杀软+虚拟机才是王道

lovehhy

c小超 发表于 2011-2-14 19:25
回复 1楼 lovehhy 的帖子

本人身为一名程序员表示很不能理解，开发出来的作品一定不是想让用户这样使用的， ...

作为程序员更应该明白了，我给你写一个exe，就在你的临时目录里面产生30G的垃圾，你说什么杀软能杀这样的？什么HIPS规则能拦截到这个行为？

这样的例子太多了，根本没法评判一些软件的行为，比如锁键盘，全屏占屏幕，在While循环中读磁盘，在后台大量空循环搞死机，光HIPS这时候根本是浮云。

lm317379829

小丑鱼ZZW 发表于 2011-2-13 15:57
NO NO  沙盘+主防+高启才是王道.....

嗯
这样安全性确实不错。不过懒得折腾沙盘了，hips+高启发 足以

lovehhy

lm317379829 发表于 2011-2-17 17:11
回复 4楼 lovehhy 的帖子

你用的是什么hips软件啊

ok, doc防住了，还有jpg呢，bmp呢，excel文件呢，pdf呢，你都防啊？你都设置白名单啊

lovehhy

lm317379829 发表于 2011-2-17 17:11
回复 4楼 lovehhy 的帖子

你用的是什么hips软件啊

身为程序员，你告诉我在内核中如何判定删除和剪切文件，这两个不同

lm317379829

lovehhy 发表于 2011-2-17 17:18
身为程序员，你告诉我在内核中如何判定删除和剪切文件，这两个不同

我觉得无需判定啊，说了排除信任文件。如果你是说你自己编写一个程序将它加入信任白名单之中，然后运行，这样你就钻牛角尖了。我承认这样hips软件是无法防御。但是对于一般的安全需要来说，引入的病毒文件都是在白名单之外的，这样hips就会挂起操作等待你的判断。或者直接根据规则来进行操作这样就能起到一个很好的保护作用。

lovehhy

lm317379829 发表于 2011-2-17 17:24
我觉得无需判定啊，说了排除信任文件。如果你是说你自己编写一个程序将它加入信任白名单之中，然后运行， ...

OK，你说所有的删除操作都要让HIPS跳出对话框来，那用户一天下来还不得烦死了。如果这个程序调用Explorer.exe，然后用加参数的方法来删除文件，你让用户怎么判别？

lm317379829

lovehhy 发表于 2011-2-17 17:29
OK，你说所有的删除操作都要让HIPS跳出对话框来，那用户一天下来还不得烦死了。如果这个程序调用Explorer ...

将Explorer.exe加入白名单，Explorer.exe对于文件的删除，剪切操作放行。这样就不会出现Explorer.exe程序删除一个文件就出现一个对话框的现象了。
现在你的假设是程序A调用Explorer.exe删除文件，那么现在我只要判定程序A是安全的程序还是病毒程序即可。
在这个方面我没有什么好说的这个主要是靠人机交互，需要用户自己去判断。在很多这个时候就需要用户的电脑知识了。

lovehhy

lm317379829 发表于 2011-2-17 17:33
将Explorer.exe加入白名单，Explorer.exe对于文件的删除，剪切操作放行。这样就不会出现Explorer.exe程序 ...

所以HIPS一直只能在少数人中间火，根本普及不开，全中国几亿网民，能用好HIPS的能有几个？能编写规则的又有几个？编写了规则又能对新情况能防住的又有几个？

lm317379829

而且hips规则也是很重要的，对文件的操作。
我可以这样编写规则，在fd中对全局规则进行编写：“*” 权限设定为全部询问
然后再ad中对explorer.exe这个程序赋予全部权限，那么当你用explorer.exe删除文件时 hips对于规则的调用是这个样子的，先挂起操作 运行至FD规则，询问，但是不弹出窗口，然后运行AD规则， explorer.exe 这一项 发现explorer.exe对于文件操作有全部权限，则放行explorer.exe的文件操作，操作执行

lm317379829

比如说你用其他程序删除文件 这个时候更多的是靠AD规则。比如说有A程序 它在运行过程中需要 读 写 删除 某类文件 *.a ，则在AD中定义 A程序  然后赋予 A对文件 *.a 的全部权限，这样子在A程序运行过程中就不会有阻碍了。但是如果A程序中有恶意代码 或者之类的东西，它要对其他文件（与其运行无关）进行操作时，hips程序就会弹出对话框让用户判断