» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » HIPS(程序动作拦截器)规则割裂防护体系（转）   作者: 标题: HIPS(程序动作拦截器)规则割裂防护体系（转） xschenn 新手上路 积分 33 发帖 33 注册 2007-10-7 #1  HIPS(程序动作拦截器)规则割裂防护体系（转） HIPS，英文“Host Intrusion Prevent System”的缩写，国内通常翻译为“基于主机的入侵防御系统”，翻译很拗口，其实HIPS通俗来说就是程序动作(API)拦截器，作用就是对程序运行中调用的危险API进行拦截，经用户自行判断确认后手工选择阻止或是放行。HIPS的防护一般分为三个防护体系：AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。 正是因为HIPS对程序调用危险的API非常敏感，所以使用HIPS软件阻止程序调用危险API，可以起到一定程度的安全防护作用。关于行为控制在熊猫烧香肆虐时期的突出表现，就不用多说了，一战成名。 　　既然HIPS有这么多的优点，为什么只能在少数高端玩家手里把玩，而没有向全社会普及推广呢？很多朋友一谈到HIPS的缺点就归结到易用性上，其实呢，易用性只是表象。所谓HIPS配置复杂度较高，对用户要求较高，弹框数量较高的三高问题，核心在于HIPS的监控理念是有缺陷的。前面也提到，HIPS监控的对象是危险API，所以通过阻止危险API调用就可以保护系统安全。这个HIPS的核心理念，乍一听是很有道理的，但是如果深入推敲，则发现其核心思想是存在着严重逻辑混乱的。 　　Win32 API是微软公司公开提供的应用程序接口，供广大Windows用户开发应用程序与系统进行交互操作。所以从本质上讲，API并没有好坏之分，也没有善恶之别。而如果单以安全角度来论，乱用某些API可能会对系统安全造成隐患，所以HIPS将这些API定义为“危险API”加以监控并向用户报警。这里特别要注意弄清这些“危险API”的真正含义，大量的病毒木马经常使用这些危险API，但是使用这些API的程序并不见得就是病毒木马。危险API和病毒木马之间的逻辑关系，属于必要非充分条件，因为所有的API都是微软公开提供的，所有程序都可以正常的进行调用。 　　HIPS正是把危险API和病毒木马的逻辑关系搞反了，HIPS把所有危险API的调用一律报警，而正常程序也需要调用这些API，所以才造成了上面提到的配置复杂度较高，对用户要求较高，弹框数量较高的三高问题。 　　现在，有部分厂商为了提高HIPS的易用性，为了扩大软件的市场份额，居然用了一种非常极端的方法——为HIPS配置明文规则（白名单），这样表面上看起来会使得HIPS的弹框率大幅度下降，但是实际上则使用户处于非常危险的状况之下，黑客可以非常轻松地利用明文规则轻易突破HIPS的3D保护！ 　　如果一个网马，运行后生成A.gho（实为可执行文件），由于规则中允许创建和运行.gho文件，那么HIPS的防护体系就被轻易突破了…… 　　结论：HIPS本来是安全的，虽然存在着频繁虚警的问题，但是其对于每一个潜在危险API调用都进行报警拦截，所以整体安全性是很有保证的。但是，HIPS规则（白名单）的使用，则彻底将HIPS的安全基石毁于一旦，在HIPS严密的防护体系中硬生生割裂出一条黑客高速公路！ 　　HIPS确实需要改进，但是并不是这种简单的单一程序动作规则。行为控制安全产品只有将各种程序动作进行综合监控，即监控一系列确有意义的程序行为，才能从根本上彻底扭转其易用性差的问题。不过，如果HIPS增加了复杂的各种动作之间的相关性复合逻辑规则，那就不再是HIPS了，变成了现在大家习惯于叫做主动防御型安全产品，比如微点主动防御软件、卡巴斯基主动防御模块等等。 ※ ※ ※ 本文纯属【xschenn】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-15 13:43 newduba 高级用户 积分 607 发帖 605 注册 2007-5-18 #2   为HIPS配置明文规则（白名单），这样表面上看起来会使得HIPS的弹框率大幅度下降，但是实际上则使用户处于非常危险的状况之下，黑客可以非常轻松地利用明文规则轻易突破HIPS的3D保护！ 　　如果一个网马，运行后生成A.gho（实为可执行文件），由于规则中允许创建和运行.gho文件，那么HIPS的防护体系就被轻易突破了…… 不敢苟同，hips没有如此弱智，行为判断加上特征识别还是满安全的！ ※ ※ ※ 本文纯属【newduba】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 微点主动防御2.0+MSE4.0 2007-11-15 16:00 lotei 版主 病毒区地方父母官 积分 776 发帖 775 注册 2006-10-14 来自 被人们遗忘了的村庄 #3   HIPS天生的巨大缺陷导致他没办法被当作真正的安全软件来用，顶顶是个系统工具。 老实说我喜欢ssm，用它来跑病毒！了解病毒的每步动作挺不错！ 可实际应用确不行！比如我在正常软件上面捆绑一个木马！ 在正常安装的情况下添加注册表启动项，加载驱动，注入关键进程，在注册服务和加载驱动的时候跟普通的安装程序相当相似，你如何去判断他有没有危险呢！高手会一个项一个项的分析，一个文件一个文件的看，可以当你在第3部注入的时候才意识到有问题，前面你又如何去清除了！ 你说可以手动清！多累啊！ 另外驱动加载起来了！有时候连dll文件都保护了！ 普通情况下又删除不掉，需要借助其他的工具，相当麻烦！ [ Last edited by lotei on 2007-11-15 at 16:32 ] ※ ※ ※ 本文纯属【lotei】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-15 16:30 蚊香 新手上路 积分 2 发帖 2 注册 2007-11-15 #4   杀软会向hips过渡的，，， ※ ※ ※ 本文纯属【蚊香】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-15 19:58 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号