什么是HIPS?
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。我们个人用的HIPS可以分为3D: AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中,也含HIPS功能。
hips一般来说有那些种类?
1、最常见的就是3d类的借助规则拦截程序动作的软件。什么是3d? AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系,这3个是应用层面上软件做的最直观的动作,3d软件通过拦截这些直观的动作的来起到保护系统的安全。举个简单的例子: X.exe调用ie(这个是ad的防护范畴)写入注册表启动项(这个是rd的范畴)在system32文件夹下写入x.exe的复制体(这个就是fd的范 畴了)那么常规的3d类hips能给我们做怎么样的保护呢?首先提示x.exe启动(如果是莫名其妙的程序启动直接就没ko了)然后提示调用ie(不怎么 正常的动作,一般软件在注册或者连接主页的时候可能会用到,很多时候直接被拦截了)接下来写入注册表启动项(一般来说直接拦截掉,没有人会希望启动项东西 越来越多,拦截这个动作可以说是rd最要的任务了)最后写入system32文件夹(又是超危险动作,一般也被直接拦截掉,fd的最重要拦截中的一个)只 要我们在途中有一个拦截掉了,就算这是一个有问题文件,那他也不能危害我们的系统,这个是一般杀软等防护不能做到的任务。优点是制定性比较强,可以方便的 制定各类规则来满足不同的需要,缺点是上手慢,不过后文我会相对详细的写点入门的教程)
2、沙盒类的软件。所谓沙盒类的软件是指:通过虚拟的应用环境等手段,让程序运行在一个和真实系统隔离的环境,即使在那个环境下受到破坏也不能影响真是的 系统。可以说这是全面的限制了程序的动作,而且比3d类的更加简单易用,缺点是防毒强防马差,因为木马只要运行就能起到作用了,哪怕下次恢复成原样,被盗 去的东西还是被盗去了。
进阶阅读:
hips新手入门http://bbs.kafan.cn/viewthread.php?tid=140147
主机入侵防御系统的应用http://bbs.kafan.cn/viewthread.php?tid=155663&extra=page%3D1
没有评论:
发表评论