查看文章 |
转载注明:http://hi.baidu.com/eqsyssecurity 很多新手在初次使用EQ类HIPS软件时都会显得难以上手 感觉什么操作都被限制 正常软件也被拦截 提示询问框过多不知道怎么处理等 其实这些问题的原因还是在于用户对于HIPS软件的工作特性不了解 还在以使用杀毒软件的思路在使用HIPS软件造成的 在说HIPS之前 我们先来看看杀毒软件的工作方式 杀毒软件都有一个实时监控引擎 不停的扫描系统里被调用的文件 并将文件与病毒库对比 如果对比结果为病毒 那么 杀毒软件就会出现提示框 说明在某某地方发现某某病毒 并有删除、修复、隔离等选项可供操作 如果没有发现病毒 杀毒软件就会安静的在后台运行 可见 使用杀毒软件 需要用户参与的操作少之又少 基本也就是发现病毒的时候是选择删除、修复还是隔离了 在这样的环境下 用户也就养成了安装杀毒软件后不去设置 不去管理的做法(当然这也是杀毒软件的设置目标之一:尽量减少用户参与的操作) 下面来说说HIPS HIPS并不是杀毒软件 虽然也有实时监控的能力 但这个监控并不是把被调用的文件与病毒库做对比 而是监控应用软件乃至操作系统的各种行为 如建立文件 删除文件 运行程序 键盘纪录 结束进程 修改注册表等等 也就是说HIPS类软件不会告诉你某程序是病毒 而是告诉你某程序执行了某某操作 而这一点应该作何理解? 比如 一个完整的动作 应该有执行对象 被执行对象 执行动作 这3个要素 按照图示来说就是 A→B 这就是一个完整的动作行为 如 A程序(执行对象)运行(执行动作)B程序(被执行对象) 如图所示 即为一个运行程序的询问框 提示的是xplorer2_uc.exe试图运行freshow.exe
就EQ来说 即可以设置为拦截完整的动作行为(应用程序规则) 也可以设置为仅拦截执行对象的动作(应用程序规则) 和被执行对象的动作(高优先和所有程序规则) 这也是EQ在同类HIPS软件中规则编制方便很灵活和便于设置的原因 这一点以后 再说
这个就需要 自己目前在进行哪些操作?是运行程序还是进行文件操作 HIPS拦截到的动作是不是由我自己的操作触发的? 如果遇到了自己不知道的拦截该怎么办 这时可以先阻止看看 如果没问题则继续使用 如果出问题 第一当然是通过搜索引擎查找这个问题 第二就是在论坛里求助 另外的一个最大的难点就是用户的电脑知识积累 由于HIPS软件的特殊性 是把电脑的整个操作都呈现在用户面前并有用户选择是否执行 所以对用户的要求比较高 虽然可以通过导入别人的规则达到一定的效果 但这仅是外因 所有的外因都得通过内因才能起到作用 因此提高自己的电脑操作水平才是最最基础和重要的 否则对于一个HIPS的拦截询问框 用户连这个执行程序是系统程序还是自己安装的程序还是病毒都无法分辨的话 那么使用HIPS这类软件确实还为时尚早 那么如果提高自己呢 第一 熟悉自己每天都面对的操作系统 知道哪些是系统文件 哪些是系统程序 哪些是自己安装的应用程序 第二 熟悉HIPS软件各项拦截的意义 比如 修改进程内存 加载服务或驱动 键盘纪录等等 第三 熟悉或者大概了解哪些行为动作是危险的 系统哪些地方是病毒经常光顾的 第四 善于思考 如果出现了HIPS的拦截框 应该想想 这个被拦截的动作是不是正常的 这个动作会有什么危害 这是正常程序的行为还是病毒程序的行为 如果因为我选择了阻止导致正常软件出错 应该怎么样挽回
是时候转变自己的思想了 不要总是等着杀毒软件查到自己电脑中有病毒 因为杀毒软件总是跟在病毒后面跑的 在现在免杀自动化的时代下 每一个病毒在被推出之前 都会通过杀毒软件的检测测试 测试不会被杀毒软件检测到才会被病毒作者恶意传播出去 在这样的情况下 你还会等着杀毒软件从你的电脑里检测到病毒吗 与其被动扫描 不如主动出击 利用HIPS软件设置规则封死病毒进入电脑的各个通道 虽然HIPS能够防毒 但这仅是HIPS功能应用的一个方面 HIPS的应用比杀毒软件更加广阔 大家在使用HIPS时不要总想着这是不是病毒应不应该拦截 怎么拦截某个病毒 怎么才能防毒 而应该多想想 如何应对HIPS提示的拦截询问框 这是一个什么样的动作 我应不应该允许 如何设置恰当的规则来即限制高危操作而又不会对正常软件造成影响 如何设置恰当的规则来阻止病毒进入电脑的各个通道(病毒都进不来当然也就无所谓中毒这一说了)
|
