NOD32就不多介紹了,相信大家都知道,5.0版本更新了一個強大的功能HIPS,HIPS 高級設置有2個分別記錄所有阻止操作。當沒有阻止規則時,允許改變應用程序的注冊表部分。通過病毒測試後給我感覺效果最好的就是交互模式。本篇是作者本人使用HIPS的一點小心得,分享給大家。
今日重裝電腦,裝了個QQ(Q+),顧名思義就多了個QQPlus的捆綁程序。當啟動QQ後就會啟動QQPlus,通過ProcessMonitor認定就是啟動QQ後,連帶啟動QQPlus。
重裝系統後殺毒軟件也是重裝的。用了nod32 ESET5.0發現其HIPS功能。還可以自動規則。摸索了一把,發現很好用。可以用來禁止程序執行。當然HIPS的功能還有很多。此處只是用來屏蔽QQ啟動QPlus一用作拋磚引玉。
在nod32上選擇“設置”,“進入高級設置”,選擇“計算機”,“HIPS”,“配置規則”
由於是QQ啟動QPlus的。所以源程序選擇QQ,(如E:\ProgramFile\QQ\Bin\QQ.exe)目標應用程序選擇被啟動的QPlus(如E:\ProgramFile\QQ\Bin\QPlus.exe),動作可選禁止等。
當然nod32的HIPS還有很多功能,例如針對目標文件的讀寫等,(可避免某些應用程序讀取目錄如迅雷亂掃描文件目錄,可針對調用其他程序,讀寫注冊表等等應用場景其實很多)
當然windows的組策略用得好也能夠達到一下,這裡只是拋磚引玉,把一個晚上的一點小實驗共享一下經驗。
最後看看設置的效果。啟動QQ後,如常啟動QPlus。由於我設置了“詢問”所以會有以下提示框。選擇拒絕,則本次QPlus就不再運行了。