卡饭论坛 » HIPS专区 » EQSysSecure » EQ初级教程

拍黄瓜 发表于 2007-3-16 21:40

EQ初级教程

首先下载EQSecure for System
（下载地址：[url]http://www.eqspywatch.com/download/EQSysSecureSetup.exe[/url]）
安装完毕后，打开主界面。
[img]http://i165.photobucket.com/albums/u57/wuwenjing/01.jpg[/img]
接着，我们先来熟悉一下他的具体功效。
假设某一病毒是利用在系统根目录下建立病毒副本来达到目的的。我们可以这样设置。
[img]http://i165.photobucket.com/albums/u57/wuwenjing/02.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/03.jpg[/img]
然后我们来设置一条规则，拦截所有在系统根目录下创建文件，删除文件，修改文件，打开文件的设置。
第一步
[img]http://i165.photobucket.com/albums/u57/wuwenjing/04.jpg[/img]
第二步
[img]http://i165.photobucket.com/albums/u57/wuwenjing/05.jpg[/img]
第三步
[img]http://i165.photobucket.com/albums/u57/wuwenjing/06.jpg[/img]

这里我列出一下EQ的常用环境变量
%SystemDrive% ＝ 系统盘
%WinDir% ＝ *\WINDOWS
%ProgramFiles% ＝ *\Program Files
%UserProFile% ＝ *\Documents and Settings\当前用户名
%AllUsersProFile% ＝ *\Documents and Settings\All Users
%Temp% ＝ *\Documents and Settings\*\Local Settings\Temp
%AppData% ＝ *\Documents and Settings\*\Application Data
%CommonProgramFiles% ＝ *\Program Files\Common Files
%ComSpec% ＝ *\WINDOWS\system32\cmd.exe
%UserName% ＝ 当前用户名
然后，我在列举一个例子~
文件路：*\*ESET*\*
拦截操作：阻止创建、删除，组织并询问修改（因为更新病毒库需要修改文件）
包含子目录：是
忽略目录：否
保护模式：普通
说明：貌似NOD32的保护不是很强大，可以利用此功能加强NOD32的自我防护。

现在你体验到了EQ的FD功能了，接下来我们来看看EQ的RD功能。

[img]http://i165.photobucket.com/albums/u57/wuwenjing/07.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/08.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/09.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/010.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/011.jpg[/img]
下面我在举例一个
1）注册表路：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表：Hidden
修改注册表内容：阻止
删除注册表：阻止
包含子键：否
忽略注册表数值：否
保护模式：普通
说明：有些病毒会加“隐藏”属性，并且不允许用户“显示所有文件和文件夹”，从而阻止用户删除病毒，因此设置该规则保护“隐藏文件和文件夹”。
好了，接着我来介绍一下EQ的AD功能
[img]http://i165.photobucket.com/albums/u57/wuwenjing/012.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/013.jpg[/img]
[img]http://i165.photobucket.com/albums/u57/wuwenjing/014.jpg[/img]

在举几个例子
应用程序路：*\*temp*\*
拦截操作：询问并阻止
包含子目录：是
忽略目录：否
保护模式：普通
说明：临时文件夹包括系统的临时文件夹和IE的临时文件夹等等，在日常使用中是不会有任何程序会从这个文件夹中启动的，所以可以阻止这些文件夹中的程序做任何操作，但是当安装软件时，安装程序会在临时文件夹中创建一些程序然后运行。
应用程序路：*\*Recycle*\*、*\System Volume Information\*
拦截操作：阻止所有操作
包含子目录：是
忽略目录：否
保护模式：普通、安装
说明：“应用程序路”中前者是回收站，后者是系统还原，有的病毒会在类似于这些比较不引人注意的文件夹中创建程序来运行，不得不防。

现在，我想大家已经基本掌握了EQ的使用方法了吧~~


嘿嘿~~
欢迎大家BS和拍砖！！

Oceanzd 发表于 2007-3-16 21:45

写的不错，就是"*"是使用来保护根目录的，要保护整个盘的话需要加入**和在“包含子目录”上打勾……

cxcx3 发表于 2007-3-16 21:45

呵呵偶暂时不用     黄瓜辛苦

拍黄瓜 发表于 2007-3-16 21:52

[:15:] 竟然没有人拍砖
哈哈~~
还好[:14:]

sxingbai 发表于 2007-3-16 22:24

写得很好，支持一下

cxcx3 发表于 2007-3-17 00:49

[quote]原帖由 [i]拍黄瓜[/i] 于 2007-3-16 21:52 发表
  竟然没有人拍砖
哈哈~~
还好 [/quote]


哈哈  原来黄瓜喜欢被人拍砖啊


嘻嘻,[:07:] 我想想  被转头狠拍后的黄瓜是什么样滴


腌黄瓜么[:11:]

TZillustrier 发表于 2007-3-17 01:07

拍砖........它的底层注入的不够ssm的深入吧~

拍黄瓜 发表于 2007-3-17 09:02

有空试试[:14:]
希望不要给国产丢脸

13148 发表于 2007-3-17 11:39

支持！[:05:]

xiaoz 发表于 2007-3-19 21:27

收藏，改天SSM用烦了，换EQ时再翻出来学习。

roylong 发表于 2007-3-19 21:53

写的不错，顶一下。

ktango 发表于 2007-3-19 22:31

真不錯多謝樓主分享。

mubushiding 发表于 2007-3-20 13:13

好文啊，正在找教程。[:14:] [:14:]

lhx1984 发表于 2007-3-20 19:01

各位对HIPS规则不是很了解的人啊
最好不要轻易的改规则啊～～
否则，你们可能会深受其害啊～～

拍黄瓜 发表于 2007-3-20 19:14

但是规则改好了就
深受其益啊~~~

亮 发表于 2007-5-5 17:28

写的不错

庄周 发表于 2007-5-5 18:03

[:03:] 写的不错。

dandan 发表于 2007-5-5 19:16

[:24:] 写的不错。支持下

caocanxxp 发表于 2007-5-9 19:42

感谢楼主分享，详细介绍了eq，对我们初学者很有帮助

qihui 发表于 2007-5-10 16:17

谢谢楼主发的教程，对我等菜鸟太有帮助了

查看完整版本: EQ初级教程