» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点茶室 » =====详解：微点和HIPS的区别======   作者: 标题: =====详解：微点和HIPS的区别====== 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  =====详解：微点和HIPS的区别====== 一、先看表象： 　　1.定义 　　HIPS：程序动作**，作用就是对HIPS所监控的API拦截报警，安装用户的要求阻止或放行。作用相当于一个动态的系统分析器，告诉使用者系统当前有哪些变化。 　　微点：主动防御软件，主要依据程序行为判定新病毒，辅以特征码、状态检测防火墙等技术的综合性安全软件。作用相当于杀毒软件+防火墙。 　　2.软件结构 　　HIPS：监控 　　微点：监控+分析+清除 　　我没有要贬低HIPS的意思，但是从结构来看，微点的软件规模要远大于HIPS，复杂度要远大于HIPS，开发难度、工作量、代码数量都要远大于HIPS。 　　延伸一个问题，不知道朋友们是否想过单就微点和HIPS重合的这一个点——“监控”来说，谁的监控更灵敏呢？换句话说也就是谁的API监控得更多呢？ 　　答案可能出乎很多人预料，实际上微点监控的API要远多于HIPS的。 　　道理很简单，Windows API的数量太多了，HIPS为了提高其易用性，监控的API越少越好，所以只监控与安全相关的一些API，其余的一律放任不理。 　　而微点的监控则要BT很多，除了HIPS监控的那些众所周知的安全性API，微点还监控了很多和安全有可能有关的API。有谁会想到微点竟然会监控程序被改名！根据网友提供的资料，我测试了一下，微点确实监控程序被改名，在程序生成日志中也有体现。原因也很好解释，如果不监控程序改名，那么微点根据程序生成日志向上追杀木马源的时候就有可能会被误导造成杀毒不彻底。微点究竟还有哪些BT的监控项，我是没能力分析，欢迎大牛们逆向一下，列个清单出来大家一同分析总结。 　　PS： 　　《揭秘行为杀毒》里有较详细的介绍，遗憾的是贴图没能找到。 　　http://www.ixpub.net/thread-678163-1-1.html L 　　二、分析内因 　　谈谈我的看法，微点和HIPS究竟有什么区别呢？我的意见是实在没有必要非分出个谁强谁弱，两个软件的设计目的完全不一样，最终表现出来的软件形态也是天壤之别。如果非要定性的话，只能说微点和HIPS是两类软件，不能简单做比较。 　　大家想过HIPS为什么要去监控程序API动作？因为HIPS是程序动作**，它的使命就是告诉使用者系统当前有哪些变化(API调用)。然后呢？HIPS监控了API之后会去做什么？答案是然后什么也不干，因为HIPS的使命已经完成了。 　　大家想过微点为什么要去监控程序API动作么？ 　　因为微点要对一系列动作进行行为分析，需要监控点提供足够的信息。 　　为什么微点要进行行为分析？ 　　因为微点要判断出程序是否有害。 　　微点判断程序有害是为了什么？ 　　因为微点是一款综合性安全软件，它的使命是保护系统安全，杀毒杀木马杀后门杀蠕虫…… 　　微点发现程序有害之后会怎么办？ 　　根据日志中的记录，逆向操作中止有害进程、删文件、删注册表…… 　　至此，微点的使命得以实现。也就是说微点前面所有工作的努力都是为了彻底清除有害程序这最终的目的。 　　微点虽然比HIPS多了很多东西，但是你绝不能简单地说微点比HIPS NB多少多少，这样是不客观的，因为不同类软件，不能简单地直接做对比。HIPS完成了它的设计使命，所以HIPS是称职的。微点完成了它的设计使命，所以微点也不错。 　　篇外： 　　over，本章到此理应结束。我很欢迎朋友们来积极热烈参与讨论，在深度这种技术性讨论社区，大家应以技术、逻辑、以理服人。嘿嘿，不过从私心来讲，我对某些朋友混淆概念，搞文字游戏的把戏还是很有兴趣的，稍微掺和几句，权当调节气氛了。 　　以微点和HIPS都具有监控模块，而论证出微点是高级HIPS的结论，还是很站不住脚的。莫忘了除了监控和分析模块，微点还有最重要的清除模块呢。对微点来说，监控是手段，分析是方法，清除才是最核心最重要的目的。完全忽略主体，而只谈某一个过程，就有点儿太矫情了…… 　　诚然HIPS虽没有清除能力，但使用动作阻拦也可以达到一定的安全防护作用。但如果我以钳子和六轴精密数控车床都可以加工金属部件为由，非说车床==高级钳子，我想问问有人能接受么？呵呵，实际上，钳子归属五金类，而车床归属机械类，完全是两类产品，不能在一块简单作比较的。使钳子（当然不止钳子咯）的高手叫钳工，使床子的高手叫车工，高级钳工和高级车工都是优秀的高级人才，并没有高下之分。。。 　　答案就是这么简单 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-2-26 20:02 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #2   先举一个例子，有些朋友用影子系统、冰封、还原精灵、雨过天晴、硬盘还原卡等等等等这类还原型产品做系统安全防护，用以防治病毒感染，因为中毒之后重启系统就全ok。我们要承认这类产品确实有一定的防护效果，但是由于这类软件的设计目标是快速恢复还原系统，而不是杀毒，所以将其用于病毒防治效果并不理想。为什么说效果并不理想呢？下面咱们一起来分析。 首先，我们要分析一下还原软件的核心原理是什么？还原软件的核心原理就是监控硬盘读写，通过各种各样的方式完成硬盘的伪读写操作，从而欺骗过当前操作系统和应用软件，由于硬盘没有被真正意义上改写或者改写时做了相应的还原标记，所以在重启后硬盘会还原为原始状态。 基于还原软件的原理和设计目的，我们可以确认，这类软件对感染型病毒的防护效果非常好，重启后不会有任何损失。但是，要注意目前已经是互联网的时代，对具有网络行为的木马、蠕虫、溢出攻击等等破坏方式，这类软件是无能为力的，因为他们毕竟不是杀毒软件。下面简单举三个例子： 1.盗号木马，号都已经被盗走了，重启还原没有任何意义。 2.蠕虫类，譬如说中了乱发邮件的蠕虫，和盗号木马一样，垃圾邮件都已经发出去了，重启还原没有任何意义。 3.溢出攻击，譬如说一台没打补丁的Windows XP，接入Internet，结局应该是很短的时间之内被著名的“冲击波”攻击，然后60秒重启。对于这种情况，还原类软件是无能为力的，重启恢复后仍然会在很短的时间内再次中毒60秒重启，整个电脑无法正常使用。解决的方法还得是安装补丁或者用防火墙封闭端口或者安装能抵御溢出攻击的杀毒软件。 我们对还原类软件没什么可埋怨的，毕竟术业有专攻么。人家是还原类软件，不是杀毒软件。出现上面的这些问题都是很正常的，算不上缺陷。 回到主题，我觉得微点和HIPS最大的区别，不是易用性的问题；不是微点报警少，而HIPS报警多；不是微点有智能判断，而HIPS傻报警，默认什么都报；不是微点适合普通用户，HIPS的提示必须要高手才能明白。我觉得这两者最大的区别就在于他们是两类不同的软件，一个是杀毒软件+网络防火墙，另一个是系统防火墙。归根结底就是设计目的不同，所以软件的表现形态和最适合的使用范围也不相同，就像上面所提到的那个用还原软件预防病毒的例子一样。 微点的主要目的就是杀毒软件+网络防火墙，只不过微点的主体架构比较先进，我个人把它称为杀毒软件2.0。初次接触微点的朋友，多少都会觉得操作上不适应，同时会对微点有一种质疑，我觉得这很正常。我大概是去年年初接触的微点，到现在一年了。我使用微点的阶段也是先不信任微点杀毒，需要配合其他杀软使用，不信任微点防火墙，安装了黑冰，然后彻底关掉了其他杀软的实时监控，彻底卸载了其它防火墙。现在日常只用一个微点，留着其它杀软的扫描只是为了做样本鉴定用。 很多朋友觉得微点重防，缺乏杀毒能力，我对这种看法持保留意见。我今年年初在给一个朋友的朋友处理电脑故障的时候，就亲身体验过微点的杀毒效果。当初的情况是：一台老笔记本，系统运行缓慢，安装的国外某杀毒软件监控起不来，网络访问不正常，但IE下没有什么插件。说实话，我当时有点儿束手无策，已经准备给他重装系统了事，但是笔记本这个玩意驱动是个难题。所以我死马当活马医，给他安了个微点做实验，其实当时并不对微点报有很大的期望。正常模式微点已经无法安装了，系统老报错，到安全模式安装，重启回正常模式，进到桌面微点提示两次，干掉了两个未知木马，按提示重启。重启后，电脑一切正常了，那个国外杀软的监控也自动启动了。由于我接触的案例太少，我说的这个只能算是个个例，不具有普遍意义，毕竟对于那些不可逆破坏的病毒，什么杀软也是没有办法恢复的。但是这个案例至少证明了微点并不是我们想象的那种纯防御型软件，在先中毒后安微点的情况下，微点的行为引擎是确实具有杀毒能力的。只不过论坛里这方面的信息比较少，我们平常很少关注到。 HIPS(Host Intrusion Prevent System)的我觉得用“系统防火墙”比直译的“主机入侵防御系统”翻译得更形象准确。HIPS是一套完全基于程序API行为判断的分析工具，其主要的工作形态就是“系统防火墙”。插一句，网络防火墙工作的模式就是根据规则比对匹配网络传输的每一个数据包的特征，规则允许通过的数据包就放行，规则不允许通过的数据包就抛弃。系统防火墙也是这样，规则中允许的API行为就放行，不允许的API行为就抛弃。 HIPS和传统的杀毒软件1.0们没有任何交集，但是和微点这个杀毒软件2.0是存在有交集的，因为微点的行为判断引擎部分也是基于程序API的。所以某种程度上说，HIPS确实也可以达到一定程度上的病毒防御效果。但是HIPS毕竟不是杀毒软件，其最多只能做到防毒，对病毒的清除效果并不理想。HIPS杀毒不力，就好比Windows自带的debug.exe可以用来解毒，但是对查毒却又无能为力一样。还是那话，术业有专攻，杀毒的事情，还得杀毒软件来办，专业的才能保证高效率和高质量。 PS：debug.exe那可真是一件圣物，王江民老师当年一开始就是用debug来杀毒的。 http://dev.csdn.net/article/13/13427.shtm 所以，微点和HIPS相比较，在杀毒这个事情上，微点比HIPS要好，因为微点不只有一个行为分析来判断病毒更有杀毒能力，同时微点为了最大化杀毒效率和效果，使用了多种技术综合形成了其目前的表现形态；但是在系统程序行为监控这方面，HIPS要比微点更直观。微点偏重的是程序行为判断的结果，而HIPS偏重的是程序行为监控的过程。不同的策重点就是因为二者的设计目的不同，所以理论上的目标用户群也是不同的。但是不同用户群之间是有交集的，所以现实中会有这样那样，多种多样的应用组合方案，有人用微点的工具来分析系统，也有人用HIPS来防毒。 微点受某些事情的影响，在媒体宣传和用户引导这块做得很不够，我猜测刘旭应该是把微点这个多种技术的综合体命名为“主动防御”体系，但现如今很多人都把“主动防御体系”简单地理解为“程序行为分析技术”，这点很不好。这是一种对主动防御这个名词的庸俗化理解。这种理解会给整个杀毒软件行业带来负面的影响。我要没猜错的话，这几年肯定会有这样那样，各种各样的自称包含所谓“主动防御”功能的软件上市，但是其中只会有很少几款是具有完整的主动防御体系的，其它的无非是附加一些单一危险API报警功能的擦边球。杀毒软件2.0的普及和推广，任重而道远。 我喜欢看旗鼓相当的较量，因为精彩~！但对于必然会出现的滥竽充数者，我们普通用户的抵制是没有多大效果的，只能寄希望于主管部门提前准备方案，严格控制审批，不要让小作坊们大肆生产劣质MP3疯狂压价损害整个行业利益这类事件再度重演。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-2-26 20:11 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #3   1) 创立动态仿真反病毒专家系统： 对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。 2) 自动准确判定新病毒： 分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。 3) 程序行为监控并举： 在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。 4) 自动提取特征值实现多重防护： 在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提取病毒特征值，并自动更新本地未知特征库，实现“捕获、分析、升级”自动化，有利于对此后同一个病毒攻击的快速检测，使用户系统得到安全高效的多重防护。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-2-26 20:12 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #4   很重要一点HIPS软件只能防不能杀毒（更别说病毒库） 微点可以清除病毒！！！！！！ ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-2-26 20:13 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #5   HIPS也需要具备三大要素：（为了便于说明，后面对HIPS的规则处理假定为询问） 规则、监控、拦截 若某个程序在运行过程中，触发了HIPS设定的某个规则，则HIPS会予以询问，并提示用户操作，而不论这个程序是否有害。即使正常的程序，也有可能被询问。 微点 微点的特征非常明显： 行为库、监控、拦截，外加一个包过滤墙 所谓行为库，是由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，微点便是以这样的方式来判断病毒和木马的，所以某些单一的行为或者未知的行为，不论有害还是无害，只要不触发微点的行为库，便会被放行。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-2-26 20:19 坐照 银牌会员 正式版用户 积分 1426 发帖 1422 注册 2009-3-24 来自 湖北宜都 #6   不错的科普文章。 ※ ※ ※ 本文纯属【坐照】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-27 10:43 jay99999 新手上路 积分 27 发帖 25 注册 2007-10-25 #7   多谢楼主，这样的文章很好 ※ ※ ※ 本文纯属【jay99999】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-28 18:28 huangegg3 新手上路 积分 1 发帖 1 注册 2009-4-1 #8  哇，很详细啊~~~ 好文章，帮助新人（我）解疑，真的很好很详细……顶楼主！！ ※ ※ ※ 本文纯属【huangegg3】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-4-1 14:41 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号