介绍一下KIS8.0.0.454新增的HIPS.Skip.Start的用法（给需要的朋友）(页 1) - 卡巴斯基专区 - 卡巴交流/讨论区 - 卡饭论坛 _杀毒软件_防火墙_HIPS_反病毒_计算机安全

wangjay1980 发表于 2008-9-4 21:48

介绍一下KIS8.0.0.454新增的HIPS.Skip.Start的用法（给需要的朋友）

[size=4][color=seagreen][quote][/color][/size]
[size=4][color=seagreen][/color][/size]
[size=4][color=seagreen]卡巴8的CF1也就是454正式版，提供了一个新的排除功能，可以使某些符合条件的程序跳过HIPS的启发式分组检测，那么我来说一下这个功能的具体用法，主要是让某些需要此功能的朋友知道一下。[/color][/size]
[size=4][color=seagreen][/color][/size]
[size=4][color=seagreen]我这里以最新版的系统分析助手SRE2.6为例，最新版的SRE首次运行时会生成一个随机exe文件，卡巴8会对SRE的主程序和随机生成的exe都进行分组，如果我们设置这个排除规则后，随机生成的EXE文件将不会被HIPS进行分组分析。[/color][/size]
[size=4][color=seagreen][/color][/size]
[size=4][color=seagreen]我系统内SRE2.6的路径和情况[/color][/size]
[size=4][color=seagreen]A.SRE主程序路径:：[b]D:\软件\sreng2.6\SREngLdr.EXE[/b][/color][/size]
[size=4][color=seagreen]B.需要排除的由SRE启动的EXE程序路径：[color=seagreen][b]D:\软件\sreng2.6\[/b][/color][/color][/size]
[size=4][color=red][b]注意：两者之间必须是父子进程的关系，也就是说被排除的程序必须是由主程序启动的，否则规则无效。[/b][/color][/size]
[size=4][color=seagreen][/color][/size]
[size=4][color=seagreen]具体设置请看图示[/color][/size]

[size=4][color=seagreen]1.在 [b]设置[/b] 里打开 [b]排除例外[/b]，在 [b]排除[/b] 里选 [b]添加[/b][/color][/size]
[attach]350966[/attach]
[size=4][color=seagreen]2.添加被排除的文件，由于首次运行SRE会随机生成程序文件名，所以这里用 [b]*.exe[/b]表示。如果是有[b]固定名字[/b]，则要填写程序的[b]固定名称[/b]。[/color][/size]
[attach]350965[/attach]

[size=4][color=seagreen]3.设置威胁类型，注意"[b]HIPS.Skip.Start[/b]"必须这样写。高级设置里，添加被排除程序的[b]父进程[/b]。[/color][/size]
[attach]350964[/attach]

[size=4][color=seagreen]4.最后设置完成的图。[/color][/size]
[size=4][color=seagreen][/color][/size]
[size=4][color=seagreen]我们可以直观的解释此规则为：[b]不对由D:\软件\sreng2.6\SREngLdr.EXE启动的D:\软件\sreng2.6\*.exe进行HIPS分组分析[/b][/color][/size]
[attach]350967[/attach]

[attach]350968[/attach]

[size=4][color=seagreen]如果如此设置针对SRE的排除规则后，那个由SRE启动的EXE将不会被分在任何分组，好像没有被启动一样。[/color][/size]
[size=4][color=#2e8b57][/color][/size]
[size=4][color=#2e8b57]这里只是以SRE为例，大家可以[b]自由发挥，灵活运用此排除规则[/b]。[/color][/size]
[size=4][color=#2e8b57][/color][/size]
[size=4][color=#2e8b57][/quote][/color][/size]

尤金卡巴斯基 发表于 2008-9-4 21:57

感谢提供分享

swp2000 发表于 2008-9-4 22:01

顶一下帖子

yahoo121 发表于 2008-9-4 22:26

这个功能很不错的哟，呵呵！

yuehong 发表于 2008-9-4 22:26

学习一下。谢谢[:03:]

loveyuwei 发表于 2008-9-4 22:28

不错的，不愧是全功能安全软件。

3.6升水平 发表于 2008-9-5 05:58

谢谢你的分享，正在学习使用这个功能呢

laolaoliu 发表于 2008-9-5 07:35

谢谢, 学习了

sxingbai 发表于 2008-9-5 09:12

多谢，这个排除好难用呀
能详细讲讲吗

情思涯天 发表于 2008-9-5 10:05

*** 作者被禁止或删除内容自动屏蔽 ***

sharkkong 发表于 2008-9-5 10:09

呵呵，确实是好办法

change_018 发表于 2008-9-5 10:47

[quote]不对由D:\软件\sreng2.6\SREngLdr.EXE启动的D:\软件\sreng2.6\*.exe进行HIPS分组分析[/quote]
原来是这样言外之意就是省去每次启动Sreng都要进行那个随机exe程序的分组
确实是个好方法如果这个方法可以灵活运用可以省去不少麻烦

yonggang 发表于 2008-9-5 12:45

学习下，谢谢！[:10:]

yvzhou3308 发表于 2008-9-5 13:02

却是不错学习了谢谢

一刀大师 发表于 2008-9-5 13:07

路过学习，感谢分享。

kafan988 发表于 2008-9-5 15:53

学习了，太好了[:01:] [:01:] [:01:]

sloganall 发表于 2008-9-5 22:27

学了一招，谢谢。

浪滔天 发表于 2008-9-5 23:56

也可以不用在“威胁类型”中添加“[b][size=4][color=#2e8b57]HIPS.Skip.Start[/color][/size][/b]”

在选择好“排除对象”后如图所示指定保护组件，勾选“应用程序过滤”即可，这样更直观方便，可以达到同样的效果。

[[i] 本帖最后由浪滔天于 2008-9-6 00:00 编辑 [/i]]

sxingbai 发表于 2008-9-6 10:00

回复 18楼浪滔天的帖子

看来现在的排除没有问题了
原来经常不生效
不过楼主的做法有高级选项
可以设置父进程

浪滔天 发表于 2008-9-6 11:55

回复 19楼 sxingbai 的帖子

是的，其实卡巴在这里完全可以添加一个父进程选项，而不必用参数什么的来设置，那样会更方便普通用户，期待下一个版本能更趋于完善。

页: [1] 2

卡饭论坛's Archiver