HIPS解析

淡淡体味

HIPS解析

来自：MACD论坛(bbs.macd.cn) 作者：淡淡体味 浏览：2100 回复：1

Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。
   个人用的HIPS可以分为3D：AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。（最好有ND：网络防御体系，个人意见------）它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
      常用的HIPS软件有：SSM(System Safety Monitor)，PG(ProcessGuard和Port Explorer)，GSS(Ghost Security)，国产的有EQSecure for System，S3。下面笔者提供常用HIPS软件下载地址（支持国产）
S3：http://liveupdate.netchina.com.cn/s3v3_5/ncs3_2008_setup.exe
EQ：http://www.eqspywatch.com/eqsyswatch/index.htm#Download
SSM（俄）：http://dl1.syssafety.com/download/ssm-2.4-beta.exe
      重点谈谈老外软件
一、SSM的特点：
      使用System Safety Monitor (SSM)， 您可以实时监控您的系统活动、终止那些您不需要或不希望发生的系统活动。SSM 包括以下三个可以独立运行的模块：
1、应用程序监控模块（Application Monitoring Module ，AMM）：
   AMM监控所有已经启动的应用程序，并允许您进行下列控制：
（1)“DLL-注入”和“代码注入”活动；键盘间谍程序及键盘驱动程序"rootkits"的安装。
（2）允许或拒绝应用程序启动。
（3）哪些应用程序可以（或不能）启动用户指定的某些其它应用程序；哪些应用程序可以（或不能）被用户指定其它应用程序启动。
（4）如果某个应用程序变更、修改或升级后，它能（或不能）被启动。
   此外，AMM还为您提供了以下几个工具：
（1）进程启动/终止工具；
（2）进程启动/终止通知；
（3）使进程驻留在内存中的选项（重新启动被关闭或中止的某进程）；
（4）中止/重启某个进程。只有WinNT 系统（ Windows NT, Windows 2000, Windows XP, Windows 2003）才能使用这个工具；
（5）附加/去除附加到某个指定的应用程序的.DLL及其列表（仅限于NT系统）；
（6）将正在运行的应用程序图象保存到文件中（仅限于NT系统）。
2、附加插件模块：
   这些模块监控重要的注册表键、启动文件夹、.ini文件、已安装的服务、包括BHO在内的IE浏览器设置。
   这些模块可以具有下列功能：
（1）当已安装项目发生改变时及时通知您；
（2）自动阻止某些具有潜在危险的修改；
（3）您可以变更“修改”的”允许/阻止”状态。
3、WINDOWS监控模块（Window Monitoring Module ，WMM）：
WMM监控已打开的窗口，并自动关闭已列入“关键词黑名单”的窗口。
此外，借助于WMM，您还可以进行下列操作：
（1）已打开窗口列表；
（2）显示隐藏的窗口，或隐藏显示的窗口；
（3）解锁那些可见但不能使用的的窗口。
二、SSM的官方网站
http://www.syssafety.com/
下载地址：http://www.syssafety.com/files.html
三、SSM支持那些操作系统？
Microsoft Windows 2000(SP4+)/XP(SP1+)/2003, Microsoft Windows 98/Me (free edition only)
     总而言之，对规则高手可不用杀软，对菜鸟来说，HIPS太烦。还有装了HIPS后，要卸载很难！！！！！！！！
    对菜鸟用EQ的一点建议：
    首先要把所有的程序都放在一个文件夹中，例如D:\tools，然后打开规则编辑器，在应用程序保护的黑名单里添加D:\tools\*.exe，拦截操作全部为允许，不记日志。然后在应用程序保护、注册表保护、文件保护的“应用程序规则”里加入D:\tools\*.exe，仍然全部为允许，不记日志。最后在文件保护的“所有程序规则”里加入D:\tools\*，除读取外全部禁止，记录日志。其它设置里统统选“不搜索所有程序规则”。这样就等于给了它们最大的权限，让它们为所欲为，当然运行没问题了。由于它们都是正常程序，所以不会害我的。这样做的思路是：HIPS是用来防毒的，不是防我们自己的。要让信任的程序不受任何约束地工作。但它不会带来任何危险。

govyvy

为什么没人顶啊？
好文～不顶不厚道～:*22*: