弱弱的问一句，行为防护和智能HIPS有什么区别

幸福天使

回复 20# will 的帖子


    谢谢  稍微明白点了

皇柝

回复 21# 幸福天使 的帖子


    可能这个问题比他们告诉你的复杂的多

jscz0519

回复 5# Inner 的帖子

你的签名不错哦
   

皇柝

回复 21# 幸福天使 的帖子

    我还是说说我看到的一些资料吧

    HIPS：这种程序就是通过HOOK ssdt、shadow ssdt，或者FSD的api等方法各个程序在运行的过程中进行“过滤”（很多杀软的实时监控也是这样），依赖于规则（一般也配有少量内置规则，用户也可以自定义），拦截程序比如写入规则保护的目录（这就是FD干的事）、像其他进程发送消息（这属于AD范畴）、写入注册表开机启动项（这就是RD）等，我举例的这些行为就是所谓的HIPS所管辖的事情，本质上就是一种“拦截”的思想。但是MJ说3D是可以互相转化的，这个我也不懂……猜测可能是要用到虚拟化之类的技术吧

  手动HIPS和智能HIPS的区别：手动HIPS就是一个智商=0的弱智，无论程序干了什么只要触发规则就要问你（或者按照预先的规则办）。智能HIPS就是一个智商=100的一般人，内置了大量常见恶意软件经常会在系统里做的事（假设一类恶意软件的经典动作被称为一个规则群），如果这些规则群某一个被触发，那它就会告诉你这可能是一个恶意软件，但是它的智商也只有100而不是130的天才，只能是算做一般人，很多程序它是判断不出的，或者是在拦截过程中存在漏洞（比如前段时间披露出来的一个叫KHOBE漏洞攻击），被绕过，这也经常会看到。

  行为分析：其实上面的智能HIPS本质上也是一种行为分析，但是近两年来这些术语被混淆和滥用了，因为行为分析更容易被听众接受，如果要扯到HIPS上面去，那估计要解释个半天。我认为智能HIPS其实只是行为分析的一个“子集”，也有不像上面说的智能HIPS完全靠规则来判断的，比如微点，它官网的介绍是在windows各个api上放上探针（其实这和我前面说的在系统中设置几种手段进行“过滤”有着相似的效果，但我没研究过微点是怎么监控的），它通过判断程序调用api的逻辑来分析是否恶意（这个我估计可能也是内置了一定的判断方法），但是和智能HIPS内置的规则不太一样，个人觉得有点类似的还有卡巴的应用程序分级（这些都可以叫行为分析），不过卡巴还有它强大的回滚。所以我觉得行为分析是个大的概念，智能HIPS只是其中的一种实现的手段。

幸福天使

回复 24# 皇柝 的帖子


    谢谢  很全面 基本了解了

bbs2811125

这个问题很难解释清楚，因为已经被混淆了
查一下HIPS的含义自己理解一下吧
行为防护的范围很广，智能HIPS目前还不是很成熟

幸福天使

回复 26# bbs2811125 的帖子


    谢谢

luobinhan23

行為防護是在HIPS後民用領域運用的哦一般都是趨勢在大力研究現在還未建成其實挺難的哦

无聊的罂粟

长知识了

lcln83

回复  幸福天使 的帖子

    我还是说说我看到的一些资料吧

    HIPS：这种程序就是通过HOOK ssdt、sh ...
皇柝 发表于 2010-6-4 12:07

好互杂啊。。学习了