说说国内智能HIPS的自动处理和智能化

BHHZDQL

很多人说国内的智能HIPS就是本地HIPS+白名单+黑名单，可是真的是这样么？
我就拿安装的360安全卫士做说明智能HIPS的必须具备的几点

1.自动阻止某些攻击

2.智能的DLL和进程关联分析
能判断一个程序启动了哪些DLL，或者是到底是哪个进程启动了某些安全进程，并对其进行判断
比如数字拦截动态连接库劫持

3.对同一进程的相同行为不进行多次提示
阻止某程序的一个行为后，会自动阻止其余相同行为，对于到一定可疑度的程序甚至能直接阻止高风险行为
4.能判断程序的行为有没有危害
不会一修改注册表就弹窗，不会一删除文件就弹窗，只会在程序的行为有风险或有危险的时候弹窗提示，能评估该行为的后果
5.用户直接按确定就能保护安全

而对于智能HIPS和所谓智能主动防御的优缺点

1.智能HIPS不会随便将程序报为“未知木马”（微点就曾有将某安全的内存不能为read修复工具修复过程中报为木马的先例）
2.能有效对付几乎大多数木马病毒，并对木马病毒新增手段没有任何的防护压力，没有技术瓶颈（微点目前卡在ROOKIT和灰色软件上了，带ROOKIT的木马对付国内两大智能HIPS上是压力很大的，但对付多步主动防御，压力很小，并且多步有大量的技术瓶颈）
3.在样本有大量的无用行为时不会打扰用户（如果木马不进行有风险或危险的行为，而单纯的写注册表，写文件，删文件，智能HIPS不会进行任何弹窗，完全不存在所谓的每一步都弹窗警告 而不进行综合分析的说法）

baiyangui

沙发~ 围观~~

footman

表示装原版office2010的时候卫士智能的阻止了一些注册表的写入

BHHZDQL

footman 发表于 2012-3-18 09:59
表示装原版office2010的时候卫士智能的阻止了一些注册表的写入

表示阻止后肯定不会影响正常使用

footman

BHHZDQL 发表于 2012-3-18 10:00
表示阻止后肯定不会影响正常使用

大概要点十几个忽略才能安装或者要关闭卫士的自保...

BHHZDQL

footman 发表于 2012-3-18 10:02
大概要点十几个忽略才能安装或者要关闭卫士的自保...

首先，我得怀疑你安装的OFFICE是什么版本，现在能否重现
再次，当时安装的卫士是什么版本

peter08

还有保镖和下载保护的联动也算智能的

footman

BHHZDQL 发表于 2012-3-18 10:04
首先，我得怀疑你安装的OFFICE是什么版本，现在能否重现
再次，当时安装的卫士是什么版本

百度一堆...

http://www.baidu.com/s?tn=siteha ... 360&inputT=4194

远源长流

安装软件会有很多弹窗，不过大部分都是默认允许的吧，点确定就行。。。

-oAo-

说得好像是喔，不太懂