: 26.12.2012

Размещено 29.12.2012 12:22:15

вообщем HIPS работает не совсем корректно, убедился в этом уже на двух компьютерах, у знакомого установлена версия нода 5.2 так вот при просмотре файла HipsRules.xml увидели что вышеупомянутые правила у него дублируются аж семь раз, почистили сейчас в этом плане всё нормально... но вот при выключении компа в журнал ошибок что у меня на 6-ой версии, что у него на 5-ой пишутся два одинаковых предупреждения:

Код
Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно. ПОДРОБНО - 1 user registry handles leaked from \Registry\User\S-1-5-21-2822955051-2090423913-205404063-1000_Classes: Process 1892 (\Device\HarddiskVolume2\Program Files\ESET\ESET NOD32 Antivirus\egui.exe) has opened key \REGISTRY\USER\S-1-5-21-2822955051-2090423913-205404063-1000_CLASSES

Код

Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-2822955051-2090423913-205404063-1000_Classes:
Process 1892 (\Device\HarddiskVolume2\Program Files\ESET\ESET NOD32 Antivirus\egui.exe) has opened key \REGISTRY\USER\S-1-5-21-2822955051-2090423913-205404063-1000_CLASSES

это в коротком варианте, а так оно содержит где-то строк 20... обратился даже в техподдержку майкрософта, но ответ такой, что это проблемы разработчиков стороннего софта, в данном случае ESET-овцев

Сообщений: 6

Баллов: 3

Регистрация: 26.12.2012

Размещено 29.12.2012 18:40:15

возможно проблема решена, добавил ноду в исключения egui.exe пока ошибки в системном журнале больше не появляются

Сообщений: 3

Баллов: 1

Регистрация: 08.04.2013

Размещено 08.04.2013 18:29:45

Подскажите как запретить запись в %userprofile% файлов *.exe (сделать защиту от блокираторов-вымогателей).
Указываю конечные файлы так: %userprofile%\*.exe - записываю файл 22.exe без запросов
и так: %userprofile%\22.exe - записываю файл 22.exe без запросов
А так: C:\Users\admin8\22.exe - появляется запрос на запись (и удаление).

eset 6.0.308.2, windows 8 64бит

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.04.2013 19:49:00

антивирус не понимает переменную %userprofile%
поэтому приходится полный путь писать, например так - C:\Users\admin8\*

Правильно заданный вопрос - это уже половина ответа

Сообщений: 3

Баллов: 1

Регистрация: 08.04.2013

Размещено 08.04.2013 20:55:16

Цитата
Арвид пишет: антивирус не понимает переменную %userprofile% поэтому приходится полный путь писать, например так - C:\Users\admin8\*

1) А какие переменные понимает?
2) C:\Users\admin8\* - это надо понимать ВСЕ файлы (и папки с подпапками ?) в папке C:\Users\admin8 ? И в том числе NTUSER.DAT - боюсь попробовать что будет в этом случае

3) А как сказать все exe-шники? C:\Users\admin8\*.exe - у меня разрешает записывать без вопросов.
Конечная цель - сделать xml правило для импорта настроек на другом компьютере с другим именем пользователя.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 08.04.2013 21:11:28

1. я только %windir% пробовал
2. а вы не блокируйте полный доступ, а поставьте запрос, чтоб контролировать кто и что туда пишет. для системных процессов в процессе работы разрешающие правила создадите чтоб каждый раз не запрашивали доступ
3. не понимает только маску почему-то
4. давно сделал такой xml

- http://rghost.ru/users/Angel-iz-Ada/releases/HIPS-for-ESET5

Правильно заданный вопрос - это уже половина ответа

Сообщений: 3

Баллов: 1

Регистрация: 08.04.2013

Размещено 08.04.2013 22:26:09

2) На моем компьютере почему-то вирусы не попадаются (кейгены не считаем), по интернету хожу куда хочу. Сосед (в компьютерах почти ноль) через неделю ловит в интернете блокиратора (exe в папку пользователя). У него Win XP SP3 с последними обновлениями, Opera, ESET. Лечил с помощью AntiSMS.
4) Пользуюсь таким xml с месяц. Спасибо. Нравится.
Возвращаясь к сообщению пост#75 - как создать правило (для импорта соседу) чтобы запретить/спросить запись exe в профиль ?пользователя ? Или где в интернете url чтобы 100% поймать блокиратора - я на себе попробую ловить и лечиться.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 09.04.2013 00:00:50

Цитата
Сергей Иванович пишет: Я на себе попробую...

Патриотично !

Поставе человеку - Sandboxie - объясните как пользоваться.

Пред. 1 ... 5 6 7 8 9 След.