关于规则我想说两句。

83890311

HIPS我接触的比较晚，现在就是一个新人。这两天看了大家写的很多规则，发现现在大家的规则都是网一个方向发展啊。
这个方向就是应用程序白名单！且不说N条白名单的规则有多浪费系统资源，就单单从设计初衷就违背了规则二字了。
如果我们要的只是白名单，那么直接去向微软要签名程序好了，这样效率多高啊！

我觉得规则这东西应该是除了操作系统外，尽量不精确到任何一个应用程序本身的。

我看到那些要XXX程序规则的回复真的很郁闷。


新人不懂，老鸟海涵

dim2010

规则越模糊越容易出漏洞，如果没办法精确到每个程序本身，那还不如不用，某些动作，合法软件要用，非法软件也要用，如果不精确，你说规则默认是放不放行，你所要的大概是智能型的hips可以去尝试下微点。
我目前算来算去除了系统也就20来个程序，既便不考虑分组，为每个程序建立个规则也就20多条而己。我想一般的机器还是完全带的动的。

烟不离嘴

路过   我菜鸟  规则不懂    好像学习

柯林

回复 2# dim2010
同意！
路径越精确，规则效能越高。

离了路径，就不成其为HIPS，哪怕你写的*.EXE还是*依然说的是路径。

83890311

规则越模糊越容易出漏洞，如果没办法精确到每个程序本身，那还不如不用，某些动作，合法软件要用，非法软件 ...
dim2010 发表于 2010-4-24 14:35

的确是如你所说规则越模糊越容易出漏洞，有些东西也的确莫能两可。可是规则就是规则不是绿林好汉的花名册。你可能觉得你就20个程序就够了，别人呢？你的系统能带起来，别人的呢？

我说的意思是用规则把握住核心的东西（系统级），再创造个信任区域（比如C:\Program Files）。这个信任区域在进入的时候严格把关了，那么他以后就随便折腾吧（现在的白名单其实是信任到具体的EXE文件了）。我觉得无论是编辑效率还是执行效率枚举型都不是最优秀的。

weijinkun4

看来楼主还没有完全看明白教程啊，规则是在一个大的框架上设置的（规则组，以及所遵循的全局规则），在这个框架里加以常用程序规则，是为了迎合常规用户正常使用，减少弹窗，列表内若没有，还可以自己分析归类，不是很方便吗？

柯林

回复 5# 83890311
你喜欢的方式，论坛已经有了：http://bbs.kafan.cn/thread-624864-1-1.html
补充一点，以现在的CPU而言，处理1000条内的规则根本就是一点感觉都没有，无所谓效率。

83890311

回复  83890311
你喜欢的方式，论坛已经有了：
补充一点，以现在的CPU而言，处理1000条内的规则根本就是 ...
柯林 发表于 2010-4-24 15:09

    呵呵，我新到这边的。那个规则的确是和我说的一个意思，很不错的。还可以进一步完善一下。

关于CPU的问题，我们单位的电脑的确比较老。还有一台440BX主板服役中。。。。

83890311

看来楼主还没有完全看明白教程啊，规则是在一个大的框架上设置的（规则组，以及所遵循的全局规则），在这个 ...
weijinkun4 发表于 2010-4-24 15:08

    兄弟可能没明白我的意思

weijinkun4

回复 9# 83890311


当然明白你的意思，你是想摒弃旧的逐条建规则的思路，在文件安全的前提下免去不必要的提示，但我认为跟hips区寻求细致保护的用户们想法有出入