系统入侵防御热身篇----AppDefend使用介绍

huai168an

记得我的那三篇“杀软拍档”系列的fans就知道吧，介绍的都是利用hips（主机入侵防御系统）的很小部分功能来完成防御可能未知的恶意软件，在第一步就遏制程序的运行，它们的防范效果其实很不错的，虽然有的是“山寨”，有的大家也听说过。对于杀软辅助的安全软件太多了，如何来配杀软，这个就要看自己的安全意识了，如果全部是“病毒库”防御查杀，那是永远的换汤不换药，永远的被杀软牵制着。用什么来弥补“病毒库”的滞后呢？对，就是系统防火墙了，监视程序的运行等一系列的动作，给出相关提示来允许或阻止的软件。当然系统防火墙软件的种类很多，各个软件的功能差异性较大，如果使用较全面或复杂的，fans可能没有兴趣或去HIPS区了。这里我要介绍的就是一个可以热身级或者说轻量级的系统入侵防御软件，fans可以通过它来了解学习掌握基本的此类软件的原理和使用方法。

OK，我们来看下appdefend的情况，appdefend是Ghost Security Suit(官网地址http://www.ghostsecurity.com/)的一个产品，早期有regdefend软件(现在还有)，单纯的监视注册表的主动防御软件，而appdefend已经加入了应用程序的防御，也就是我们所说的AD+RD了（AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系）。当然appdefend的这些功能还不是很完善，也没有FD，不过对于我们普通用户来做学习HIPS的简单入门软件，和配合杀软使用来弥补“病毒库”的不足，那是很不错的。再者appdefend的用户群也是很多的哦(或许在国外流行，呵呵)。

说多了，看下appdefend官方的简单介绍

AppDefend is a protection system for Windows, saving you from zero day exploits and other

hacker activity. It uses advanced technologies not found in any other software.

AppDefend adds a significant number of different and valuable protections to your computer.

With AppDefend installed you have complete control over priviledged actions occuring on your

computer.

Network Access
Rootkit Installations
Blocks all leaktests
Process Creation/Execution/Modification
Thread and Process termination
Thread Context Changing
Direct Physical Memory Access
Global Hooking (keyloggers)
Remote Thread Creation
Thread and Process Suspension

Malicious software uses at LEAST two of the above items to run and infect your system, some

even use all of them. When a virus, trojan, worm, spyware, adware, etc runs on your system,

AppDefend will alert you to it.

大意：appdefend是一款为windows提供保护并保护系统免受零天攻击与其它黑客行为的软件。它使用的高级技术
在其它软件中没有被发现。
appdefend在您的电脑上增加了相当数量的不同和有价值的保护。安装该软件后，您可以完全控制发生在
您系统中超越特权的行为。

网络访问
rootkits安装
阻止所有渗漏
进程 创建/运行/修改
线程和进程的终止
线程环境的改变
直接物理内存访问
全局挂钩（键盘记录程序）
远程线程创建
线程与进程的挂起

恶意软件使用至少两种以上的行为运行和感染您的系统，更有甚者使用全部的行为。当一个病毒、木马、
蠕虫、间谍软件、广告软件等等在您的系统运行时，appdefend将提示您。


好了，下面就开始正题吧
appdefend的安装和相关信息


任务栏图标和占用资源情况



看下无聊的注册提示



下面看下主界面和各个功能界面的大致情况












主界面的默认颜色很cool，呵呵。界面简单易懂，因为功能不是太多，所以也可以很快入门。


接着瞧下主打功能 appdefend






其实界面也很简单的，对于fans可能有点难理解的地方就是程序的运行权限了，不要恐惧，理解意思就OK
了。
我们来看下部分appdefend的提示，看下有啥可以利用和学习的























上面的给出的部分当然是恶软可能使用的招数，当然对于explorer调用运行其它程序是个普通现象，要把
握的就是被调用者的情况。更让我们关注的几个动作也就是：rootkits driver、terminate、process
modification、physical memory（这个大多数软件可以直接禁止掉）、keylogging（这个没找到例子，
抱歉啊）。对于无法理解的可以暂时放下，先用着，慢慢的去理解学习（我也不是全理解，半瓶水，嘎嘎~~）

下面就是对部分程序或规则进行简单的强化（注意：此操作在系统中的程序都已经有相关规则的情况下，基本方法就是一个一个的点击，因为不支持通配符。。。否则可能出现问题）







在浏览网页时一定要留心突然跳出的调用程序，创建进程的弹框。。




举个允许的例子




举个阻止的例子






如果cmd权限的第一项execution 为block，那么将无法调用如何程序。

下面提供一些可以阻止系统自动程序，对普通用户而言，用不到的，禁止是有利而无害的，及时临时出现状
态，看下日志，删除对于规则就可以了

c:\windows\system32\cmd.exe  （这条看个人使用情况了）
c:\windows\system32\ntvdm.exe
c:\windows\system32\attrib.exe
c:\windows\system32\cscript.exe
c:\windows\system32\wscript.exe
c:\windows\system32\mshta.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\regedit.exe  （注册表编辑器，个人爱好）
c:\windows\system32\regsvr32.exe
c:\windows\system32\taskkill.exe
c:\windows\system32\at.exe
c:\windows\system32\sc.exe
c:\windows\system32\format.com
c:\windows\system32\debug.exe
c:\windows\system32\Cacls.exe
c:\windows\system32\command.com
c:\windows\system32\conime.exe
c:\windows\system32\net.exe
c:\windows\system32\net1.exe
c:\windows\system32\netsh.exe
c:\windows\system32\netstat.exe
c:\windows\system32\telnet.exe
c:\windows\system32\tftp.exe
c:\windows\system32\tasklist.exe
c:\windows\system32\diskpart.exe
c:\windows\system32\mmc.exe
c:\windows\system32\ntsd.exe
c:\windows\system32\schtasks.exe
c:\windows\system32\replace.exe
c:\windows\system32\drwatson.exe
c:\windows\system32\drwtsn32.exe
c:\windows\system32\shutdown.exe
c:\windows\system32\ftp.exe

添加方法看 主界面说明那块吧

appdefend功能就到这里，接着看下regdefend的功能吧




给几张部分提示说明
其实这个就是把握好几个关键英文单纯，如add create delete ，可能还有read  等等很简单的词汇，鸟
文不一定精通，知道相关的经常出现的就OK了。








看下要注意的小地方，这个看个人情况了








好了就到这里，以上也是鄙人简单的使用体会。appdefend软件简单明了，初次使用建议系统清洁，然后运行下所有程序，记住规则，然后就是进行部分规则的微调，限制部分行为，防止被恶意利用而“出轨”。在浏览网页与使用移动硬盘时，对于陌生的弹窗基本可以100%阻止，如果不确定可以阻止一次就OK了。虽然appdefend不是全方位的防御体系，可是使用的过程让我们了解下基本的东西，学到较多的计算机知识，适合电脑安全爱好的初学者，也很适合不满杀软辅助杀软的前卫者。

appdefend也有汉化破解版的，如果fans的英文太。。。。可以尝试下。原版的注册码或注册机还请热心fans提供信息或分享，在此先感谢了。

好了，对应系统入侵防御的热身篇---appdefend的介绍就到这里了。如果以上说明有错误还请大大指出，鄙人及时修改，以免误导fans。如果有更好的使用经验，大家可以共同的交流学习下，谢谢。“互助分享 大气谦和”

[ 本帖最后由 huai168an 于 2008-9-3 00:31 编辑 ]

snoopy2004

强烈要求分享注册码或者注册信息
这个是我05年安装的第一款hips

深度扫描

学习。。。。。。。。。。。。。。。。

fa81110

这可是远古的回忆

深度扫描

看了。。。。界面是够黑的。

xndd

这...这完全就是HIPS啊

又见168的好文
不介意我加到卡饭主站吧，介意的话板砖伺候

huai168an

再来点RQ就OK了

人气随便给就泛滥了，再来个小红包吧^_^

KK院长

学习了,没有过这个软件,用的DW;