【本经验仅限高级用户参考使用】ES苇质缵爨ET NOD32杀毒软件和Internet Security套件是世界著名安全软件,其特点在于:比起中毒后的查杀,更重视安全防御,具有极具特色的HIPS系统,它允许用户彻底控制自己电脑上的一切数据交换行为,从而根本性杜绝安全问题的发生。遗憾的是,多数人购买了该软件后未能利用该招牌功能,因而未能领略到这款安全软件的强劲。本文将抛砖引玉地引导高级用户认识该系统,介绍其基本的训练方法和调整操作。
工具/原料
ESET NOD32杀毒软件 或 ESET Internet Security安全套件
兼容的计算机(本文仅在Windows系统下测试撰写,Mac系统操作未知)
Part1 HIPS的概念
1、什献垴淄睬么是HIPS?HIPS(基于主机的入侵预防系统)是ESET独有的底层系统,直接控制CPU,在安装杀软并第一次重启以后生效。HIPS永远事无巨细地着抹较氰控制电脑上发生的任何磁盘访问、内存修改、进程拉起操作(下文将统称为“操作”)。当操作发生时,ESET立即对CPU发出挂起命令,并根据一系列可由用户指定的规则,审查操作行为是否安全:如果安全则允许操作进行;否则将终止操作的进行。因此,任何发生在我们电脑上的操作都必须经过HIPS系统的允许才能够执行,连Windows系统自身的操作也包括在内,更不用说流氓软件和病毒程序了。HIPS系统通过上述工作模式,给了用户对自己电脑的完全控制权,用户只需要给HIPS定义自己允许的访问规则,即可彻底切断各种流氓软件、病毒访问系统资源的命脉。
2、为什么HIPS没有得到有效利用?因为它“管得实在太细了”,任何计算机操作如果没有其许可都无法执行,故ESET默认将其设置在自动模式,该模式下某操作如果没有预先定义,将直接被允许。普通用户一般没有掌握定义HIPS规则的方法,因此该系统长期处于空转状态。
3、定义HIPS规则的难度在于?最大的难度在于,我们需要的HIPS规则数量庞大:日常运行的系统有数百种常见的系统操作,如果逐个定义,用户会不堪繁琐。另一个问题是,普通用户往往缺乏电脑安全知识,随便添加规则,有可能放行了一些有安全隐患的电脑操作,甚至直接放行病毒程序。因此HIPS只适用于对电脑安全知识有所了解的用户(起码要知道敏感的系统位置、何为注册表,有何用处)。
Part2 利用HIPS学习模式批量制定规则
1、要自动地制定大量HIPS规则,可以将HIPS设置在学习模式下。该模式下,HIPS将允许一切未定义规则的操作,并自动建立新规则来记住这次操作,此后对盐淬芪求该操作永久放行。进行本节之前请确定电脑处于非常健康的状态下。刚装好系统和所有日常软件后的状态,是运行HIPS学习模式的最佳时机。如果电脑安装了某讯、某60卫士等带有流氓行为的其他安全软件,或各路电脑优化大师等自主安装其他程序的工具性软件,请在开始学习模式之前将其彻底卸载。
2、右键点击ESET托盘→高级设置在高级设置窗口左侧选择“检测引擎→HIPS”
3、在“HIPS设置→过滤模式”中选取“学习模式”设置“学习模式结束时间”为一个适当的日期设置“学习模式到期之后设置的模式”为“询问用户”点击确定
4、确认设置以后,就进入了HIPS的学习模式,在该模式持续时间内(持续到上一步中设定的日期),请使用电脑完成日常工作学习娱乐的各种操作,比如处理文档、玩常玩的游戏等。也要在这段时间里完整开关机至少一次。请绝对不要在这段时间内进行低安全性的操作,例如浏览任何以前没去过的网站、下载外来的可执行文件、运行朋友发给的可执行文件、尝试破解软件、安装可能捆绑插件的软件等。只能进行平时常用的操作。请注意拒绝一些日常必要软件的流氓行为,如某狗输入法诱导安装浏览器、企鹅发讯软件借清理缓存的机会诱导安装某讯电脑管家的行为。
5、学习模式到期后会弹出询问窗口,如图如果还想继续学习模式,可以选择推迟决定如果认为已经在学习模式持续期间进行了大多数日常操作,可选择进入“交互模式”
6、学习模式结束后,可在“高级设置→检测引擎→HIPS→规则→编辑”中查看已经学习到的规则,多达数百个。这些规则描述的操作行为,日后都将允许。如您有空闲时间,可在列表中浏览一下这些规则的名称,有不想要保持允许的程序操作应予以删除。
Part3 在交互模式下对学习到的规则进行查漏补缺
1、进入交互模式后,发生未知操作时将弹窗提示应查看操作的发起程序和目标文件是否值得信任,或查看“信誉”是否为绿色对号对于安全的操作(如图中的Word想要访问Mathtype软件的支持文件,应属于安全操作),可选择“创建规则并永久记住”,予以永久放行可在“高级选项”中选择对该发起者所有操作都放行,该项建议不选,除非发起程序是十分可靠的
2、如果该模式下弹窗过多,不堪其扰,那么您应该再进入一段时间的学习模式,并进行各种安全的常见电脑操作;如果只是偶尔弹窗确认,那么您已经较好地完芤晟踔肿成了对HIPS系统的训练,今后可保持HIPS工作在交互模式下;如果您确信已经完成了HIPS的训练,希望拒绝一切未添加规则的操作(保证最大安全性),则可以在高级设置中将HIPS设置在“基于策略的模式”下,该模式将拒绝一切未定义的操作。
Part4 添加规则手动禁止操作
1、有时我们想要在某个操作还未发生时预防它,这时可以手动添加HIPS规则:打开“高级设置→检测引擎→HIPS→规则→编辑”,在弹出的窗口中按“添加”
2、在弹出的窗口中:为规则命名、选择“允许”、“阻止”或是“询问”(阻止)在“操作影响”中选择要阻止访问的对象,建议选择所有打开“已启用”如果希望在阻止时右下角弹窗,请打开“通知用户”(不推荐)点击下一步
3、在“源应用程序”中添加要阻止的流氓程序,例如某60卫士的“手机管家”模块相关的所有可执行文件:(安装目录)\mobilemgr\*.exe点击下一步
4、在“文件操作”中打开要阻止的文件操作,推荐直接打开“所有文件操作”点击下一步
5、如果需要仅阻止访问某些文件,可以在“文件”中添加入要阻止访问的文件没有需要的话直接点击下一步
6、同样,在“应用程序操作”、“注册表操作”中选择要禁止的操作,可直接打开“所有____操作”也可以类似上一步,指定仅阻止访问某些程序、注册表项;若没有这个需要保持“应用程序”、“注册表”列表为空即可多次点击下一步后,点击完成。
7、定义的规则现在放在了规则列表的队尾,可以编辑和删除。
