» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 不知道微点软件工作原理的进。。微点不是杀软而是中国属1属 2的HIPS    19   1/2   1   2   >  作者: 标题: 不知道微点软件工作原理的进。。微点不是杀软而是中国属1属 2的HIPS rubin816 新手上路 积分 12 发帖 12 注册 2007-8-29 #1  不知道微点软件工作原理的进。。微点不是杀软而是中国属1属 2的HIPS 文章来自：http://hi.baidu.com/%B5%DA8%BA%C ... f17ded77c638a7.html      主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。 因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。 我们个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。 所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips. 　　二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件--打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！ 　　上面是对hips和防火墙作个区别，因为杀软和这两类软件差别比较大，就不拿到这里来说了，下面我具体介绍一下hips以及常见的几款hips安全软件，希望对各位有所裨益！ 　　我们个人用的HIPS可以分为3D： 　　AD(Application Defend)应用程序防御体系 　　RD(Registry Defend)注册表防御体系 　　FD(File Defend)文件防御体系 　　它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。 　　常用的HIPS软件有： SNS(Safe'n'Sec Personal)--AD+FD+RD， SSM(System Safety Monitor)， PG(ProcessGuard和Port Explorer)--AD+RD， GSS(Ghost Security Suite)--AD+RD， SS(SafeSystem 2006)--FD. EQSecure(国产的E盾)--AD+FD+RD 测试产品的选择    笔者曾使用测试过十余款HIPS软件，通过与身边同样对HIPS感兴趣的朋友交流，最终选择了9款具有代表性的，使用率相对较高的产品进行测试，其中国外6款，国内3款，具体见下表： Safe’n’Sec Personal（SNS） System Safety Monitor（SSM） CA Host-Based Intrusion Prevention System（CA HIPS ProSecurity Ghost Security Suit（GSS） Winpooch 中网S3主机安全系统 微点主动防御软件 EQSecure 常用的Hips软件中功能最全、最强大的是应是Tiny，它是集AD+RD+FD+传统网络防火墙，而且在启动时不拖不卡，资源占用很少又很稳定（用SS经常蓝屏重起），自定义。当然上手起来稍微慢一点儿。         我具体的说说对这几款常用Hips软件的体会，         1. SNS(Safe'n'Sec Personal)-- 俗称犀牛，前天才确定放弃用它，用了两天。         优点：3D全有。系统栏里小犀牛头的图标挺Cool的。警告时有危险等级显示         缺点：(1) FD功能在设置上不方便也不全面。说不方便，是因为没有单独的大项设置，和AD+RD的规则混在一起，几百条规则在一起，眼都看花了。说不全面，是FD自定义设置里只有”Creat"、“open”和“Delet”（即“创建”、“打开”和“删除“），而全面的设置应该是”Creat“、”Write"、“Read”和“Delet"。它的”open“，我试了一下就是禁止使用，关键的系统程序肯定不能用这一项来保护，要是恶意程序或病毒程序改动了已经存在的系统关键程序，犀牛的FD保护就无能为力了。(2) 装上犀牛后不知是不是试用版的原因，所有预设规则都不能改动，而且其中的几百条规则的名称用的是序号，看的头大。而且AD+RD+FD所有规则混在一起，没有分类。(3). 装后电脑启动巨慢，要是装的是带反病毒的版本，建议开机后泡杯茶，暖暖手，你会感叹终于有机会长时间欣赏欣赏Windows的启动画面，晕哦！(4) 没有序列号和注册机，及2.5版的破解版，试用期限一个月。不喜欢。(5) 似乎没有磁盘底层保护         2. SSM(System Safety Monitor)——正在用的东东，已经在我的两台电脑上呆了两三个月了         优点：AD+RD的防护十分全面。记得前段时间有个测试，十几、二十几种方式终止程序，SSM都通过。PG只能过几项。有磁盘底层保护。还可保护*.INI文件。商业版虽然只能用30天，不过通过修改注册表就可以一直用，使每次开机都有30天的试用期，谢谢坛友们分享自己的经验。运行稳定         缺点：当然是没有FD功能了；还有，没有危险等级提示，只能完全凭使用者的经验判断，有时弹出的框太频繁只能狂点，点的手都酸了。         3. SS——前几个星期通过了解知道hips要3D都有才够安全。下了SS，有了SSM+SS的组合。3D全有。         优点：SS的自定义规则方便、直观。有试用版的破解版本。         缺点：(1) SS的拦截机制是“先斩后奏”，等于是拦完了后弹出框告诉你刚才它做了什么，再同时问你下次怎样做，不能在拦的时候提示询问你如何操作，晕。所有用过的Hips里就SS有这个“特性”。(2) 运行不稳定。只要一打开VeryCD网站就蓝屏重起。网上查找资料时也经常蓝屏死机。遂放弃。         4. GSS(GhostSecuritySuite)——只用过单独RD的深山红叶版，用的那段时间没中过恶意软件的毒，比较强大。个人认为SSM与GSS的功能上相同，而且SSM有简体中文版，也经常升级。GSS好像只有延长了试用天数的试用版，也没有什么升级，所以没有打算用GSS。缺点当然是没有FD了。         5. Winpooch—— 可爱的狗狗，运行不太稳定，比较拖系统，功能也不全面。装上后只用了两个小时不到就Kill了它。         6.Parador File Protection PE - 只有FD，装后系统启动比较慢，而且FD功能不全，可以阻止程序创建文件，不能阻止程序修改已创建的文件。有个现象一直没有人提，不知道是不是只有我一个人有，就是装了PFP后，开机进系统再插上移动硬盘，系统没有任何反应，也看不到移动硬盘的盘符，卸了PFP之后就没问题。         7. Viguard－据说是Hips No.1，法国的。装后五六次启动只有一次能进入系统，但拖的要我小命，电脑没法用。只有在安全模式下删了。目前只有试用版。         8. Tiny－AD+RD+FD都有，还有一般网络防火墙的功能，自定义设置全面，而且有组管理的概念。不拖系统，与SSM兼容性很好，是我用过的所有hips软件中兼容性和稳定性，及在功能上最好的。有Pro版的注册码。我现在的安全组合是Tiny+SSM+小红伞Workstation。 缺点：上手稍感复杂。好像没有磁盘底层保护         以上是小弟的Hips软件使用体会，感觉最好的还是Tiny，用顺手后可能放弃SSM。 附一：什么是Hips？       Hips——Host Intrusion Prevent System，即主机入侵防御系统，亦即系统防火墙。 HIPS能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。       但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。它有别于传统意义上的网络防火墙（Nips）。二者区别是：传统的nips网络防只有在你使用网络的时候，通过特定的TCP/IP协议来限定用户访问某一IP地址,或者也可以限制互联网用户访问个人用户和服务器终端；而hips是限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时，这个行为就会被所hips检测，然后弹出警告，询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，以防中毒、插马的可能性。       卡巴、微点的主动防御功能就是基于Hips的理念。        附二：HIPS功能的类别有哪些？       分为3D：       1.AD——Application Defend：应用程序防御体系；       2.RD——Registry Defend：注册表防御体系；       3.FD——File Defend：文件防御体系。 [ Last edited by rubin816 on 2007-8-29 at 19:36 ] ※ ※ ※ 本文纯属【rubin816】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-29 19:34 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   微点主动防御软件和HIPS有着本质的不同 HIPS类软件针对各种潜在影响系统安全的API动作进行监控/报警，因此称之为API动作监控/拦截器较为准确。比如监控创建文件、安装全局钩子、创建远程线程、修改其它进程内存、创建/修改注册表项等API动作，不管运行的程序是病毒木马还是正常程序，只要程序执行了被监控的API动作，HIPS就会报警，这就造成了大量无效的报警信息，一般用户很难使用。 为了减少HIPS的报警信息，EQ等HIPS采用类似网络防火墙规则包的设置，每条规则仍然对应一个API动作，且规则间没有逻辑关系，仅对某些系统或程序的使用API的动作处理行为进行预先设置，当这些程序运行时，就按照已经预先设置的规则进行处理，减少了询问用户的频度。但在安装软件和驱动，甚至软件升级时，这种规则包有可能影响程序的正常工作，因此，这类HIPS可能会要求暂时关闭保护功能，待软件安装结束后再重新启用保护功能。我们必须注意到，用户安装新软件时常常会遇到病毒，很多恶意软件多采用捆绑的方法欺骗用户安装，因此即使是暂时关闭保护，也是很危险的。 微点主动防御软件和HIPS则有着本质的不同，微点不是根据简单的单一API动作进行报警，而是根据程序一系列API动作构成更有意义的行为，结合病毒行为知识库进行逻辑判断，综合分析这个程序是否是病毒。微点主动防御软件使用程序行为智能分析，实现对病毒的判断更准确，同时也基本杜绝了频繁报警给用户带来的困惑，因此更适合普通用户使用。例如微点主动防御软件不会因为程序只增加一个注册表run项（单一API动作）就报警。而HIPS因为只依据单一的API动作，因此只能报这个程序执行了某个可疑的API动作，询问用户是否允许程序执行这个动作，特别当一个正常程序被病毒捆绑时，用户可能会做出错误的判断。 微点主动防御软件不是HIPS，HIPS是依据简单的单一API动作进行报警；而微点主动防御软件是依据程序一系列API动作构成的有意义的行为，并结合病毒行为知识库进行的一套复杂的逻辑判断，准确判定程序是否是病毒，或者是正常程序。 [ Last edited by Legend on 2007-8-29 at 19:52 ] ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-8-29 19:45 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #3   题目很虎人! 要说微点软件属于Hips？那简直太不合格了。 HIPS可以分为3D： 　　AD(Application Defend)应用程序防御体系 　　RD(Registry Defend)注册表防御体系 　　FD(File Defend)文件防御体系 但是我运行程序他不报、修改注册表他不报、创建远程线程更是不报。 为什么阿？还不如卡巴运行qq还帮我提示下。 ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-29 20:07 忧郁浪子 中级用户 积分 264 发帖 254 注册 2007-7-28 #4   这个帖子的说法是相当不正确的 还是超版的解释好 ※ ※ ※ 本文纯属【忧郁浪子】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我对微点是一见钟情了 deepin5.6系统 微点预升级+nod32 bblean+The World 2007-8-29 22:01 wantcm 版主 使用与技巧区消防员 积分 2351 发帖 2247 注册 2007-4-7 #5   超版经典语录收集中.....这个肯定要收藏. ※ ※ ※ 本文纯属【wantcm】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做为斑竹，一定要消灭0回复 2007-8-29 23:29 jobcreep 银牌会员 我的昵称：小爬 积分 2527 发帖 2527 注册 2007-7-13 来自 陕西西安 #6   就不是一个玩意 ※ ※ ※ 本文纯属【jobcreep】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 在蓝天下 献给你 我最好的年华！ 我的博客“杂货铺”，普天之下，没有我不关心的！ http://hexun.com/jobcreep1899/default.html    2007-8-30 08:43 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #7   的确不是HIPS 不过越来越像了... ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-30 08:48 jobcreep 银牌会员 我的昵称：小爬 积分 2527 发帖 2527 注册 2007-7-13 来自 陕西西安 #8   我怎么不觉得 ※ ※ ※ 本文纯属【jobcreep】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 在蓝天下 献给你 我最好的年华！ 我的博客“杂货铺”，普天之下，没有我不关心的！ http://hexun.com/jobcreep1899/default.html    2007-8-30 08:50 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #9     Quote: Originally posted by jobcreep at 2007-8-30 08:50: 我怎么不觉得 你以后就会感觉到了 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-30 09:12 jobcreep 银牌会员 我的昵称：小爬 积分 2527 发帖 2527 注册 2007-7-13 来自 陕西西安 #10   我一开学就没法感觉了 ※ ※ ※ 本文纯属【jobcreep】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 在蓝天下 献给你 我最好的年华！ 我的博客“杂货铺”，普天之下，没有我不关心的！ http://hexun.com/jobcreep1899/default.html    2007-8-30 09:23  19   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号