查看: 92303|回复: 263
收起左侧

[原创] 浅谈NOD32与HIPS、防火墙的搭配

  [复制链接]
SUPERODD
发表于 2008-12-28 22:36:18 | 显示全部楼层 |阅读模式
本帖最后由 吾与谁归 于 2011-6-6 21:46 编辑


这是本人使用NOD32的一些经验,给大家分享一下!
未经同意严禁转载!



首先要说明,如果你是玩组策略或裸奔的高手的话,那你可以直接无视这篇文章了。

如果你是不是用KIS之类已经是4D的安全套装的话,那么至少应该配备1个AV、1个HIPS、1个防火墙。如果你还用一些辅杀的(例如Dr.Web的CureIT和AVG7.5之类的)那就更好了。
EAV不完美。EAV对Rookit技术不敏感,而且对国内的木马反应比较慢,而且检出率也不是很高。另外,千万别用默认设置,不然有你受的。故,要配备一些安防小软件。
建议使用360安全卫士(或超级兔子、优化大师、Windows清理助手)(杀流氓、补漏洞)、彩影ARP(如果你处在局域网的话)、Spyware Doctor(杀木马)。
但是要说明的是,360、超级巡警、卡卡之类的仅仅是安全工具,所谓的防护也只是监视很少一部分注册表而已,不要以为这些号称有“主动防御”功能的东西是HIPS。这些东西你用起来感觉不错,但其实并不然。别以为你能玩转360就是电脑安全高手,但实际上还差得远呢!真正的安全高手是用组策略的!很多人被枪手们意淫出来的东西灌输多了,就认为一个AV再加个360就无敌而又百毒不侵了。只用一个360或其他的东西远远不够!
让枪手们去见鬼吧!
HIPS,要玩就玩真的!像EQ、TF就是很正宗、很强悍的HIPS。
关于HIPS,Host Intrusion Prevent System,主机入侵防御系统,通俗来说就是系统的防火墙。和传统的网络防火墙不同,他是防止恶意的程序在你的系统里发生作用。很多新手不明白HIPS有啥用,在此SUPERODD被老手批都要讲一下,HIPS非常重要,假设你的系统是一座城市,那么杀毒软件就是城内的公安,网络防火墙就是外围的边防武警。而HIPS就是隐藏在高处监视城市,防止混水摸鱼进来的坏人作恶的狙击手。很多新手说HIPS老是弹出对话框,烦,其实,这是你的狙击手在请示你是否击毙。当然,狙击手只是一名小兵,他的判断能力不如你这个城市的市长强,所以才请示你,当然,你也需要一双金睛火眼,不然一不小心打死了个便衣警察或税务局的什么的就惨了...很多人嫌它麻烦,而且问一些看起来很高深的东西,所以很多新手干脆不用。这是很危险的。你嫌烦就用EQ+“安静得可怕”规则包吧。
其实平心而论,EAV真的已经很优秀了。能够有效应对各种强悍的蠕虫、和大部分的木马以及部分恶意软件(特指3721之类的)。但是貌似他对Rookit隐藏技术不甚敏感,这是致命伤之一。不知为何,EAV的Web保护也有问题,是关于解压缩文件的,(具体偶不说了,问bdrdc版主去)这个也可能导致病毒的成功入侵。在挂马网页猖狂的今天,没有很好的Web防护体系是一个很大的问题。但是HIPS却能够起到一定的弥补,因为即使病毒成功进入了你的计算机,它也必须运行,一运行,就会暴露行踪,被HIPS发现。现在的HIPS大多都不够智能化,还是需要用户具备比较强的知识。当前智能化做得稍微好一些的是ThreatFire,现在已经有中文版了。这也是SUPERODD在多种搭配中多次提到他的原因。现在能够反HIPS的病毒还不多,(SUPERODD前些日子发现一些能够在关机前几十秒内毙掉EQ的木马,骇人啊!)因此HIPS还是能比较有效地遏制病毒。
关于组策略,其实这个东西是最好的HIPS,而且是系统自带的,并且不占资源。很多新手看到组策略里密密麻麻的一堆字就头昏脑胀了,(其实SUPERODD对组策略也没懂多少,嘻嘻)但是如果你认真去学习,去研究,其实,这个组策略是很优秀的。它还甚至可以起到一些防火墙的作用呢!

还需要说明的就是NOD32的生存能力太弱,不能像喀吧那样可以直接安装到带毒的机子上,也不能象诺顿一般进程被结束后5分钟不到就“春风吹又生”。两下子被病毒结束掉egui.exe和ekrn.exe两个进程然后基本上就等于扁掉NOD32了,接着再来个映象劫持什么的,然后另一台电脑前的黑客小朋友就笑了...(说实话,NOD32的egui.exe进程甚至可以用任务管理器直接结束掉,Orz )
大家还提到的恶意软件也是NOD32的一个死敌。有时恶意软件也能杀AV不眨眼的。而且而已软件大多很凶悍,NOD32又如此脆弱,Eset该向尤金大哥的卡巴斯基学习啊!能杀病毒、木马不能杀恶意软件算啥啊?国内诸如鸭壶助手、3721之类的流氓头两下子就进来了~如果你用IE7就还好一些,什么,你用IE6? OTZ

因此,没有HIPS只用NOD32也是很危险的。

如果你认为单用一个AV也行,这就是大错特错了。如果你与病毒的斗争经验够强的话你甚至可以只用扫描工具+HIPS+墙就行了,扫不出来的可以手工杀。只有AV是远远不够的。别以为没人会去对你的机子进行网络攻击,如果是这样,那些黑客天天都在喝三鹿啊?那么多的端口扫描工具干嘛的?找IP又为了啥?玩?
只用HIPS+墙,可以;只用AV,不可以。因为AV只能对本机病毒发生作用,而不能对网络攻击发生作用。那么多肉鸡怎么来的?很多人都是不用防火墙,然后自己的机子被入侵了还不知道,自己还沾沾自喜——“嘿,我的机子真快。终究有一天,会有黑客找上门来的。
这里指的是网络防火墙。只有EAV不足以抵挡来自网络的攻击。这里SUPERODD要喊出偶们的国骂:TMD!中国的互联网这个鬼地方,像DNS、ARP、DDoS之类的网络攻击层出不穷,系统里没有一个防火墙是很危险的事。且不说DDoS这么凶猛的攻击,要是没有防火墙,一个ARP欺骗就足够了。
在千禧年来临时,SUPERODD还是一个电脑盲。当时只听说过病毒这邪门的东西很厉害,能让电脑坏掉(后来才知道这是CIH)。可是,偶当时却不知道有一样东西和病毒一样可怕,那就是网络攻击。当年第一个因为DDoS攻击而崩溃的就是雅虎,然后是亚马逊等知名网站......当时雅虎仅仅遭受50台计算机组成的“僵尸网络”的DDoS攻击就挂了。今时今日,再想用几十台机子对某个知名网站发动DDoS攻击已经不可能了,可是对普通的家庭、办公用户来说却绰绰有余。通常是找一些肉鸡,用ARP欺骗之类的方法入侵,远程植入木马,然后组成僵尸网络发动DDoS攻击。中国是“肉鸡”大国,是世界上受“僵尸网络”影响最严重的国家。而且很恐怖的是,在你看着这篇文章时,可能你的机子已经成了肉鸡,正在向某个“僵尸网络”集结,准备发动网络攻击。中国内地960万(如果偶没记错的话)的肉鸡就是这样来的!

听到这里你可能已经对各种网络攻击毛骨悚然了。“哇塞,会不会有人对我发动DDoS攻击啊?”可能多数人会这么问,但答案是否定的。虽然DDoS攻击威力巨大,一般防火墙难以防御(像冰盾之类的专业墙可以抗住DDoS),但是对一台机子发动DDoS不划算,万一只是网吧或一些手机营业厅只用来下载MP3的呢?所以黑客不会这么蠢,对一台个人计算机发动DDoS攻击。DNS攻击现在已经不怎么难防御了,而溢出攻击又难度太大,所以黑客们一般选择ARP攻击。ARP欺骗是个很老的话题了,自从有了TCP/IP协议的那一刻起它就存在了。曾起何时,ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已!而现在利用ARP攻击方式盗取密码的事情数见不鲜!由于ARP攻击导致频繁掉线的事情频频出现,让人很恼火。国内已经有很多专门防ARP的墙,如360ARP、彩影、金山ARP之类的,但是要有效才好。别听说XX墙很厉害,你就去用,其实还是那句——适合自己的才是最好的!

还有很多网友提到的良好的上网习惯也很重要。其实这仅仅是一些看起来不起眼的身边小事。比如说不上黄色站、不追看八卦新闻、不点一些看起来很有噱头的网页、上完网清理缓存、删除历史文件和Cookies等等。这些都能让你受益匪浅。
别以为光有良好的上网习惯就好了,其实,AV+HIPS+墙+良好上网习惯才是最好的。重点旨在HIPS和上网习惯。习惯不好,再无敌也终有中招的一天(但不是说习惯好HIPS和墙就没用了)。AV实际上是最次要的。病毒哪里来?网络。抵御病毒最关键的就是HIPS和良好的上网习惯,至于应对网络攻击的防火墙又是另外一回事了(网络病毒入侵≠网络攻击)。
不要以为自己的AV或360不报毒就是安全,自己感觉好就是安全。其实如果你换个别的AV或辅杀的查一下可能就又揪出一堆病毒来。所以像Dr.Web的CureIT和卡巴斯基的AVP Tools之类强劲的扫描工具就必不可少了。危机感是必须的,但是不是让你患上AV强迫症。经常注意升级病毒库,并偶尔做一次全盘扫描,这都是很有益的。

当遇到HIPS、防火墙或NOD32不能运行时时不要慌着重装系统,先看看他们的目录下是否有ws2_32.dll这个文件,有的话一定要用粉碎机碎掉。这个东西会阻止他们运行。再不行就下载Autoruns来看看是否被映像劫持了,注意用之前一定要将它的主程序改名(譬如改成Aut0runs.exe)。如果这两招都不行的话就看看进程列表里是否有NOD32、HIPS、防火墙的进程,如果没有,那么就可能是病毒在不停地结束他们的进程。这时你会非常地卡。你不妨可以试一下http://bbs.vc52.cn/thread-47569-1-1.html的方法,用嗑毛豆3保护进程。如果还不行的话就重装吧。
有人说NOD32或一些智能HIPS会报QQ工具栏之类的是危险程序,其实,他们并没有报错。这些ActiveX插件、IM都不是安全的程序(譬如0day漏洞),他们可能成为黑客入侵的一扇门。不要慌慌张张地喊“错杀”,排除不了再说也不晚。
新人切勿凭自己的主观意识去判断进程好坏,这是很危险的。正常的程序一般会有图标,(譬如QQ会有企鹅的图标)而大部分病毒程序却是没有图标的,只有很少一部分“钓鱼型”病毒(骗你点击)会含有一些引诱性的图标。新手要注意HIPS拦截的程序的程序名,大部分智能HIPS(规则类HIPS就什么都拦,新手不建议用)都能分辨出并放行系统进程(如svchost.exe、system、System Idle Process等),当他们拦截到类似“rundl132.exe”的程序时就要当心了。新手往往容易以为“system.exe”这类的伪装者是正常的系统进程(系统的system进程是没有“.exe”后缀的),所以请睁大你的眼睛。
关于2.7版的NOD32,SUPERODD觉得如果不是电脑古董到连512M内存都没有(要是你的电脑连256M内存都没有的话请问你怎么上来卡饭的?),应该尽量用3.0的。2.7也有2.7的好,譬如说资源占用小、引擎成熟、扫描高效等。但是相比起3.0,2.7还是有它的缺陷所在,譬如对国内的木马还是不太感冒。2007年熊猫烧香袭来时,2.5版的NOD32还是扛住了,但是面对2008的“毒王”磁碟机和“老二”机器狗,2.7还是没有3.0来的高效。
偶还发现NOD32可以和一些特定的杀毒软件共存。譬如装了EAV再装avast的话avast的监控会被废掉,变成纯绿色的扫描杀毒软件。

佐罗昨天半夜冒了个险,在EAV+嗑毛豆3的情况下尝试装小红伞(以前试过小红伞+嗑毛豆3),一切搞的心惊胆颤,但还是成功了。唯一的遗憾就是偶的机子太差了,至今未完成任何一次扫描...囧
虽然不是说杀毒软件装得越多越好,但是多出的杀毒软件可以作为你防御的第二把手,并肩作战。如果机子没有1G内存以上建议不要玩这样的“杀毒软件的SLI*”。

*注:SLI的全称是Scalable Link Interface(可升级连接界面),它是通过一种特殊的接口连接方式,在一块支持双PCI Express X16插槽(注意这里只是插槽而不一定都具有16条PCI Express Lanes)的主板上,同时使用两块同型号的PCI Express显卡,以增强系统图形处理能力。


搭配有3个原则:
1.适用性
这世界上没有绝对的安全组合。如果是例如一些企业的财务部之类安全性要求高的电脑,但是却单用EAV,那无疑自取灭亡。但又如果是一些配置相当古董的机子却要用EAV+OP+TF,那也是自作孽。要选择适合自己的,如果不满意,还可以多换着用试试。反正精睿里的资源一大堆,又是免费的,不用白不用。可是不要只是换着玩,一天重装几次系统,那可是在慢性地杀害你的硬盘。

2.兼容性
例如KAV8.0和ZA7.0就会有严重的冲突,甚至可能导致蓝屏。当发现兼容性不行时,应立即卸载。假若兼容性问题太严重(像蓝屏、无法进系统之类),如果有Ghost就Ghost,或者用WINPE来卸掉不兼容的,实在不行就BIOS引导光盘重装系统。千万不要用ESS等有防火墙的安全套装再另外搭配防火墙或安全套装!例如ESS和OP或ZA搭配就会有严重的冲突。切记!

3.安全性
假如只用EAV的话,碰上局域网的ARP很容易就挂掉了。假如只用ESS的话一个免杀就可以把它毙掉了。所以,我们不能只追求流畅和兼容性,还要注意安全性(用X星的网友们注意了哈)。偶们需要的,是在安全、兼容与流畅间取得一个平衡。


SUPERODD
 楼主| 发表于 2008-12-28 22:36:52 | 显示全部楼层
好了,废话不多说,往下看吧!




1.ESS单独。(适合电脑盲,电脑配置差)
至少也能挡住多数病毒。虽然迟早得中毒身亡,但有比没好。关于ESS的弊端可以看这里。用ESS的同志一定要勤看顶置和高亮的帖,多学习组策略。

2.ESS+SSM。(适合有点安全知识,电脑配置差)
引用某高人的话说,ESS的墙很差,但不是很弱。ESS貌似没有应用程序防护和注册表防护的,所以要拉上SSM小朋友。正好也补上了SSM小朋友文件防护的不足。

3.EAV+嗑毛豆3.0(适合安全知识较强,英语好,电脑配置一般)
免费的嗑毛豆3.0内置了HIPS,还是很强悍的。加上EAV如此优秀的杀毒软件比较安全。当然,如果你不是看到进程之类的东西就头晕的话。嗑毛豆无论从哪一方面都是不容置疑的。

4.EAV+PC Tools(Look'n Stop)+EQ Secure或ThreatFire(适合有一定安全知识,电脑配置一般)
EQ乃国内一相当出色的HIPS,相当厉害。免费的PC Tools墙很好,很优秀。LNS内核相当强劲,但是它是免费的且很易用,尽管不能跟嗑毛豆、ZoneAlarm和OutPost平起平坐。PC Tools和EQ更是一对完美的搭档。

5.EAV+OutPost或ZoneAlarm+ThreatFire(或EQ)(适合安全高手,电脑配置好)
不用说了,都是相当杰出的产品。注意!WindowsXP SP3下千万别同时用ThreatFire和OutPost,会造成键盘和鼠标无法使用!

6.EAV+微点 (适合有一定安全知识,电脑配置一般)
相辅相成,EAV弥补了微点不能扫描的缺点,微点弥补了EAV没有墙和主动防御能力不足的缺点。这个组合就算你不是高手也能较轻松地玩转。

7.EAV+风云+ThreatFire(适合安全知识较强,电脑配置一般)
风云墙乃国内崛起的新星,搭配TF不错。

8.ESS+EQ Secure+安静得可怕规则包(适合电脑盲,电脑配置较差)
这个估计是最省心的了,新手用这个,摆脱HIPS的“对话框综合症”吧。

9.EAV+EQ Secure(或ThreatFire)+嗑毛豆2.4(适合安全知识较强,电脑配置一般)
嗑毛豆2.4是中文版的,英语不行的网友不用发愁了,她和3.0也一样强大,只是没有HIPS而已。所以要用EQ或TF。无论是EQ还是TF都是相当出类拔萃而又强悍的HIPS。

10.EAV+Sandboxie沙盘+嗑毛豆2.4(适合安全知识较强,电脑配置一般)
不知道沙盘是什么东西的网友赶紧到HIPS资源整合索引这里恶补吧。嗑毛豆2.4免费且高效,是网络防护的不二选择。

11.EAV+沙盘+OutPost(适合有安全知识较强,电脑配置一般)
OP是一款强而有力的防火墙,Matousec成绩相当优异,很强悍,很专业,加上沙盘,拒毒于门外。

12.EAV+ThreatFire或EQ Secure+PC Tools(适合有一定安全知识,电脑配置一般)
同样出自PC Tools的TF和PC Tools防火墙都是HIPS和防火墙领域的佼佼者。EAV的监控相比2.7有利一定的进步。

13.NOD32 2.7+Sandboxie沙盘+PC Tools(适合安全知识较强,电脑配置较差)
2.7版的NOD32还是老当益壮的,用沙盘来对付网络的各种威胁,2.7作扫描,PC Tools防火墙,不失为一种不错的选择。

14.NOD32 2.7+嗑毛豆3(适合安全知识较强,电脑配置较差)
用这个组合需要很强的知识,因为2.7的防御体系有一定的缺陷,导致防御重任落在嗑毛豆3的Defense+上了。Defense+成熟,稳定。

15.NOD32 2.7+ThreatFire或EQ Secure+PC Tools(适合有安全知识较强,电脑配置很差)
智能化程度较高的TF,可以比较有效地弥补2.7版NOD32的缺陷,LNS内核的PC Tools和同出名门的TF可是一对“黄金搭档”。

16.NOD32 2.7+Returnil+PC Tools(适合安全知识较强,古董电脑)
Returnil的作用与影子系统相似,用粉碎机把PCT、NOD32和系统文件等统统“杀清光”,重启后又恢复正常。此组合在一定程度上损伤硬盘(因为Returnil和影子系统之类的还原软件会让硬盘重复读取一个扇区,导致该扇区寿命变短)。

17.NOD32 2.7+微点(适合有一定安全知识,电脑配置较差)
微点其实就是类似嗑毛豆3之类的HIPS+防火墙安全套装。微点没有扫描功能,这是个遗憾。NOD32 2.7的正好补上。

18.NOD32 2.7+SSM+嗑毛豆2.4(适合安全知识较强,电脑配置较差)
2.7版的NOD32和3.0版一样都没有注册表防护以及完善的应用程序防护,而SSM正好弥补了。相对于很多HIPS,来自俄罗斯的SSM在资源占用方面还是做得不错的。嗑毛豆2.4也完全可以承担防护网络攻击的重任。


19.ESS+ThreatFire或EQ Secure(适合有一定的安全知识,电脑配置一般)
TF和EQ是当代智能HIPS中最杰出的代表。无论如何,TF和EQ都当之无愧。与ESS搭配时需要注意排除。另外ESS的墙需要根据自身状况好好设置一番。

20.ESS+Sandboxie沙盘(适合有一定的安全知识,电脑配置较差)
沙盘是另类的HIPS,是主动御敌于门外。ESS只承担杀毒和防网络攻击而已。


21.单用EAV或NOD32 2.7
很危险。除非你是玩组策略、沙盘、冰刃之类的高手。不是所有的人都会玩这些东西的,很多新手听到说“我也单用EAV,感觉不错”之类的屁话就傻乎乎地单用EAV了,然后自己的机子成了毒窝还浑然不知!





本文中所要用到的资源以及相关知识:
精睿 ESS & EAV 【中文商业特别版+纯净版-官方升级】
防火墙知识、资源、帮助及教程汇总索引
HIPS资源整合索引
PC Tools的产品下载
魔法盾 EQSecure网站
东方微点网站
病毒加壳技术与脱壳技术
Windows映像劫持技术(IFEO)介绍以及常用解决方案
精睿HIPS安全防护套餐第一期


术语表:
EAV=Eset NOD32 Antivirus(3.0)
ESS=Eset Smart Security (3.0)
嗑毛豆=COMODO
EQ=EQ Secure
SSM=System Safety Monitor
PCT=PC Tools Firewall
TF=ThreatFire
OP=OutPost
ZA=ZoneAlarm


与NOD32相兼容的杀毒软件列表(不定期更新):
PC Tools Antivirus
Avira Antivir Free Antivirus
avast!Home Edition
Dr.Web CureIt
AVG Antispyware 7.5




欢迎大家拍砖!

******************************************************************************************

囧,把自己的文章转来卡饭不算抄袭吧?偶在卡饭可是个新人,请大家多多指教!

谢谢!你的支持就是偶更新的动力!


                                                                                                                                   谨此献给卡饭
                                                                                                严重郁闷的SUPERODD写于2008.12.28


附赠一首NOD32之歌

评分

参与人数 1经验 +10 魅力 +2 收起 理由
吾与谁归 + 10 + 2 好文

查看全部评分

听雨轩主人
发表于 2008-12-28 22:37:14 | 显示全部楼层
沙发支持佐罗!
夏日的风
发表于 2008-12-28 22:47:48 | 显示全部楼层
你知不知你很烦的啊,这里来的人哪个需要你这样来教的。建议锁帖
asinasina
发表于 2008-12-28 22:48:05 | 显示全部楼层
建议修改下字体颜色
浅浅的看不清楚
来支持下
SUPERODD
 楼主| 发表于 2008-12-28 22:49:29 | 显示全部楼层
原帖由 夏日的风 于 2008-12-28 22:47 发表
你知不知你很烦的啊,这里来的人哪个需要你这样来教的。建议锁帖


偶哪里得罪你了?
The EQs
发表于 2008-12-28 22:52:21 | 显示全部楼层
我才发现我属于电脑盲。。。。。。。。。。很好。。。。我闪人。。。。
Beloved
发表于 2008-12-28 22:55:44 | 显示全部楼层
9.EAV+EQ Secure(或ThreatFire)+嗑毛豆2.4


comodo 2.4?

现在基本上都是3.0或者3.5了吧
ijackie
头像被屏蔽
发表于 2008-12-28 22:56:55 | 显示全部楼层
好古老的文章, 但还是顶,呵呵
SUPERODD
 楼主| 发表于 2008-12-28 22:57:42 | 显示全部楼层
原帖由 ahu2422 于 2008-12-28 22:55 发表
9.EAV+EQ Secure(或ThreatFire)+嗑毛豆2.4


comodo 2.4?

现在基本上都是3.0或者3.5了吧


是啊~
2.4岁然古董,但贵在中文...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 20:27 , Processed in 0.139442 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表