利用nod32 HIPS禁止程序啟動的方法介紹(圖文)
FreebuF 發(fā)布時間:2012-06-29 16:36:06 作者:FreebuF
我要評論

信大家都知道,5.0版本更新了一個強大的功能HIPS,HIPS 高級設置有2個分別記錄所有阻止操作
NOD32就不多介紹了,相信大家都知道,5.0版本更新了一個強大的功能HIPS,HIPS 高級設置有2個分別記錄所有阻止操作。當沒有阻止規(guī)則時,允許改變應用程序的注冊表部分。通過病毒測試后給我感覺效果最好的就是交互模式。本篇是作者本人使用HIPS的一點小心得,分享給大家。
今日重裝電腦,裝了個QQ(Q+),顧名思義就多了個QQPlus的捆綁程序。當啟動QQ后就會啟動QQPlus,通過ProcessMonitor認定就是啟動QQ后,連帶啟動QQPlus。

重裝系統(tǒng)后殺毒軟件也是重裝的。用了nod32 ESET5.0發(fā)現其HIPS功能。還可以自動規(guī)則。摸索了一把,發(fā)現很好用。可以用來禁止程序執(zhí)行。當然HIPS的功能還有很多。此處只是用來屏蔽QQ啟動QPlus一用作拋磚引玉。
在nod32上選擇“設置”,“進入高級設置”,選擇“計算機”,“HIPS”,“配置規(guī)則”

由于是QQ啟動QPlus的。所以源程序選擇QQ,(如E:\ProgramFile\QQ\Bin\QQ.exe)目標應用程序選擇被啟動的QPlus(如E:\ProgramFile\QQ\Bin\QPlus.exe),動作可選禁止等。

當然nod32的HIPS還有很多功能,例如針對目標文件的讀寫等,(可避免某些應用程序讀取目錄如迅雷亂掃描文件目錄,可針對調用其他程序,讀寫注冊表等等應用場景其實很多)
當然windows的組策略用得好也能夠達到一下,這里只是拋磚引玉,把一個晚上的一點小實驗共享一下經驗。
最后看看設置的效果。啟動QQ后,如常啟動QPlus。由于我設置了“詢問”所以會有以下提示框。選擇拒絕,則本次QPlus就不再運行了。

今日重裝電腦,裝了個QQ(Q+),顧名思義就多了個QQPlus的捆綁程序。當啟動QQ后就會啟動QQPlus,通過ProcessMonitor認定就是啟動QQ后,連帶啟動QQPlus。

重裝系統(tǒng)后殺毒軟件也是重裝的。用了nod32 ESET5.0發(fā)現其HIPS功能。還可以自動規(guī)則。摸索了一把,發(fā)現很好用。可以用來禁止程序執(zhí)行。當然HIPS的功能還有很多。此處只是用來屏蔽QQ啟動QPlus一用作拋磚引玉。
在nod32上選擇“設置”,“進入高級設置”,選擇“計算機”,“HIPS”,“配置規(guī)則”

由于是QQ啟動QPlus的。所以源程序選擇QQ,(如E:\ProgramFile\QQ\Bin\QQ.exe)目標應用程序選擇被啟動的QPlus(如E:\ProgramFile\QQ\Bin\QPlus.exe),動作可選禁止等。

當然nod32的HIPS還有很多功能,例如針對目標文件的讀寫等,(可避免某些應用程序讀取目錄如迅雷亂掃描文件目錄,可針對調用其他程序,讀寫注冊表等等應用場景其實很多)
當然windows的組策略用得好也能夠達到一下,這里只是拋磚引玉,把一個晚上的一點小實驗共享一下經驗。
最后看看設置的效果。啟動QQ后,如常啟動QPlus。由于我設置了“詢問”所以會有以下提示框。選擇拒絕,則本次QPlus就不再運行了。

相關文章
- 殺毒軟件多了去了.這么多到底哪個好啊.下面給大家介紹一下.2012-05-15
mcafee 密碼解鎖圖文方法[mcafee密碼設置,登錄,修改,忘記密碼]
今天電信機房設置問題,導致網站無法訪問了,因為服務器安裝了mcafee導致很多操作在服務器上無法運行,所以我們簡單弄了一個實現步驟,主要是方便對mcafee不太熟悉的朋友。2011-12-18McAfee的服務器常用殺毒軟件下載及安裝升級設置圖文教程 McAfee殺毒軟
Mcafee(麥咖啡)與Norton(諾頓)、Kaspersky(卡巴斯基)并稱為世界三大殺毒軟件,是一款非常優(yōu)秀的殺軟。其監(jiān)控能力和保護規(guī)則相當強大,是同類軟件中最好的,是我非常推2011-12-18McAfee VirusScan控制臺的用戶解鎖密碼忘記的解決方法
McAfee VirusScan控制臺的用戶解鎖密碼忘記了可以采取以下辦法解決2020-10-27- 本文將介紹calc.exe病毒的防御與刪除方法,有需求的朋友可以參考2012-11-12
- 使用殺毒的方法都是用一般的操作,比如殺毒軟件、打開進程管理器關閉不熟悉的進程等。今天小編就為網友們了解一種神奇的殺毒方法,那就是記事本殺毒,感興趣的朋友不要錯過2013-12-13
McAfee Common Framework 提示 80040154 @ 1 錯誤的解決方法
啟動自動更新時,提示80040154 @ 1錯誤,顯示:Failed to initialize Common Updater Subsystem2011-03-22- 本文為大家詳細介紹下McAfee和Agent的詳細卸載步驟以及CMA 這么重要性介紹,感興趣的朋友可以參考下哈,希望對大家有所幫助2013-07-03
- 喜歡鉆研木馬的用戶會發(fā)現木馬傳播通常將木馬程序和合法程序捆綁在一起,欺騙被攻擊者。而現在有許多的軟件都已克制木馬的傳播了,一起來看看吧2016-09-21