*****ThreatFire与HIPS选择的终级指南*****

satellite4080

此贴来源于我发部《V3 HIPS的智能替代品》一贴。是给Comodo Firewall V3用户关于Defdnse+（即HIPS）使用的解疑！！
  问题：V3的HIPS安全强度不是ThreatFire能替代的。
  首先这句话是真命题，在正确的。只不过是有前题的，那就是最重要的人为因素！
  要想使那句话成立，你必需具备以下专业知识：
1.操作系统方面基础的知识，特别是系统安全方面的知识。这是使用HIPS的基础。
2.程序设计与编程方面的知识，这样你就知道什么类型的软件应该具备什么样的软件行为，应该不应该和什么时候应该具有钩子行为，线程注入行为，调用系统的那些模块等。（判断合法的行为进而放行）
3.恶意软件（病毒木马等）的程序的了解。你应该对恶意软件的基本行为特征应了如指掌，最好对最新病毒编程的技术动态有所了解。要不怎么对付日新月异的新病毒呢？（判断非法的行为进而阻止）
4.经验。用户必需有足够多的用HIPS阻止病毒的经验。
  这样HIPS在你手中才是斩妖除魔的利器，但绝对不是像传说中的那样，HIPS高手可以不装杀毒软件（不要说你相信）。当然你会说现在的HIPS还是很智能的，给您风险等级的提示。那样不就具有ThreatFire最初级的智能功能吗，有高级的不用用初级的？
  而ThreatFire是有这样一群专业的反病毒专家，帮你判断。虽然使用的是通用的行为判断标准，但公司从来没有停止过对软件的完善。当然有HIPS高手在使用时HIPS时，安全性超过ThreatFire这样的智能软件。问题是你是不是超过专业反病毒专家制作的ThreatFire那一类？
  给您一个自己的判断标准：1.进行双盲试验。也就是在你不知道这个程序是否含有病毒时或一个看似安全的软件时，你做出的反应。（当你知道你眼下程序含有熊猫烧香时，连傻子都会狂点阻止）。当然当你打开一个网页时，网页修改你的注册表，被你发现阻止了。像这样的低级行为连防火墙和杀软都会帮你阻止，还用的着你的HIPS?使用HIPS的高手可以作作试验看看能不能干过TF，前题是双盲！
2.根据以往的使用经验。看看自己有多少次成功阻止的例子呢？
总结：HIPS真的不是民用级的安全程序。会用的人多了去了，而能用好的人，真正发挥作用的人就少之又少了。即使你能达到ThreatFire的安全级别，而你为此花费的时间和精力也是不少的，有些得不偿失，况且你还要为此啃枯燥无味的专业书籍。Comodo的Defdnse+还是带有些智能性的，而简单易用就是Comodo所追求的目标。那不正是ThreatFire所达到的智能高度吗？
  目前笔者所知道的这样的软件还有中国的微点杀毒软件，但是是收费的，是定位于独立的杀软所以跟很多安全软件有冲突。ThreatFire是基本上是免费的，软件在设计时就考虑了好其它安全软件的兼容性问题，TF定位于特征码杀软的互补，重点是对新病毒的预防。CUP,内存的占用很满意！！！
与下列安全软件合用的安全效能增加的百分比！！！

  官方网站：http://www.threatfire.com/

[ 本帖最后由 satellite4080 于 2007-12-20 15:27 编辑 ]

baerzake

程序设计与编程方面的知识

我对此一无所知。

TF对新手来说确实很好用，虽然有误报，虽然有漏报。如果和杀软无补是不错的选择。不过楼主始终在宣扬HIPS或者comodo不适合新手用，不知什么用意？首先comodo的D+本来就是设计来给普通用户用的，有预置规则，对不同类型软件有不同预置规则，你只要对号入座就行。如果没有也可以自己设置下，不明白怎么会狂点允许？另外如果说简单易用有比TF更简单更好的，TF使用默认不够强大，自定义规则比HIPS还麻烦，当然一般使用用TF也可以，但是你说用来替代comodo我始终不能苟同，你说替代杀软我还能同意。

baerzake

PS：comodo对熊猫这种病毒直接启发报毒

建议你看看http://bbs.kafan.cn/viewthread.php?tid=160007&extra=page%3D2

还是那句话，用过comodo再来评价

某某猫

好多错字
COMODO的预置规则并不麻烦

satellite4080

我明白现在的HIPS带有智能性的，但智能性很初级。但更高级的智能性的HIPS不就是TF吗？
如果你觉自己的HIPS用的好的话。那就做双盲试验。看能不能干过TF?

[ 本帖最后由 satellite4080 于 2007-12-19 19:57 编辑 ]

baerzake

什么叫双盲？ 不管什么程序我只要把它加入相应规则组就可以了，如果是我不认识的可以加入隔离组，它就是病毒也没用。TF和comodo搞双盲？怎么不和红伞搞？能搞过红伞再说。

baerzake

给你个东西看看TF报不报，记录键盘输入的，盗号木马常用的技术。这个是测试软件，不是木马，放心测试。

satellite4080

一个是特征码分析，一个是行为(基于HIPS)分析。从本质上是没法比的。但你可以用微点和小红伞比比试试。TF定位于特征码杀软的互补，重点是对新病毒的预防。微点则是定位于独立的杀软。所以可以一试。
无论你用HIPS也好，用TF也好，用这些行为分析的安全软件不就是要一个使系统更安全的结果吗？（特征码分析杀软所不能有效查杀的新病毒）
最终选择权都在你们自己手里，我只是发表自己的看法。看法我本人不能保证完全正确。（有谁敢保证呢？）

双盲一词来源于音响HI-FI领域。是用来鉴别音质真伪的（心里作用 与 实际效果）。

[ 本帖最后由 satellite4080 于 2007-12-19 20:18 编辑 ]

夏春秋

如果遇上恶意网页，TF一类很可能要到木马下载到硬盘有所动作时才会阻止，而IE浏览器可能已经遭到了恶意修改，而HIPS可以御敌于国门之外，你说哪个安全性更高？

startt

我都不懂啊，学习学习！！！！！！！！！