查看: 5880|回复: 20
收起左侧

[分享] HIPS冰盾之高级模板使用教程

  [复制链接]
pluto1313
发表于 2024-8-30 17:32:17 | 显示全部楼层 |阅读模式
本帖最后由 pluto1313 于 2024-8-30 22:44 编辑

HIPS在很多时候有大用,不仅仅在于安全领域。
在单步主防早已落寞的年代竟然出现了冰盾,用后才知道它有多牛逼,不仅仅体现在它的拦截点,更多的是规则编写方式又强大又简单又专业,我称之为神级一点不为过。

冰盾这个软件内置了很多规则模板,可以很方便的添加规则,没有任何一个软件比它方便,这里只介绍它的高级模板功能,里面包含了它所有的监控点。

1高级模板在哪里,如下图(没特殊需求不建议用内核模式,只拦截且不记录)


2、如下图,分别是进程防御、文件防御、注册表防御、网络防御、系统防御(也由进程防御开关控制)、增强防御的监控点。


3、以拦截加载驱动的规则举例(以前我也蛮喜欢卡巴的HIPS,但从x64系统开始,卡巴就没有拦截加驱的功能了,病毒加驱后无法无天)。
   如下图,分别点击123便形成一条规则,代表D:\Test目录下面的所有exe文件加载驱动都会被拦截。
   注意【操作者进程路径】和【实际操作者进程路径】的区别,编辑规则时通常用前者,因为像加载驱动的操作通常都是程序通过服务管理器加载,实际操作者是系统进程services.exe


4、程序员才清楚的&和||。
   "&"代表条件同时成立规则才生效,如这条规则表示D:\Test目录下面的程序试图修改Windows目录下面的文件就会被拦截,但却可以修改其它地方的文件。

   "||"代表条件成立其中一个就会生效,如这条规则表示Test或者Test2目录下的程序修改Windows目录下面的文件就会被拦截。


5、如果你非常了解API,那么可以设定详细的参数,如下图,表示程序跨进程发送了ID为10000的消息时就会被拦截,其它消息不会,强大得离谱。


上面就是原理,理解了就掌控得差不多了。


特殊说明:
1、除了增强防御以外,其它的都是内核层上的监控。增强防御是用户层Hook,它会在新程序启动的时候插入其进程中,所以如果某进程已经运行你再开增强防御,那么将对这个进程不起作用。


2、冰盾在进程保护上的设计是在打开别的进程(OpenProcess)和线程(OpenThread)的时候就拦截,这个理念比较好,以往的HIPS都是只拦截结束进程之类的,就会出现更多的恶意方式规避。


3、注册表监控点比别的软件多,比如很多HIPS无法拦截从hiv文件恢复注册表,冰盾虽然没有专门的这个保护点,但是它可以禁止打开注册表键(OpenRegKey)即阻止了此操作。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3魅力 +1 人气 +6 收起 理由
白露为霜 + 1 感谢支持,欢迎常来: )
wheyu。。。 + 3 感谢提供分享
yexo + 3 版区有你更精彩: )

查看全部评分

Hibike
发表于 2024-8-30 17:34:48 | 显示全部楼层
布尔代数(
cc118
发表于 2024-8-30 17:57:44 | 显示全部楼层
正好最近HVV下载了一个研究,感谢分享
ddxuchen
发表于 2024-8-30 18:12:53 | 显示全部楼层
感谢楼主分享
jijianan2007
发表于 2024-8-30 18:24:49 | 显示全部楼层
确实很强大,不过作为小白还是希望能够打开就用,后台智能化处理
Vincent丶007
发表于 2024-8-31 00:26:32 | 显示全部楼层
等待最新版 还有就是规则市场的规则怎么样 可以套用吗
yexo
发表于 2024-8-31 03:22:13 | 显示全部楼层
本帖最后由 yexo 于 2024-8-31 03:24 编辑

感谢楼主的分享
你开心就好
发表于 2024-8-31 09:50:39 来自手机 | 显示全部楼层
jijianan2007 发表于 2024-8-30 18:24
确实很强大,不过作为小白还是希望能够打开就用,后台智能化处理

那你就不是冰盾的目标用户
Komeiji-Reimu
发表于 2024-8-31 14:28:24 | 显示全部楼层
可以看看我这个用户名提交的文件防窃取
Komeiji-Reimu
发表于 2024-8-31 14:29:28 | 显示全部楼层
Vincent丶007 发表于 2024-8-31 00:26
等待最新版 还有就是规则市场的规则怎么样 可以套用吗

官方提交的可以看看用,Sanhu大部分的都好用,我用户名同名提交的规则也可以
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:53 , Processed in 0.122393 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表