使用HIPS防御的一个小实验

fireherman

---

前言：

以一个初用者的角度来阐述HIPS的防御过程，大神、高手请别打我。

就算要打，也请不要打脸，偶是靠这张俊俏的脸孔混饭吃的。

---

我使用的是ESET(NOD32) ess 8
虽然已经有大神@renyifei 写了初级和进阶教程，但那些毕竟还是理论，所指的“实例”也不是真正意义上的“实例”，对于初接触者还是有点抽象的。

ESET使用指南1：http://bbs.kafan.cn/thread-2053173-1-1.html

ESET使用指南2：http://bbs.kafan.cn/thread-2054501-1-1.html

于是……就有了发这个“实例贴”的构思。

PS：去样本区下载是高危动作，还是让专家、大神、高手们去捣鼓比较好，要不然……玩出火就……

---

fireherman

步骤1：准备2个文本文件 MyDoc_Ex_001.txt（受保护的文件） VeeNo.bat（虚拟为“病毒”的文件；BAT是Windows系统里唯三的“可执行文件”，也是唯一的“可读的（文本格式）的可执行文件”）

打开ESET的高级配置 选HIPS规则配置

建立一个保护MyDoc_Ex_001.txt文档的规则

开始运行“病毒”VeeNo.bat文件

这次选择【允许】

受保护文件 MyDoc_Ex_001.txt 发生了改变

手动去掉新加入的内容，保存，窗口再次弹出（由于在HIPS规则里选择了【所有操作】，因此即便是手动修改文件内容也被监控） 依然选择【允许】

接下载，再次运行“病毒”VeeNo.bat文件 这次选择【拒绝】

文件 MyDoc_Ex_001.txt 受到保护，没有发生改变

这个小实验应该说是详细地阐述了HIPS的防御了吧？ 那么有比我还新手的用户问：这有什么用？说明了什么？ 如果……MyDoc_Ex_001.txt 是你的重要资料（Office文档、图片、资料库等等）…… 如果……VeeNo.bat 是一个真的病毒、木马、勒索软件…… 那么……聪明如你……应该懂了吧？

windows7爱好者

注入到系统程序里，如果HIPS默认信任系统程序，就悲剧了

cxy密斯

所以想说的就是用户手动选择那一块？讲道理，一般用户直接点允许

qftest

windows7爱好者 发表于 2016-8-29 20:33
注入到系统程序里，如果HIPS默认信任系统程序，就悲剧了

默认信任系统程序没有问题
默认信任未知程序调用、注入系统程序就悲剧了

windows7爱好者

qftest 发表于 2016-8-29 20:38
默认信任系统程序没有问题
默认信任未知程序调用、注入系统程序就悲剧了

感谢指正

qftest

windows7爱好者 发表于 2016-8-29 20:42
感谢指正

不敢当。。我只是在灌水，将你的话换个方式说出来

fireherman

cxy密斯 发表于 2016-8-29 20:35
所以想说的就是用户手动选择那一块？讲道理，一般用户直接点允许

那就不是杀软的问题了，人家都提醒你是什么程序，这个程序在干什么，这个程序指向什么。

而你却还要允许放行，只能说……太粗心。

fireherman

qftest 发表于 2016-8-29 20:38
默认信任系统程序没有问题
默认信任未知程序调用、注入系统程序就悲剧了

所以要保护系统程序“不被侵犯”啊。

为什么看到不被侵犯，就能让人联想到黄段子？

电脑发烧友

楼主所说了如果是系统程序执行操作的事情，杀软和某些HIPS都会做识别的，例如执行批处理，实际上是由explorer执行cmd，然后读取批处理内容，然后由cmd去执行相应操作，但是杀软会对行为做出相应的识别，可以准确的定位源对象。
在很多HIPS规则内对此做了针对性的保护，例如单独隔离出某些系统程序，并单独授权，用规则禁止系统程序被注入或者篡改，某些安防软件还会带有“权限继承”的机制，都可以有效预防这类事情发生。

权限继承：进程分父进程子进程之分，子进程是由父进程启动的，在本机制中，子进程会使用父进程的规则，也就是说如果父进程在安防软件中使用低限制组的规则，那么被启动的子进程也将使用低限制组的规则，即使这个子进程是受信任的或者是被拉黑的。

这是一个关机bat的三款安防软件的HIPS模块的拦截过程

火绒




卡巴




COMODO




我们发现不同的软件的拦截弹窗有所不同，事实上，这个关机bat的过程应该是explorer启动cmd，cmd启动shutdown，然后由shutdown执行关机操作，可以看出上述的三个软件都对此做了识别，并没有显示真实的执行过程。