如何利用ESET NOD32的HIPS获得高级安全保护

1、要自动地制定大量HIPS规则，可以将HIPS设置在学习模式下。该模式下，HIPS将允许一切未定义规则的操作，并自动建立新规则来记住这次操作，此后对该操作永久放行。

进行本节之前请确定电脑处于非常健康的状态下。刚装好系统和所有日常软件后的状态，是运行HIPS学习模式的最佳时机。

如果电脑安装了某讯、某60卫士等带有流氓行为的其他安全软件，或各路电脑优化大师等自主安装其他程序的工具性软件，请在开始学习模式之前将其彻底卸载。

2、右键点击ESET托盘→高级设置

在高级设置窗口左侧选择“检测引擎→HIPS”

3、在“HIPS设置→过滤模式”中选取“学习模式”

设置“学习模式结束时间”为一个适当的日期

设置“学习模式到期之后设置的模式”为“询问用户”

点击确定

4、确认设置以后，就进入了HIPS的学习模式，在该模式持续时间内（持续到上一步中设定的日期），请使用电脑完成日常工作学习娱乐的各种操作，比如处理文档、玩常玩的游戏等。也要在这段时间里完整开关机至少一次。

请绝对不要在这段时间内进行低安全性的操作，例如浏览任何以前没去过的网站、下载外来的可执行文件、运行朋友发给的可执行文件、尝试破解软件、安装可能捆绑插件的软件等。只能进行平时常用的操作。

请注意拒绝一些日常必要软件的流氓行为，如某狗输入法诱导安装浏览器、企鹅发讯软件借清理缓存的机会诱导安装某讯电脑管家的行为。

5、学习模式到期后会弹出询问窗口，如图

如果还想继续学习模式，可以选择推迟决定

如果认为已经在学习模式持续期间进行了大多数日常操作，可选择进入“交互模式”

6、学习模式结束后，可在“高级设置→检测引擎→HIPS→规则→编辑”中查看已经学习到的规则，多达数百个。这些规则描述的操作行为，日后都将允许。

如您有空闲时间，可在列表中浏览一下这些规则的名称，有不想要保持允许的程序操作应予以删除。

1、进入交互模式后，发生未知操作时将弹窗提示

应查看操作的发起程序和目标文件是否值得信任，或查看“信誉”是否为绿色对号

对于安全的操作（如图中的Word想要访问Mathtype软件的支持文件，应属于安全操作），可选择“创建规则并永久记住”，予以永久放行

可在“高级选项”中选择对该发起者所有操作都放行，该项建议不选，除非发起程序是十分可靠的

2、如果该模式下弹窗过多，不堪其扰，那么您应该再进入一段时间的学习模式，并进行各种安全的常见电脑操作；

如果只是偶尔弹窗确认，那么您已经较好地完成了对HIPS系统的训练，今后可保持HIPS工作在交互模式下；

如果您确信已经完成了HIPS的训练，希望拒绝一切未添加规则的操作（保证最大安全性），则可以在高级设置中将HIPS设置在“基于策略的模式”下，该模式将拒绝一切未定义的操作。

1、有时我们想要在某个操作还未发生时预防它，这时可以手动添加HIPS规则：

打开“高级设置→检测引擎→HIPS→规则→编辑”，在弹出的窗口中按“添加”

2、在弹出的窗口中：

为规则命名、选择“允许”、“阻止”或是“询问”（阻止）

在“操作影响”中选择要阻止访问的对象，建议选择所有

打开“已启用”

如果希望在阻止时右下角弹窗，请打开“通知用户”（不推荐）

点击下一步

3、在“源应用程序”中添加要阻止的流氓程序，例如某60卫士的“手机管家”模块相关的所有可执行文件：

（安装目录）\mobilemgr\*.exe

点击下一步

4、在“文件操作”中打开要阻止的文件操作，推荐直接打开“所有文件操作”

点击下一步

5、如果需要仅阻止访问某些文件，可以在“文件”中添加入要阻止访问的文件

没有需要的话直接点击下一步

6、同样，在“应用程序操作”、“注册表操作”中选择要禁止的操作，可直接打开“所有____操作”

也可以类似上一步，指定仅阻止访问某些程序、注册表项；若没有这个需要保持“应用程序”、“注册表”列表为空即可

多次点击下一步后，点击完成。

7、定义的规则现在放在了规则列表的队尾，可以编辑和删除。