石头剪刀布-HIPS的打造原来也这么简单【教程版】

zjb0923

写在前面的话  

各位莅临江民区的朋友，江民杀软一直专注技术立业，由于没有好的宣传，加之市面上杀软种类繁多，江民已非特别耳熟能详。大家普遍反映，江民HIPS不知道怎么写，容我在这里献丑一下。
本教程是写给新手，初识江民HIPS的朋友以及想尝试江民HIPS强大功能的朋友们，本教程过于简单，也是基于上述三类朋友的缘由进行的编写。当然在HIPS方面，我也是个新手，依旧在不断学习之中。
   对于该教程，其中若有错误，欢迎各位拍砖，诚恳高手指出错误，我们可以共同进步。


     最后，本人希望通过本教程，希望每个人，不管你是不是新手，都能很熟练的编写适合自己的HIPS，让我们用好江民，用好江民的核心功能。希望卡饭江民区的朋友能够自如运用，将江民区打造成技术区，大家可以共同探讨规则，互利共赢！！                                                                                                                                                                                                                                                                                                                                                      BY zjb0923


术业有专攻，对于HIPS特定的术语，为了使文章通俗易懂，全文白话+例子，希望您能一目了然，敬请原谅。
请学习的同学不要跳读，按顺序浏览
====================================================================
科普片

所谓的HIPS，目前大家普遍接受的是：主动防入侵系统，通俗讲就是主动防御HIPS。其实行为防御的基石，判断的标准是核心的规则，只要一个文件的运行，满足了你所指定的规则，主动防御就会触发，并作出规则设置的响应操作。。。

目前卡饭有很多高手都是只奔HIPS，不需要杀软了，可见HIPS的强大之处,当然这是高手的绝活，小白请别找死……

HIP一般会提到的：AD,FD,RD

AD即应用程序防护   

FD即文件防护

RD即注册表防护

我们可以在编写完规则后，加之RD进行辅佐

江民的主动防御在设置选项中，大家打开会发现一篇空白，实质上是有规则的，不过官方隐藏了，不是人人都看的到的。

你可能要问，要HIPS干吗？

我举个大家都知道的。

搜狗输入法好用不？好用，没错，词库丰富，皮肤好看，连打能打一大串，可词库在升级的时候，你有没有发现搜狐新闻的迷你页会弹出来，老给你推送，你讨厌不？

快播好用不？可是打开一段时间，右下角就冒广告，烦不？

这就需要HIPS出马了……

简单的说，HIPS就是个城管，管制软件的行为，看到不合适的行为就叫停它，让它动也不能动。

好了，说这么多，明白HIPS是什么了吧。现在让我们进入教程。

需要说明的是：江民HIPS支持通配符和环境变量，方便大家编写。

zjb0923

教程开始

目前江民提供6大类型的监控：


   当然和comodo这样的HIPS先祖是无法比拟的，但个人用户足矣。想自定义规则实战中弹窗记得勾选警报，不勾选即不通知用户。

关于HIPS动作的讲解：

忽略 与  放行不用讲解
拦截即阻止
审核 即规则触发弹窗后会通知用户，由用户来选择规则的执行


通配符知识

HIPS打造需要通配符，规则，路径。
所谓通配符就是，用来代替任意路径的符号，主要使用的是“*”和“？”，这个稍后讲
规则不用多讲，就是小学时的行为准则，要是违反这个准则（即程序触发了规则），HIPS就会采取相应的应对措施。

问号 (?) ： 用于表示任意单个字符，不能为空。
星号 (*) ：表示任意个字符，可以为空双星号
(**) ： 表示零个或多个含有反斜杠的字符

举个例子：

zjb? 可以指zjb1,zjb2,zjbq,...,但是不表示zjb    (?是一个字符）

zjb* 可以指zjb  zjbhhhhh  zjb23  zjby   这些都可以   （*代表0个或多个字符）

C:WINDOWS\**,即为windows目录下的所有文件
在这里要注意一下，如果windows文件夹里还有一个名为123的文件夹，那么C:\windws\*不包括123，这条规则可以理解为只是windows文件夹里的文件，C:\windwos\**是包含123的

这就是*和**的区别，其在路径编写的区别就是这个，而**是可以带\的，*不可以

举个例子：*\WINDOWS 匹配 C:\Windows，但不匹配 C:\Sandbox\WINDOWS


除此之外，*和**是等价的。
举个例子： **\**\abc = *\*\abc

*.* 代表“所有带.的文件”包括带.的文件夹如名为1.2的文件夹，也包括带.的文件，如应用程序（后缀为.exe)

同时江民HIPS中提供了下一级目录的勾选 所以大家可以直接使用不必依照以往写法编写了

规则编写时，一定要注意格式的匹配！！！

好了通配符的知识学习完了，大家掌握了吗？接下来还有一个必须掌握的，即优先级，所谓优先级，即哪个优先先执行谁。大家要掌握的是

绝对路径 > 通配符全路径


所谓绝对路径就是唯一的路径，如windows7中system32文件夹的路径，其绝对路径就是C:\windows\system32,  通配符路径即*\windows\system32

大家可能疑惑为什么会有绝对路径的出现？
我们在分享江民HIPS规则巩他人使用时，我们的系统是win7，可别人如果是XP，那么你用绝对路径写的别人就没法用了，比如windows7中user文件夹在XP中是documents and .... ，你把你win7中的拿给人家XP用户用，人家系统里也没有USER这个文件夹，所以这条规则就起不了作用的。

文件名规则 > 目录型规则      


如若a.exe在Windows目录中，那么   a.exe > C:\Windows


环境变量 = 相应的实际路径 = 注册表键值路径
这个后面会有一些特定的，大家重点掌握这几个就行了


对于同是目录规则，则能匹配的目录级数越多的规则越优先   
对于同是文件名规则，优先级均相同这个不用讲吧 ==

*.*比*优先


举例说明


例如cmd的全路径是 C:\Windows\system32\cmd.exe
那么，优先级顺序是：绝对路径(如C:\Windows\system32\cmd.exe)  > 通配符全路径(如*\Windows\*\cmd.exe) > 文件名规则(如cmd.exe) = 通配符文件名规则(如*.*)

==========================================================================

思考题

在规则“o:\**\*\*.*  不允许”下，下面那些文件不能被打开？

A:o:\a.exe
B.o:\a\b.exe
C.o:\a\b\c\d.exe

大家看完记得回复，可以看看你是否搞懂


环境变量

环境变量同通配符一样，具有可移植性，即编写的规则可以任人都用

以下的环境变量希望大家在规则编写中运用到，记住这几个完全就可以了
%USERPROFILE%  表示 当前用户名
%ALLUSERSPROFILE%  表示 All Users这个文件夹
%ComSpec%  表示 C:\WINDOWS\System32\cmd.exe
%APPDATA%  表示 Application Data 文件夹
%ALLAPPDATA%  表示 All Users下Application Data文件夹
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%   表示 C:
%SYSTEMROOT%  表示 C:\WINDOWS
%WINDIR%      表示 C:\WINDOWS
%TEMP% 和 %TMP%  表示临时文件夹
%ProgramFiles%  表示 C:\Program Files
%CommonProgramFiles%  表示 C:\Program Files\Common Files
*\System Volume Information\* 系统还原目录
*\RECYCLER\*    回收站

举几个例子：

假如windows文件夹下有个1.exe，我们要禁止它运行，路径编写有以下几种
C:\windows\1.exe     ?:\windows\1.exe   *\windows\1.exe   %SYSTEMROOT%\1.exe    %WINDIR%\1.exe

几个注意事项：

1.关于路径编排，理论上?:\windows\*与?:\windows是等价的，即都指任意磁盘下windows文件夹下的所有文件，但实际编排中，江民HIPS必须包含通配符！
2.通配符的编写一定要在全英文状态！
3.对于txt这些系统程序，不在规则拦截之列。究竟要怎么弄，自己开动大脑！
4.HIPS规则的编写切记要对正常文件进行放行和排除，免得误伤！

以上要讲的知识均普及完毕，剩下的就是大家实战，自己摸索了。

zjb0923

实战举例

1.c:\program files\*     进程创建，注入程序，加载远程模块  禁止   记录并拦截  这条规则的意思即c盘program files文件夹里的文件是禁止执行的

2.C:\program files\*\**  也可以写作C:\program files\*\*  进程运行 禁止  记录并拦截  其意义是指：该盘Program files 的子文件夹里的文件禁止运行

======================================

HIPS分享
（1）学会用HIPS禁止广告弹窗       

1.快播弹窗的程序为QvodTip.exe    （文件名规则）

2.酷我音乐盒弹窗程序为KwInfos.exe   

路径可以写*\Program Files\KWMUSIC\bin\KwInfos.exe

3.搜狗拼音输入法弹窗程序为SohuNews.exe      

路径可以这么写？:\Program Files\SogouInput\5.2.0.5374\SohuNews.exe

4.快车弹窗为FlashGetAdProcess.exe  

路径可以写：*\Program Files\FlashGet Network\FlashGet 3\FlashGetAdProcess.exe

（2）关于U盘病毒的编写
路径编写?:\*.*  

  进程类型为程序运行  禁止   

这条规则即禁止盘符下的程序运行，对于文件夹之类的U盘病毒绝对卡擦擦  

对于autorun.inf 的查杀，江民很灵敏，不用再定义规则，需要指出的是：并不是所有的autorun.inf都是病毒文件，所以说大家别一棒子打死
（3)用HIPS加强系统防护

**:\RECYCLE*\**

**:\System Volume Information\**

%APPDATA%   

%APPDATA%\*\

%SystemDrive%\*.*  


以上这些文件夹是不可能有程序进行运行的，大家禁止程序运行是绝对没错的

规则分享

规则名称：禁止从 Temp 文件夹执行脚本

类型：程序运行 注入模块

操作方式：拦截，记录——记得打√

指定的程序：?script.exe

操作路径：*temp*\**

规则名称：禁止在windows下创建可疑的VXD驱动

操作路径：**\windows\**\*.vxd

类型：文件创建

IE浏览器主页受保护

对应注册表项：HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Main\*Start Page*

操作方式：拦截并记录
RD在规则上的辅佐      建议!

1.安全模式防护

操作路径：

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell\*

HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Minimal\*

HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Network\*

类型:删除注册表   禁止

说明一下：这条规则是防止恶意病毒修改该键值，使用户中毒后无法进入安全模式

2.一些恶意程序会修改该值，造成任务管理器无法启动。

操作路径：      

HKEY_LOCAL_MACHINE\SOFTWARE\Mrosoft\Internet Explorer\Main\*Start Page*

建议勾选审核，如果你在编写该规则之前已经设置好以后不想被改了，可以选择禁止

3.操作路径：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearchHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\AssistantHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearchHKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Internet Explorer\Search\Assistant

禁止修改以上注册表项

说明一下：这条规则是指IE浏览器自定义搜索弹出页。恶意程序往往会改写此项，使浏览器启动时自动访问该页面。

末言

江民HIPS全部讲解完毕，希望爱江民的大家学会后，可以在卡饭江民区互相分享，互相讨论，共同完善江民HIPS。如果大家有好的HIPS设置，都会进行收纳，整理进该帖。

使用中若有问题希望大家反馈。

个人见解肤浅，所以难免会有纰漏的地方，如果发现请及时批评指正，轻拍重拍都可以，本人衷心接受，感激涕零。

breeze.deng

看到标题来学习的，期待中

小仙仙

顶一下楼主，我也是HIPS的新手（还好懂一点系统知识），懒惰到了极点，之前用comodo就是依靠我强劲的鼠标和彪悍的双手

allix

不错的好帖子，希望楼主多完善规则包和广告包。我是懒人喜欢用现成的！

allix

楼主恶意网站包能不能理解为可以拦截广告？

zjb0923

啊，是的。广告拦截均放在恶意库里了

allix

但是感觉拦截广告能力不是很好！

zjb0923

allix 发表于 2011-6-1 13:44
但是感觉拦截广告能力不是很好！

具体是什么广告拦截的不好啊