再提电脑安全——之主机入侵防御系统-HIPS篇

pippo

重提电脑安全之HIPS篇

病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，现在多数病毒是植入到网页中去或者下载的软件，所谓防不胜防。
即使自己的机器上安装有杀毒强劲的杀软也有清除被感染系统文件导致系统崩溃的风险，以及误杀带来的危险。温柔的杀软则需要其他防守策略的配合。
天天看到坛子里的兄弟每天都发生那么多的安全问题，老是杀软长杀软短的，实在是看不下去了，所以跟大家提提HIPS，本文整理自网络，以下已注明转自何处。

HIPS是什么？

Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。
HIPS的理念是将病毒的自我复制、感染、DLL注入等的操作透明化，并从底层阻止。目的不是杀毒，而是有效的防止病毒或者木马的发作对本机的影响，然后手动删除，或者等待杀毒软件的更新。
HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

我们个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系，今后的HIPS将完善ND（Network Defend）功能。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中，也含部分HIPS功能，比如KIS，国内的风云，数款国外的防火墙的下一版本也将会植入HIPS功能。

目前比较流行的HIPS软件：
1．Tiny Firewall (网络防火墙)，http://www.tinysoftware.com/  已经被CA收购，下一代产品为CA HIPS

功能：AD+RD+FD,
2．Safe'n'Sec (简称SNS或犀牛)， http://www.safensoft.com/
功能：AD+FD+RD,
3．SystemSafeMonitor(简称SSM),  http://syssafety.com/
功能：:AD+RD
4．SafeSystem (简称ss) ， http://www.gemiscorp.com/english/main.html
功能：SS(SafeSystem 2006)--FD
5．GhostSecuritySuite（简称GSS），http://www.ghostsecurity.com/
功能：AD+RD
6．ProcessGuard(简称PG), http://www.diamondcs.com.au/processguard/
功能：AD+RD
7．Winpooch ，http://sourceforge.net/projects/winpooch
功能：一条忠实的“看家狗”, 使用api hook技术,可以对几乎所有的可疑操作进行监控、报告或阻止。
8. Parador File Protection PE                    http://www.e-securion.com/
功能：FD
9. EQSecure for System,             http://www.eqsecure.com/
功能： AD+FD+RD, 一款国产HIPS软件.
10. ProSecurity，                                      http://www.proactive-hips.com/
功能:FD+RD，作者是中国人
11. Privacyware Dynamic Security Agent - http://www.privacyware.com/
12. ANTIHOOK 澳大利亚的PD，http://www.infoprocess.com.au/AntiHook.php
13. Arovax Shied美国的，http://www.arovaxshield.com/download.php
14. Malware Sweeper Pro，http://www.malwaresweeper.com/
15. Core Force，http://force.coresecurity.com/index.php?module=base&page=download
16 . Watcher，http://www.donationcoders.com/kubicle/watcher/
17. DefenseWall ，                  http://www.softsphere.com/
18. BufferZone SAE/Home/Pro ， http://www.trustware.com/
19. GreenBorder ，                    http://greenborder.com/
20. Virtual Sandbox ， http://www.fortresgrand.com/products/vsb/vsb.htm
21. VELite ，                         http://www.secureol.com/
22. SandBoxie ，                            http://sandboxie.com/
23. RunSafe ，                           http://www.runsafe.com/
24. 1-Defender ，                   http://amustsoft.com/1-defender/
25. All-Seeing-Eyes ，             http://www.fortego.com/ase
26. GesWall ，    http://www.gentlesecurity.com/                  
27. winpatrol，   http://www.winpatrol.com/


参考文章：
http://hi.baidu.com/watersunshine/blog/item/98d510d5ba03f5c551da4beb.html
http://bbs.kafan.cn/viewthread.php?tid=33869

国内HIPS EQSecure for System设置方法：请参见
http://bbs.deepin.org/read.php?tid=138387

[ 本帖最后由 pippo 于 2007-5-25 14:14 编辑 ]

williamyang

这段时间，有这方面的帖子，会有很好的反响！支持
用过SSM的免费版，不大会用，感觉不错！

[ 本帖最后由 williamyang 于 2007-5-25 09:26 编辑 ]

yogibear

我个人觉得。MS 一旦把它集成到OS里面或者作为免费的Utility发布，这些东西就得全部死翘翘了。

yourfrishen

某些杀软似乎也带类似的东西，比如瑞星之流。那个360XXXX好像也能保护注册表。

pippo

QUOTE:

原帖由 <i>yogibear</i> 于 2007-5-25 09:30 发表 <a href="http://www.ibmnb.com/redirect.php?goto=findpost&pid=7475221&ptid=538114" target="_blank"><img src="http://www.ibmnb.com/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www.ibmnb.com/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a><br />
我个人觉得。MS 一旦把它集成到OS里面或者作为免费的Utility发布，这些东西就得全部死翘翘了。

<br />
我不认为ms会集成，毕竟ms要考虑绝大多数人的使用，HIPS的使用不是很多电脑盲搞的来的。而且这种软件不会特别的智能化，至少是目前来说，而且加入智能功能反而会成为病毒和木马的突破口。

下弦月

感觉和 KIS 的全面保护很想啊

pippo

QUOTE:

某些杀软似乎也带类似的东西，比如瑞星之流。那个360XXXX好像也能保护注册表。

目前来说，这些杀软火墙带RD功能的比较多。

yogibear

QUOTE:

原帖由 pippo 于 2007-5-25 09:34 发表

我不认为ms会集成，毕竟ms要考虑绝大多数人的使用，HIPS的使用不是很多电脑盲搞的来的。而且这种软件不会特别的智能化，至少是目前来说，而且加入智能功能反而会成为病毒和木马的突破口。

用户界面的友好和易于使用是MS 擅长的手艺。还有谁比MS更清楚windows OS里面的东西？

pippo

QUOTE:

用户界面的友好和易于使用是MS 擅长的手艺。还有谁比MS更清楚windows OS里面的东西？

这样最好啦，我们的目标是安全嘛，如果不用杀软，防火墙，hips能够做到安全，ms就是做了件大好事了！

yogibear

MS做大好事？其他厂商会跳楼的。。。再说没有其他厂商在旁边虎视眈眈， 对消费者决非好事。。。

pippo

QUOTE:

原帖由 yogibear 于 2007-5-25 10:23 发表
MS做大好事？其他厂商会跳楼的。。。再说没有其他厂商在旁边虎视眈眈， 对消费者决非好事。。。

阁下究竟是想说什么？恕我愚钝。

chessman

QUOTE:

原帖由 yogibear 于 2007-5-25 09:54 发表


用户界面的友好和易于使用是MS 擅长的手艺。还有谁比MS更清楚windows OS里面的东西？

哈哈，那个 Microsoft Antigen软件 界面是一塌糊涂啊，尽管它集成了很多杀毒引擎！

pippo

HIPS虽然简单，微软可以随便做，但是杀软和防火墙以后集成hips是趋势，MS要先把杀毒做好了才有竞争力。

yogibear

QUOTE:

原帖由 pippo 于 2007-5-25 10:28 发表

阁下究竟是想说什么？恕我愚钝。

太客气了。我的意思是说OS要是把这些东西都自己做了，好多第三方软件厂商日子会比较难过。再说了，MS什么都垄断，对消费者不是好事啊。需要很多竞争对手陪着一起在市场上玩。

elegentwind

lz的头像比我的酷

liusheng7029

好贴，学习了

zhaoxuliang

有点类似微软vista的uac

sparker

单位在使用McAfee的 HIPS 但是机器是客户端 ：（ 不能随便设置了

白狐狸

EQ用了，适合急救。现在用了感觉不错。

pippo

QUOTE:

原帖由 sparker 于 2007-5-29 13:45 发表
单位在使用McAfee的 HIPS 但是机器是客户端 ：（ 不能随便设置了

mcafee据说停止要更新firewall，把经历放在主动防御上了已经。

nine

好帖子。学习到了很多东西。