天涯衰草
作为PCD的忠实读者,PCD咱可从来都是一期不落。这不,前段时间我在2011年最后一期就看到了《ESET NOD32安全套装 5.0》(以下简称NOD32)的介绍。下载试用一段时间后,我对其提供的HIPS(主机入侵防御系统)等功能很有好感,因为我发现这货还可以自行定制规则。想要更好更强大的NOD32吗?那就跟我一起来定制自己的HIPS规则吧!
开启功能,定制规则Go Go Go
HIPS是NOD32 5.0引入的新功能,不过默认情况下,程序是不会启用自定义规则的,所以我们还需要先简单设置一下。
下载、安装并启动程序后,点击窗口左侧的“设置”,在右侧的“计算机”选项中找到“HIPS”这一子项。接着,点击该选项所对应的“已启用”链接(如图1),打开“高级设置”窗口。最后,在“过滤模式”列表中选择“带规则的自动模式”就可以了。
重要文件,贴心保护
如此设置完成后,咱们就可以根据自己的实际需要,开始定制规则啦!比如,很多人都习惯将各种网络账户保存到磁盘中的某个文件里。为了避免这类重要文件被误删除或被病毒木马破坏,就可以编写一个针对这些重要文件的保护规则。
我们先点击NOD32窗口下方的“配置规则”按钮,打开规则编辑窗口(如图2)。在“HIPS规则管理”窗口中点击“新建”按钮,并在“编辑规则”窗口的“名称”输入框里,设置一个规则名称。接着,在“操作”列表中选择“阻止”,再将其他“其他设置”设定为“启动规则”。
这时,我们再切换到“源应用程序”标签下,依次点击“添加”→“选择文件”,找到资源管理器程序explorer. exe(如图3)。接下来,切换到窗口中的“目标文件”标签,选择其中的“删除文件”和“写入到文件”两项。
最后,点击“目标文件”中的“添加”,在“添加文件或目录的路径”窗口中再点击“添加”,并找到待保护的文件夹(如图4)。设置完成后,点击“确定”就能完成设定。以后通过资源管理器对这些文件进行操作时,就会自动被我的NOD32拦住了。
盗我QQ,你丫休想!
说到盗号,相信很多人都会神经紧张—谁叫最近盗号猖獗呢?如果说网站泄密让人十分无奈,那么保障自己电脑的绝对安全就责无旁贷了。
根据我的经验,账号被盗通常有两种原因:一是病毒文件偷梁换柱,替换了正规的客户端程序;二是使用常见的线程插入方式盗取账号。第一种情况,咱们可以用刚刚讲过的方法轻松搞定。这第二种情况嘛,咱还得再编写一条规则解决。
以保护QQ为例,打开“编辑规则”窗口,并录入名称后,我们在“操作”列表中选择“允许”。然后切换到“源应用程序”标签,点击“添加”按钮将“源应用程序”设置为D:Program FilesTencent QQ2011*.*(即自己的QQ安装目录,如图5)。
接下来,切换到“目标文件”标签,勾选“用于所有操作”。再点击“目标文件”中的“添加”按钮,将QQ.exe添加到NOD32中(如图6)。这表示只有QQ文件夹中的文件,才可以对QQ.exe文件进行操作,其他文件就只有望洋兴叹啦!想盗我QQ,没门!
懒人们,捡现成的规则用吧!
如果你觉得定制规则比较麻烦(懒就直说),可以从卡饭论坛的NOD32专区中(地址:http://tinyurl.com/7b8eby4)下载各位大牛提供的规则,然后导入到NOD32。首先,我们将“HIPS”设置窗口中“启用自我保护”选项关闭,重启电脑。
如果你使用的是Win7,打开“计算机”后在顶部的地址栏中输入%ProgramData%ESETESET Smart Security并回车。如果你使用的是WinXP,那么就打开桌面上“我的电脑”,在地址栏中输入%ALLUSERSPROFILE%Application DataESETESET Smart Security并回车。
通过以上方法,我们可以进入到NOD32的配置目录。此时,我们用下载得到的规则包中的HipsRules.xml文件,替换掉NOD32配置目录中的同名文件(如图7)。如此一来,NOD32的HIPS功能就会用该规则来保护系统了。
友情提醒:各位亲在完成上述设置后,可别忘了将NOD32的自动保护功能重新开启哦!
提交可疑的程序文件
除了增加了HIPS功能以外,新版NOD32还可以在线提交可疑文件。遇到特别“凶残”的可疑文件时,可以请NOD32的安全专家帮忙鉴别。
先点击程序主窗口左侧的“工具”,然后再点击右侧窗口中的“提交文件以供分析”。接着,在弹出的窗口中选择“提交文件的理由”,将其设为“可疑文件”。随后,点击“文件”选项对应的浏览按钮,找到待鉴别的文件(如图8)。
在“联系电子邮件”输入框中,提供一个常用的邮箱,用于接收反馈结果。点击“下一步”,写明可疑文件存在的症状,比如窃取账号、感染系统文件等。最后,安心等待NOD32的官方反馈就可以了!
要是你讨厌等待,还可以通过NOD32的“云安全”技术进行在线鉴定。在“工具”窗口点击“运行进程”,可以看到当前系统中所有的进程。NOD32会将进程信息发送到远程服务器进行验证,稍等片刻,各进程的安全等级便一目了然了。