新HIPS的一点想法

显示全部楼层 · 发表于 2021-10-27 20:56:23

安全工具区发不了么？暂时发这里。请版主移动。

HIPS曾经风光一时的东东，现在都沉了……
如果新系统win11普及，有新的HIPS工具的话，应该怎么走？
个人觉得或许可以这样：
1、发展沙盘战略，虚拟隔离为主——凡是新来的程序（不管是网络还是U盘），一律虚拟隔离（划分一个虚拟空间给它折腾，所有行为都限定在虚拟空间内）。用户确认无害，云检查无害的，可以另行配置为实机运行。为了不影响正常应用，系统更新补丁，常用软件的更新程序，自动排除。
注：为安全计，所有脚本文件、批处理（包括风头正健的ps1文件），除系统自带的外，一律自动虚拟隔离执行。
2、文件保护，限定访问。
（1）凡是虚拟隔离的程序，默认配置，一律不得访问非系统盘（读写文件）。
（2）设置文件保险。重要目录，只允许指定的程序（用户设置）访问。最好细化，每个保护目录，分别设置允许程序，不要一股脑地全部弄一块。
3、强化限制——虚拟隔离的程序，不可以实机访问其它进程的内存，它要调用其它程序，比如浏览器之类，只能在虚拟空间内执行程序镜像。为了降低损失，防止木马，默认配置，不允许虚拟空间内运行的程序及调用的程序访问网络。
4、加强隐私管理。重要程序（比如浏览器）的缓存与访问历史，除同类程序与安软及必要的系统程序外，不允许其它程序访问。
6、如有必要，对系统重要文件与目录，执行特别保护（只允许有合法签名的指定程序访问），更进一步，包括磁盘引导、BIOS也执行保护。
7、额外功能，U盘使用，文件读写，文件复制等执行保护限制——这些属于额外的功能，加不加关系不大，看需要。

简单一句话，未知程序虚拟隔离，重要的东东执行保护，目的明确，配置也简单，对于制作HIPS的厂家与高手来说，应该不难。
个人觉得，这应该是未来HIPS发展的一个重要方向，配合云端审查，容易实现一定的智能化。

显示全部楼层 · 发表于 2021-10-27 21:22:19

本帖最后由 a8855942 于 2021-10-27 22:11 编辑

沙盘还是不错的，所有新程序是个好办法。不过也有反虚拟机的病毒。知道大蜘蛛的勒索模块么，微软都不能调用，只要删文件就会阻止必须手动排除。毛豆跟ESET HIPS的确厉害。云的确还是有用的，熊猫国内有一个可以打开不识别的程序全部手动允许，卡巴斯基老版本有一个受信任模式，打开后所有程序阻止手动允许，21版的卡巴就没了。

显示全部楼层 · 发表于 2021-10-27 21:39:26

本帖最后由杀软综合狂于 2021-10-27 21:51 编辑

传统HIPS衰落很正常
现在的桌面生态已经逐渐互联网化云端化了，这意味着会不停的有新功能的加入，本地客户端的更新日益频繁，传统的单一的规则很难满足这种多变的云环境。
现如今就连Windows每个月都在更新，BIOS、驱动程序也都会自动更新，传统软件已逐渐转变为服务。
我预言未来了HIPS将是由AI和云大数据驱动的，即由机器自己识别判断一个程序是否是威胁，人工无需任何干涉。另外，传统的杀毒软件也将会越来越被边缘化，即变为一种增值服务
随着混合办公模式的兴起，人们不再只拥有一种智能设备，而是多种设备，多个平台，多个生态，因此最好的结果是，杀毒软件将作为一种服务被内置在设备里，人们不需要去关注自己安装了哪款杀毒软件，而是自己购买了哪种设备，拥有哪种服务。
总而言之，对于消费者市场来说，安全已不再是一个值得关注的话题（虽然它仍旧是必不可少的），相对于安全来说，协作、交流、开源、跨平台才是促进生产力发展的新动力。

显示全部楼层 · 发表于 2021-10-27 21:39:32

本帖最后由心心相印于 2021-10-27 21:40 编辑

bdgz就有这些功能，数字有核晶防护，eset也有hips。你说的这些，迈克菲mes也可以指定规则。

显示全部楼层 · 发表于 2021-10-27 22:27:51

杀软综合狂发表于 2021-10-27 21:39
传统HIPS衰落很正常
现在的桌面生态已经逐渐互联网化云端化了，这意味着会不停的有新功能的加入，本地客户 ...

万物互联

显示全部楼层 · 发表于 2021-10-27 23:17:33

HIPS啊，SSF/SSP啊。。

显示全部楼层 · 发表于 2021-10-28 00:43:01

杀软综合狂发表于 2021-10-27 21:39
传统HIPS衰落很正常
现在的桌面生态已经逐渐互联网化云端化了，这意味着会不停的有新功能的加入，本地客户 ...

机器自己识别判断一个程序是否是威胁，这就是现在杀软用的启发式引擎，但是启发式永远都代替不了传统HIPS，因为启发式引擎不能保证不出错。
至于系统自带的杀毒引擎，其实也够用的，但是一般只是严重阉割版的360或者腾讯管家。

我认为HIPS没落的原因是现在的整体互联网环境已经趋于安全化了（相对于我们普通民众来说）
网安人员帮我们挡下了几乎所有的网络攻击
还有现在的浏览器，大多采用chromium，浏览器也变得很安全，HTTPS也普及了。
网络环境好了太多太多。

显示全部楼层 · 发表于 2021-10-28 07:45:35

杀软综合狂发表于 2021-10-27 21:39
传统HIPS衰落很正常
现在的桌面生态已经逐渐互联网化云端化了，这意味着会不停的有新功能的加入，本地客户 ...

微软聪明啊，内置杀毒软件，WIN11可以运行安卓程序，收购开源平台github，成立了“云计算和人工智能”平台等
比当年谷歌搞安卓的时候的微软聪明太多了

显示全部楼层 · 发表于 2021-10-28 07:52:47

说的很好，但是没用，下次不许再说了

显示全部楼层 · 发表于 2021-10-28 09:37:36

智能化的HIPS不就成了单步主防了，类似360这种的。

[讨论] 新HIPS的一点想法