HIPS冰盾之高级模板使用教程

pluto1313

HIPS在很多时候有大用，不仅仅在于安全领域。
在单步主防早已落寞的年代竟然出现了冰盾，用后才知道它有多牛逼，不仅仅体现在它的拦截点，更多的是规则编写方式又强大又简单又专业，我称之为神级一点不为过。

冰盾这个软件内置了很多规则模板，可以很方便的添加规则，没有任何一个软件比它方便，这里只介绍它的高级模板功能，里面包含了它所有的监控点。

1、高级模板在哪里，如下图（没特殊需求不建议用内核模式，只拦截且不记录）


2、如下图，分别是进程防御、文件防御、注册表防御、网络防御、系统防御（也由进程防御开关控制）、增强防御的监控点。


3、以拦截加载驱动的规则举例（以前我也蛮喜欢卡巴的HIPS，但从x64系统开始，卡巴就没有拦截加驱的功能了，病毒加驱后无法无天）。
   如下图，分别点击123便形成一条规则，代表D:\Test目录下面的所有exe文件加载驱动都会被拦截。
   注意【操作者进程路径】和【实际操作者进程路径】的区别，编辑规则时通常用前者，因为像加载驱动的操作通常都是程序通过服务管理器加载，实际操作者是系统进程services.exe


4、程序员才清楚的&和||。
   "&"代表条件同时成立规则才生效，如这条规则表示D:\Test目录下面的程序试图修改Windows目录下面的文件就会被拦截，但却可以修改其它地方的文件。

   "||"代表条件成立其中一个就会生效，如这条规则表示Test或者Test2目录下的程序修改Windows目录下面的文件就会被拦截。


5、如果你非常了解API，那么可以设定详细的参数，如下图，表示程序跨进程发送了ID为10000的消息时就会被拦截，其它消息不会，强大得离谱。


上面就是原理，理解了就掌控得差不多了。


特殊说明：
1、除了增强防御以外，其它的都是内核层上的监控。增强防御是用户层Hook，它会在新程序启动的时候插入其进程中，所以如果某进程已经运行你再开增强防御，那么将对这个进程不起作用。


2、冰盾在进程保护上的设计是在打开别的进程(OpenProcess)和线程(OpenThread)的时候就拦截，这个理念比较好，以往的HIPS都是只拦截结束进程之类的，就会出现更多的恶意方式规避。


3、注册表监控点比别的软件多，比如很多HIPS无法拦截从hiv文件恢复注册表，冰盾虽然没有专门的这个保护点，但是它可以禁止打开注册表键(OpenRegKey)即阻止了此操作。

Hibike

布尔代数（

cc118

正好最近HVV下载了一个研究，感谢分享

ddxuchen

感谢楼主分享​​​

jijianan2007

确实很强大，不过作为小白还是希望能够打开就用，后台智能化处理

Vincent丶007

等待最新版 还有就是规则市场的规则怎么样 可以套用吗

yexo

感谢楼主的分享

你开心就好

jijianan2007 发表于 2024-8-30 18:24
确实很强大，不过作为小白还是希望能够打开就用，后台智能化处理

那你就不是冰盾的目标用户

Komeiji-Reimu

可以看看我这个用户名提交的文件防窃取

Komeiji-Reimu

Vincent丶007 发表于 2024-8-31 00:26
等待最新版 还有就是规则市场的规则怎么样 可以套用吗

官方提交的可以看看用，Sanhu大部分的都好用，我用户名同名提交的规则也可以