关于规则我想说两句。

83890311

回复  83890311


当然明白你的意思，你是想摒弃旧的逐条建规则的思路，在文件安全的前提下免去不必要的 ...
weijinkun4 发表于 2010-4-24 15:33

我是觉得大家现在把路好像有点走偏了。
想想HIPS的全称：主机入侵防御系统（Host Intrusion Prevent System）
我们现在大多数的规则好像是应用程序保姆系统。

weijinkun4

回复 11# 83890311

是有些，或许太想实现绝对安全了吧。不过说来我认为hips还是稍智能为好，辅以添加自定义规则的功能，才是人性化，安全性的最好折中

83890311

回复  83890311

是有些，或许太想实现绝对安全了吧。不过说来我认为hips还是稍智能为好，辅以添加自定义 ...
weijinkun4 发表于 2010-4-24 15:47

    恩，你这个说法我很赞同。先智能再辅助规则才是最好的平衡。

柯林

回复 11# 83890311
请问楼主如何定义入侵？
QQ底层磁盘访问算不算入侵？病毒底层磁盘访问应该不用问了。金山office不让底层磁盘访问就崩溃退出。
病毒访问物理内存不用讲，某些播放器以及某些软件也要来个访问物理内存，该如何定性？
如果楼主玩过“跑跑卡丁车”，那么你会发现，所有病毒能有的行为它都具备了，请问是该把它当作病毒呢还是正常程序？
很多游戏，特别是GC的，某些行为，如果按病毒行为定义，已经算是了，请问是当病毒还是正常？
面对这样一个糟糕复杂的环境，如果不以路径规则来区分，请问如何摆平？
正常程序就是值得完全信任的吗？论坛上发过的一些测试程序及病毒样本可以借用svchost.exe等正常进程来结束其它进程等破坏操作，如果没有个预防措施的话那就默杀。
防御问题说到底还是自己的反应问题，个人喜欢的追求是——能够最大可能地消弭一切可能性的危害的一定要争取。

83890311

回复  83890311
请问楼主如何定义入侵？
QQ底层磁盘访问算不算入侵？病毒底层磁盘访问应该不用问了。金山 ...
柯林 发表于 2010-4-24 16:10

关于入侵这个词我觉得比较好解释。
就是用户同意的动作就是合法的，反之就是入侵。
但是问题来了，应用程序太多，每个应用程序的动作又不是一个两个。于是这个用户同意的动作就是海量了。

其实的确是越精确的路径就越不容易被钻空子，但是当有一天有一种病毒就感染QQ的可执行文件，并且也要进行底层磁盘访问那么我们现有的规则。。。。。


其实我想说的是要有平衡，现在的路有点走向某个极端了。

ccyijane

我认为规则的形成取决于使用者对于hips软件所能达到控制程度的期望，有些人更加在意安全性，期望可以掌控更多的应用程序，而有些人更加在意易用性，只需要限制部分应用程序，在安全性与易用性之间如何调节，可以有很多种方式，也就产生了不同的规则，我觉得无所谓对错与优劣，hips毕竟是种工具，不同的人就会有不同的用法

83890311

我认为规则的形成取决于使用者对于hips软件所能达到控制程度的期望，有些人更加在意安全性，期望可以掌控更 ...
ccyijane 发表于 2010-4-24 16:33

    兄弟说的的确中肯，工具的使用的确是因人而异的。
我只是觉得HIPS不应该变成保姆软件，希望有更多的智者能在另外的方向有所突破。

柯林

回复 15# 83890311
“但是当有一天有一种病毒就感染QQ的可执行文件”，如何感染？默认规则都是FD全局监控，不经过你的同意怎么会感染？除非关掉D+的监控，而这情况一般只能发生在安装软件这软肋上。
越是追求精细控制及最大限度保护的规则，越是不能被钻空子，即使发生了”当有一天有一种病毒就感染QQ的可执行文件“的事件又能如何呢，本来就没有给QQ过高的权限，一旦表现出”病毒行为“就会被拦截，这正是精密处理而不”一锅端“的优点所在。
程序行为的”海量“问题并不存在——拦截的只是高危的有害的行为，对于正常行为是没有干预的【如果要追求高效，请参照EQ的做法尽量把无害而必须放行的行为以高优先的方式加以放行，从而免掉有害行为筛选的时间（很短暂）浪费】。

ccyijane

回复 17# 83890311

是MM......

柯林

回复 15# 83890311
看了上传的EQ规则，我觉得你现在正处于危险期：
1、盲目追求效率而一味压缩规则数量——简单的几个大路径囊括一切
2、盲目追求易用而置安全性于不顾——应用程序给了最高权限，HIPS对它们是空气
3、没有善后处理措施——信任程序被突破将死得很惨
4、整体方案追求的是大放水，说实话，程序是跑得很欢，但是防护作用极差，基本上是“中毒无商量”
个人意见，你的情况还不是追求综合平衡的时候，先下功夫把安全性做好。
有句话说，“先把书读厚，然后再把书读薄”，借用过来也是一样的，“先把规则做大，最后才能把规则做小”。如果懒得实践，请不要再用处理EQ规则的方式来处理comodo，要安全易用的平衡，默认的官方规则就是最好的典范。