咖啡算是HIPS吗？

dwj001

对这个一向有个疑问：不知道咖啡是几D的？算是HIPS吗？

如果用咖啡8.5企业版（+反间谍+小邪邪超级规则包）+OP4.0的话是不是就无敌了啊？还用装其他HIPS软件吗？

ETo丨小饭丨

偶加了EQ..感觉不错...

mamigo

HIPS是英文“Host Intrusion Prevent System”的缩写，我们通常翻译为“主机入侵防御系统”。
    网络的不断普及，软件系统也越来越复杂，我们一旦接入互联网就会面临黑客的扫描、网页恶意代码、病毒、间谍软件、木马、流氓软件等各种威胁。为了解决这些问题，安全厂家先后研发出了个人防火墙、防病毒等安全产品，但是在2006年，这些产品受到了前所未有的挑战：
      1、传统的个人防火墙，可以对经过本机的网络数据流量进行控制，不允许外部计算机扫描本机，同时本机只有指定的应用程序可以外出访问网络，高级些的防火墙还可以对外出访问的目标地址、端口和协议进行过滤。但是现在网络威胁已经远远不是终端机的主要威胁，黑客们更习惯在你访问某个网站时通过浏览器悄悄地下载一个恶意软件，然后想办法让它运行，进而盗走敏感信息，或者弹出广告窗口。在这种趋势下，仅简单对网络访问进行控制而不对应用程序行为进行控制的传统个人防火墙将难以应对。
    2、基于特征码扫描技术的防病毒产品面临巨大挑战。传统的、以签名（特征码）为基础的安全软件对于病毒和蠕虫的阻挡能力正受到越来越多的质疑。反病毒软件公司的病毒库都平均落后于恶意软件两个月。

    由于上述原因，安全厂家开始寻找新的解决方案，以主动防御为思想的主机入侵防御系统日渐成熟，在今天，可能只有HIPS才是能解决终端机上复杂安全问题的希望。
  HIPS软件以进程为核心，可以对进程所产生的行为，如运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调用等进行监控，并且可以向你发送行为报告，如果你阻止了某个异常行为，那么它将无法执行此行为。同时，HIPS还可以通过类似的监控手段对文件、注册表、网络等资源进行保护，防止未授权进程对其读写或扫描。由于HIPS这种可以针对行为进行控制的特性，使得HIPS可以防御未知恶意软件，你所要做的仅仅是判断未知应用程序的行为是否正常，在发现异常时及时阻止。只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。”

   AD（Application Defend）应用程序控制类
     HIPS软件最重要也是最基本的功能。在Windows系统上，应用程序的行为是造成Windows系统威胁的根本原因。
     应用程序控制功能需要对应用程序可能对操作系统带来危害的主要行为进行控制，使用户在使用HIPS后可以及时发现这些行为并及时阻止。高级些的HIPS还需要对应用程序的执行进行控制，对可执行文件的完整性进行校验。
    已知程序运行控制
    未知程序运行控制
    已更改程序运行控制
    自启动程序控制
    创建子进程控制
    打开进程控制
    DLL注入控制
    打开网络连接控制
    OLE对象控制

     FD（File Defend）文件控制类

  应用程序以文件方式存储在硬盘上，恶意程序可以通过以下两种方式获得执行权限：第一种是写入到“开始”等拥有特殊功能的文件夹，或在磁盘根目录生成autorun.ini文件执行，第二种是重写某些特殊文件，如iexplorer.exe执行。恶意程序也可以将自身写入Windows或system32等特殊目录以逃避检查。
    写文件往往是恶意程序感染才作系统的第一步，因此HIPS需要对操作系统的文件读写进行控制。这种控制包括两个方面：
    1、是对未知应用程序试图进行文件读写操作的行为进行控制。控制恶意程序直接在操作系统中释放恶意文件，很多黑客程序在开始工作时都会释放出一个恶意文件，如“熊猫烧香”会释放spoclsv.exe，“灰鸽子”会释放hacker.com.ini。
    2、是对关键路径进行保护。未知程序向Windows、Windows\system32、Documents andSettings等目录写文件都是非常危险的动作。当使用IE上网时，恶意网站会通过一段脚本造成IE缓冲区溢出，随后向指定路径写文件，这时在HIPS看来写文件的进程是IE，而IE是具有写文件权限的进程。因此在这种情况下需要对关键路径提供保护，禁止任何进程写关键路径。

     RD（Registry Defend）注册表控制类

    注册表是应用程序运行的重要入口，决定了应用程序的引导方式，如作为驱动引导、作为服务引导还是作为一般应用程序引导，引导顺序也可以指定。
    在Windows系统中预留了类似于Run、RunOnce等特殊注册表项，用以在操作系统启动时自动运行相应的应用程序
    黑客程序往往会利用某些特殊的注册表项，使得自身可以不需人为干预而自动运行，高级的黑客程序还可以将自身注册为操作系统驱动或服务，以逃避防病毒软件查杀。

   HIPS需要对操作系统的注册表读写进行控制，这种控制包括两个方面：
    1、是未知应用程序读写注册表的行为，HIPS软件应该可以及时进行控制，木马通常会在运行后将自身写入自动运行键以开启后门。
    2、是对关键注册表项进行保护，防止恶意软件通过正常应用程序以授权权限写关键注册表项。

    ND（Network Defend）网络控制类
    对网络行为进行控制，完成主机、端口过滤，对试图访问网络的应用程序进行控制。
    进方向连接控制
    出方向连接控制
    状态检测
    自身安全性类
    规则保护
    防止进程终止
    附加工具类
    设计精良的HIPS软件必须能对自身的资源进行保护，包括配置文件、关键进程等。优秀的HIPS软件还会提供类似于进程管理、系统诊断类工具，使用户可以通过这些工具发现和定位系统中存在的问题，附加工具的多少，效果如何，都在一定程度上决定了HIPS软件的可用性。

    自身安全性类
    无论个HIPS软件功能设计多么强大，如果它不能很好的保护自己，确保用户所配置的安全策略全部生效。如果一个恶意代码能够关闭、禁用或破坏HIPS，那么结果就是主机没有受到任何保护。设计精良的HIPS软件必须能对自身的资源进行保护，包括配置文件、关键进程等。
    规则保护
    防止进程终止

    附加工具类
    优秀的HIPS软件还会提供类似于进程管理、系统诊断类工具，使用户可以通过这些工具发现和定位系统中存在的问题，附加工具的多少，效果如何，都在一定程度上决定了HIPS软件的可用性。



常用的HIPS主动防御软件
国外的
SNS(Safe'n'SecPersonal)-AD+FD+RD
SSM(System Safety Monitor)
PG(ProcessGuard和PortExplorer)--AD+RD
GSS(Ghost Security Suite)--AD+RD
SS(SafeSystem2006)--FD
国内的
微/点主动防御软件
中网S3主机安全系统

一些常见的HIPS软件和它的官方网站
DefenseWall - http://www.softsphere.com
BufferZone SAE/Home/Pro - http://www.trustware.com
GreenBorder - http://greenborder.com
Virtual Sandbox - http://www.fortresgrand.com/products/vsb/vsb.htm
VELite - http://www.secureol.com/
SandBoxie - http://sandboxie.com
RunSafe - http://www.runsafe.com
Privacyware Dynamic Security Agent - http://www.privacyware.com
Ghost Security Suite - http://www.ghostsecurity.com
GesWall - http://www.gentlesecurity.com/
Process guard - http://www.diamondcs.com.au/processguard
System safety monitor - http://syssafety.com
winpooch - http://sourceforge.net/projects/winpooch
winpatrol- http://www.winpatrol.com

文件保护类:
Parador - http://www.e-securion.com
SafeSystem - http://www.gemiscorp.com/english/main.html

[ 本帖最后由 mamigo 于 2007-6-26 18:03 编辑 ]

mamigo

    测试产品的选择（均下载自官方网站）
    Safe’n’Sec Personal（SNS）
    System Safety Monitor（SSM）
    CA Host-Based Intrusion Prevention System（CA HIPS
    ProSecurity
    Ghost Security Suit（GSS）
    Winpooch

    中网S3主机安全系统
    微点主动防御软件
    EQSecure

    测试范围
    应用程序控制AD、文件保护FD、注册表保护RD、网络访问控制ND、自身安全强度、易用性以及实际使用环境等角度制定了测试计划，其测试对象如下：

    安装及运行类
    安装速度及容易度、磁盘容量需求及内存需求
    运行效率
    产品是否易于使用
    系统稳定性

    实际环境挑战
   为了更加真实地模拟HIPS的实际使用环境，笔者除了进行上述功能测试外，还进行了渗透性测试、病毒及流氓软件样本测试、恶意网站测试三类实际环境测试，这些实际测试综合考察了一个HIPS产品各个方面的功能，从更加客观的角度描述了HIPS产品在实际防御黑客攻击时所能起到的作用

    专用工具渗透性测试
     渗透测试是一种无害测试，测试程序通常由安全专家或独立的安全评测机构编写，这些测试程序试图故意跳过主机安全工具的检查。这种测试的理念是：“如果这些工具采用的技术能够通过您计算机上的安全防护，那么黑客也一样可以利用这些技术”。
     渗透工具本身并不具有任何破坏力，他们只是为了让您能清楚地知道自己所安装的主机安全工具能够提供哪些功能，这些工具的安全防护是否彻底，安全模型是否有效。在本次测试中，本人精选了8个渗透性测试工具，它们基本涵盖了目前流行的攻击手段，如下表：

    Leaktest
     LeakTest会尝试伪装自己并通过本地计算机的80端口（HTTP）访问grc.com网站，通过这个工具可以测试HIPS是否可以对产生出方向流量的应用程序及其访问网络的行为进行控制。

    Tooleaky
     Tooleaky工具试图通过进程间访问调用IE并访问grc.com网站。这个工具可以测试HIPS是否具有进程间访问控制功能。通过一个隐藏窗口调用IE访问一个已经在程序内预先设置好的地址，HIPS会认为这是一个合法访问。

    Firehole
   在通常使用情况下，IE总是被默认设置为具有至少80端口的访问权限，因此恶意代码总是会希望借助IE浏览器获取访问网络的权限，为此他们会采用改名、进程间调用等方式，但是这些方式往往容易被发现。最近流行的方式为挂接系统钩子，firehole就是采用这种技术。
     Firehole在执行时会从自身释放出一个firedll的dll文件，这个dll文件具有钩子功能，可以操作IE带出数据，filehole通过这个钩子访问指定地址的80端口。

     Copycat
    Copycat是一个进程注入型工具，它可以在不产生新线程的条件下直接将自身注入IE浏览器，进而借助浏览器泄漏数据。Copycat在执行时会使用一个已经运行的IE程序，注入成功并泄漏后会在C盘根目录下生成一个名为exploited.txt的文本文件。

    Pcflankleaktest
   Plflankleaktest通过了对象链接与嵌入（OLE）技术完成对IE的控制，操作IE行为并泄漏数据。OLE是一种Windows系统特有的技术，它允许将一个程序嵌入到另一个程序中，使得嵌入程序拥有与被嵌入程序相同的权限。通过测试可以得出，嵌入后进程将只有被嵌入进程一个，这使得其难于被发现和检查。

    Wallbreaker
   Wallbreaker同样是一个进程间调用的工具，不过它比Tooleaky更复杂。Wallbreaker提供了一个测试工具包，它用了一系列混合的方式来做进程间调用，包括通过隐藏窗口方式和命令行方式，同时它还可以控制自己的父进程explorer调用IE。
   
    Jumper
     Jumper会释放一个jumperleaktest_dll的dll文件，然后修改注册表，使得IE在下次启动时调用上述dll，当dll加载后会按照dll中写入的URL地址泄漏信息。这种方式经常被流氓软件使用，造成修改首页和弹出窗口等问题。
   
    Pcaudit
     pcaudit在执行时会从自身释放出一个名为cole32s的dll文件，这个dll文件具有钩子功能，可以操作IE带出数据，cole32s通过这个钩子访问指定地址的80端口。

     病毒及流氓软件样本测试
     病毒样本：熊猫烧香
     流氓软件样本：CNNIC上网助手
    项目名称 产品名称：SNS SSM CA HIPS ProSecurity GSS Winpooch 中网S3 微点 EQSecure
    安装及运行类
   安装速度、容易度 √ √ √ √ ○ √ √ √ √
   磁盘及内存需求 √ √ √ √ √ √ √ × √
   系统资源占用 √ √ ○ ○ √ √ √ ○ √
   是否易于使用 √ × √ ○ √ × √ √ ○
   系统稳定性 √ √ √ ○ ○ √ √ ○ √
   使用手册，在线帮助 √ ○ ○ √ ○ × √ √ ○
    AD
   已知程序运行控制 √ √ √ √ √ × √ × √
   未知程序运行控制 × √ √ √ √ × √ × √
   已更改程序运行控制 √ √ √ √ √ × √ × √
   自启动程序控制 ○ ○ ○ ○ ○ ○ √ × ○
   创建子进程控制 √ √ √ × √ × √ × √
   打开进程控制 × × √ × × × √ × ×
   DLL注入控制 √ √ √ √ √ × √ √ √
   打开网络连接控制 √ √ √ √ √ × √ √ ×
   OLE对象控制 × ○ √ × ○ × √ × ×
   FD
   文件保护控制 ○ × ○ √ × ○ ○ × ○
   RD
   注册表保护控制 ○ ○ √ √ √ ○ ○ × √
   ND
   进方向连接控制 √ × √ × √ × √ ○ ×
   出方向连接控制 √ × √ × √ × √ ○ ×
   状态检测 √ × √ × √ × √ ○ ×
   自身安全类
   规则保护 √ √ × √ × × √ √ √
   防止进程终止 √ √ × × ○ ○ × × √
   附加工具类
   附加工具是否足够 一般 不错 不错 少 少 一般 不错 不错 少
   渗透性测试
   Leaktest √ √ √ √ √ × √ √ ×
   Tooleaky √ √ √ √ √ × √ × √
   Firehole ○ √ √ √ √ × √ × √
   Copycat ○ √ √ √ √ × √ ○ √
   PCFlank × × √ × × × √ × ×
   WallBreaker × √ √ × √ × √ × √
   Jumper √ √ √ √ √ √ √ × √
   pcaudit √ √ √ √ √ √ √ × √
   病毒、流氓软件、恶意网站测试
   熊猫烧香 ○ √ √ √ √ × √ ○ √
   CNNIC上网助手 √ √ √ √ √ √ √ × √
   总评
   评价级别 ★★★★ ★★★ ★★★★☆ ★★ ★★★ ★ ★★★★ ★ ★★★


   印象最深的产品
     通过这次测试，我们对市场上HIPS产品有了一定的了解，其中3款产品给我们留下了深刻印象。

    CA Host-Based Intrusion Prevention System
    CA HIPS是本次测试中当之无愧的第一名，无论在产品功能上还是在实际测试环境中都表现出了优良的品质，这与Tiny多年的个人防火墙积累和CA高超的产品质量控制有关，CA收购Tiny是明智之选。
     特别值得指出的是，在pcflank（OLE行为）的测试中，仅有CA和中网S3顺利通过测试。CA HIPS也同时拥有丰富的预置规则，还为企业用户提供了管理平台，各种控制规则的颗粒度非常细，可以对计算机进行精确的保护。
     唯一遗憾的是，目前还没有中文版本，HIPS软件本身就具有很高的复杂度，再加上语言差异，可能会把广大国内用户挡在门外。笔者自认为英文不错，但是有些地方还是花了很长时间才搞定。但是如果您英文不错，又有一定专业知识，CA HIPS本人重点推荐。
     之所以将CA HIPS的评价定为4星半，除语言原因外，自身安全性不足也是一个重要问题。

    Safe’n’Sec Personal
     “大犀牛”是SNS的代名词，在笔者测试的这段时间里，SNS是唯一让我感到惊讶的产品。
     在整个测试成绩，特别是实际测试环境中，SNS只能说是不算坏，这恐怕与其预置规则有关。在将SNS与CA进行比较时，发现两者在规则颗粒度上几乎一样，拦截的系统函数也差不多，可是由于测试是在默认安装下进行，SNS没有表现出应有的水平。
  在用户界面上，SNS有着几乎完美的软件界面和产品形象，“大犀牛”甚至在卸载时还有将犀牛装回箱子的图片，让人感觉软件整体性非常强。此外，SNS还在同一界面中提供了傻瓜模式和专家模式，傻瓜模式下用户几乎不用做什么动作，使用非常容易。在专家模式下，SNS也将强大的功能用逻辑性很强的界面表现了出来，使高级用户更加容易上手。
     HIPS之所以没有普及是因为使用复杂，SNS在界面工程上进行了很多有价值的探讨，它将直接影响整个HIPS产业的推广。

   

    HIPS未来趋势
    删除，先用着再说吧！！

（冷眼看安全出品，转载注明出处：http://blog.sina.com.cn/lengyansec）



看看就行了，别当真！




[ 本帖最后由 mamigo 于 2007-6-26 18:04 编辑 ]

mamigo

    所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.
   但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)!上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大,就不拿到这里来说了


    下面我就这些方面做个相对比较简单的介绍吧！
    SSM(System Safety Monitor)
    因为我比较喜欢这款： 商业版免费版 注册表监视： 高级 基本过程监视：高级 基本底层磁盘访问控制：有 无底层键盘访问控制： 有 无 NT服务监视： 高级 基本 IE设置跟踪：高级 基本用户程序友好对话： 有无优先支持： 高 低开发优先： 高 低 Win9x支持： 无 有
    SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类好像也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是否允许该项操作，虽然说确了个FD功能，不过我觉得对个人用户来说已经相当足够，起码我已经有半年时间未中毒插马了--当然，如果你还是不放心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一觉得不爽的可能就是早期使用比较繁琐，毕竟什么东西的运行都要选择允许还是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议还是先全部运行一遍所有的你要经常用到的东西就可以了，占用资源也还可以，一般是一个进程10M左右，cpu基本没感觉.我给SSM打90分

    SNS(Safe'n'Sec Personal)
    他是唯一3D的哦，它建立在行为分析的基础上，有最先进的预先侦查系统，可以防止病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大突破。同时，快速安装，易于操作的界面，和反病毒软件和个人防火墙极好的兼容性，智能的决策技术，最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力--汗，这个是官方介绍，我自己觉得是相当的牛了，不过我自己还没有用过--这是全英文版本英语太菜，而且没有破解(专业加密公司出品，想破解难度好大的)，在网上看过测评，据说是比GSS+SS还要牛的.我给SNS打95分再下来就是GSS(Ghost Security Suite)，其实用的时间并不是很长，可能没有多大发言权，不过我个人不是很喜欢这款，因为貌似不太稳定，在运行大型游戏的时候，似乎CPU容易飙升，这个不少人如此，不知道是不是此软件本来就是如此，但是GSS还是相当不错的--简单明了，有自己的操作模式，不如SSM来的细致繁琐，但是也是相当安全，特别是在配合SS使用之下.不过最不爽的是容易被任务管理器干掉，我昏，而且长时间没有更新了，不知道搞什么！不过话说回来，现在网路广泛流传的 GSS亚尔迪破解版还是很不错的.我给GSS打88分，GSS+SS打92分

    Winpooch
    因为没有用过，所以就只能借用别人的话来说了，相对GSS而言，无疑，GSS的稳定性比 Winpooch略强，但是GSS的规则添加到500条左右的时候就会变得很慢，而且GSS只能监控注册表，但是，Winpooch不只可以监控注册表，还可以监控文件的读取、写入，还可以监控网络连接，而且目前Winpooch已经有600多条规则了，对系统的影响还是很小，软件推荐给你了，好不好用还得你自己测试才最实际。

    最后简单说下PG和SS，SS规则完善但不够稳定，PG简单稳定，大致上PG感觉和SSM以及GSS差不多，就看用户个人喜好了~~~



以上咨讯来源网络收集，不代表本人观点！！











[ 本帖最后由 mamigo 于 2007-6-26 17:40 编辑 ]

dwj001

楼上的好像答非所问。

mamigo

咖啡2D！！！
多一个D，可以变成3D MAX

[ 本帖最后由 mamigo 于 2007-6-26 18:08 编辑 ]

mamigo

今夜你会不会来，我的爱还在不在！

[ 本帖最后由 mamigo 于 2007-6-25 22:08 编辑 ]

mamigo

原帖由 dwj001 于 2007-6-25 21:58 发表
楼上的好像答非所问。

还在找资料，应该解答了！

thelord

mamigo真勤奋啊，把楼主淹没在资料的海洋里无法自拔了