杀软不会被HIPS取代！

kaspersky_v

现在HIPS的应用热度虽然有所减弱
不过依然有一定数量的应用者
出现了 "现在只有HIPS能让我放心" 不装杀软,只用HIPS"  "还在上报病毒吗?快用HIPS吧"等等观点
不过说真的正确使用HIPS就可以绝对远离木马病毒？？不是的， 这是一个{安全误区}
HIPS可以100%防下木马病毒？ 答案是不可以的！现在可以被木马病毒利用的难道就只有区区几种格式 EXE DLL 等等吗?可以被恶意利用的文件格式太多了 而3D齐全的HIPS也只能预防一些常见格式的病毒
例如:利用光标漏洞的JPG格式文件 HIPS怎么应对?昨天我在样本区看到一个应用ANI的网页 开卡巴进 立马杀了一JPG 后来开EQ(带规则)进,没反应.呵呵~我们不可以设置FD拦截图片格式文件吧?恩，没办法.
另外对于无进程木马HIPS的防御效果如何呢? 这个我也有点疑问 昨天晚上在样本区有一无进程木马 偶用SSM 和EQ的测试 好象SSM的RD报告RUNDLL32修改注册表 而用EQ测试好象米反应.
对于HIPS防御无进程木马也有点疑问
还有,使用HIPS会有拖机感觉 各个HIPS软体的拖机情况都存在 但程度不同
使用HIPS 与不使用时 随便打开一个右键菜单 应该就可以感觉到响应程度不同了
对于FD也有问题~ 我曾试用EQ 并用了官方的规则 虽然FD规则比较完尚 可是在下载一些东西的时候就会出现创建XX被阻止 而下载不了~这个问题怎么解决呢 不可以修改规则 如果修改了允许IE创建可执行文件 那么防不了网马 如果添加例外规则 那么解决了这次 下次遇到相同情况又不行了,因为每次要IE要创建的东西是不同的.
另外开带规则的EQ去访问QQ空间好象也不行 IE要创建XX.xml被阻止 QQ空间就无法正常显示？ 但又不能允许IE创建.xml 在只开HIPS时这样做安全系数急剧下降 但又不可以创建例外允许IE创建特定的一两个XML 因为同理 在访问不同的空间 创建的XML是不同的.
以上是我个人观点 相信大家也有意识到HIPS的不足(HIPS迷千万别拍砖,我写这帖不是来口水的!)
  总的来说HIPS还是一种不错的工具 平时只开AV 在有危险动作 或浏览可疑网页时打开 还是不错的
由于HIPS存在无法克服的缺陷,所以杀软还是不会被HIPS取代的.

[ 本帖最后由 kaspersky_v 于 2007-4-20 18:48 编辑 ]

shardineblog

应该不会被取代，，，杀软整合hips的可能性却比较大。。。
不过个人不是很喜欢hips，感觉比较卡机，装上之后开机的速度明显变慢。。。

剑指七星

应该会整合的   hips  杀毒  防火  
估计都会整在一起

jjjmeme

呵呵，对于不同的人群有不同的应用需要，其实有很多人津津乐道HIPS的同时，还有很多人裸奔着，我觉得你如果不是喜欢下病毒样本来测试，和有比较好的上网习惯，一个强加个杀软，最后一个杀马的扫描器，足矣

kaspersky_v

原帖由 jjjmeme 于 2007-4-20 18:31 发表
呵呵，对于不同的人群有不同的应用需要，其实有很多人津津乐道HIPS的同时，还有很多人裸奔着，我觉得你如果不是喜欢下病毒样本来测试，和有比较好的上网习惯，一个强加个杀软，最后一个杀马的扫描器，足矣

呵呵~我不是测毒狂拉！
我一般只使用 卡巴6.0 外加 XP自带防火墙 .
      补充：本人有良好的上网习惯！！！

[ 本帖最后由 kaspersky_v 于 2007-4-20 18:46 编辑 ]

鱼是一只我

杀毒软件会发展hips，我倒是觉得

无敌敏敏

杀软会取代HIPS~ 比如:卡巴KIS~

starfish

楼主说得非常 得好……让我想到一个杀软，我可爱的麦咖啡……

xpn282

哈哈  LZ跑到这里来了...

1.  LZ说的那个只开着EQ(带规则)踩毒网的就是我了...当然JPG图片我们用FD是不会禁止的..JPG图片落在电脑上时它要感染时我想它总是要有动作的吧,,,,比如修改注册表啊,,生成其他文件啊,,注入进程啊等等...难道它(ANI)的技术很先进..可以无声无息的 ,,正如下面的病毒简介一样,,那就是关于ANI的行为了,,,我开着EQ进毒网后一直没发现有什么异常..我确认那JPG并没有发作(尽管它带毒)




2.  EQ规则的运用还是要灵活点,,自己遍的规则才好用..就像LZ所说的用了官方的基础规则.．它默认是禁止创建ＥＸＥ．．但你可以设为创建ＥＸＥ时提示你就好了呀．．规则是死的，人是活的,人家的规则不一定适合你,,,当然用了HIPS后得到了保护但同时也失去了安静




3.当然杀软是最重要的..

病毒简介:
1、释放病毒文件到如下路径：
%SYSTEM%\sysload3.exe
2、修改注册表，添加如下键值：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
3、起IE进程，注入病毒代码，连接网络下载大量病毒、木马程序，当发现病毒新版本时，会下载更新。
4、发送邮件传播自身：
主题:你和谁视频的时候被拍下的？给你笑死了！
内容：看你那小样！我看你是出名了！
你看这个地址！你的脸拍的那么清楚！你变明星了！
5、起NOTEPAD进程，便利本地磁盘，网络共享目录，感染大小在10K---10M之间的.exe文件，感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，使病毒难以被察觉。
6、修改host文件，屏蔽访问某些网站
7、检测软驱，若存在则复制病毒文件到其中文件名为tool.exe，并生成autorun.inf文件，使病毒可以自动运行，以传播自身。
这个应该是病毒编写的BUG，目前软驱已经基本被淘汰了，如果发现以下提示框，您很可能是中了“爱你”病毒。

清除步骤
1.因为利用ANI漏洞的木马和病毒很多，艾妮病毒变种也很多，并且艾妮是个感染型的蠕虫，会感染破坏EXE程序和网页格式的文件，首先推荐你使用杀毒软件查杀。
2.手工查杀，首先结束notepad.exe进程和iexplore.exe进程
3. 删除病毒自启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysbmw.exe"
4. 删除引用的病毒文件：
%System%\sysbmw.exe
%System%\sys_ini.ini

防护措施：
1.少去不安全站点，对通过MSN，QQ，以及邮件发来的不明链接，不要去点击
2.注意微软发布该漏洞补丁程序的信息，发布后，请第一时间下载安装
3.升级杀毒软件，目前金山毒霸已经升级提供了针对ANI漏洞本身和艾妮蠕虫病毒的免疫程序，可有效阻止上网时被此类病毒感染。

附:如何应对ANI漏洞带来的病毒危机?
上周，金山反病毒中心发现部分网站利用Windows动画光标（ANI）文件漏洞传播木马，这些木马通常以盗号为目的。微软尚未就此漏洞发布补丁程序，同时，互联网已经出现利用该漏洞的网页木马生成器。
不久，首个利用该漏洞传播的蠕虫病毒——艾妮（Worm.MyInfect.af）出现，该病毒集熊猫烧香、维金两大病毒的特点于一身，是一个传播性与破坏性极强的蠕虫，不但能疯狂感染用户电脑中的.exe文件，还会下载其它木马和病毒程序，病毒通过局域网传播可能导致内网大面积瘫痪。更为严重的是，利用微软动画光标（ANI）漏洞传播，使得包括在安全性上煞废苦心的Vista系统也无法幸免，用户只要浏览带有恶意代码的Web网页或电子邮件将立刻感染该病毒。金山反病毒中心针对该漏洞的危险性，已紧急提供免疫程序。据最新统计结果表明，仅1天时间，该免疫器就成功阻止了超过3万次攻击事件发生。

漏洞表现：
访问带毒网页时，会感觉IE窗口显示有点慢，有时IE窗口会失去响应，部分杀毒软件会报告发现木马或病毒。但这种现象可能只会被少数用户所关注，多数用户感觉不明显。
受此漏洞影响的操作系统：
Windows 2000
Windows XP 32/64
Windows 2003 32/64
Windows Vista 32/64
受此影响的浏览器：
IE6、IE7、Firefox、Opera
受此影响的其它应用软件：
QQ、MSN、电子邮件客户端、AcdSee、RSS阅读器

[ 本帖最后由 xpn282 于 2007-4-20 21:33 编辑 ]

ballakay

杀软应该整合HIPS!!!!