主机未知防御系统(HIPS)软件介绍 HIPS: Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
我们个人用的HIPS可以分为3D:
AD(Application Defend)-- 应用程序防御体系、
RD(Registry Defend) 注册表防御体系、
FD(File Defend) 文件防御体系 它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。目前在有些杀软或防火墙中,也含HIPS功能。
下面介绍几个常见的HIPS软件:
System Safety Monitor(SSM) 这个够出名吧?
防护规则:RD+AD System Safety Monitor简称SSM,是专门针对有害程序及间谍程序等的 Windows 防护软件范畴, 却并非反病毒软件,它并不提供针对特定有害程序的查找及移除特性,也不提供系统遭有害程序破坏后的恢复特性,而是真正的“防患于未然”!我们平常所用的防火墙如天网,Windows自带的防火墙,它 可监控网络流量并选择性地阻止某些程序对网络资源的存取,而 SSM 可调整程序性能并控制它们对本地资源的存取,在这层意义上我们可将 SSM 称为系统防火墙。
它是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,是针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀!
更能得可贵的是,这么好的软件,它竟然是免费的,并且支持包括中文在内的多国语言!(从2.0开始分为免费和收费两个版本,基本没有区别)
【功能特性】 □控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;
□针对合法的程序建立规则,不会每次提示;
□通过CRC32或者MD5等校验所有可执行文件的变动,再也不怕系统文件被非法修改而不知;
□控制“DLL注入”以及键盘记录机对特定系统函数的调用;
□控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);
□控制诸如存取"DevicePhysicalMemory"对象这类底层活动;
□阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
□控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不
被除Explorer.EXE以外的任何非可信程序启动;
□在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更
改,而用户模式不能更改任何设定;
□监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;□管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服
务被
□添加时,会报警提示;
□实时监视"启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般
都是广告程序、间谍程序等垃圾);
□通过标题黑名单过滤器阻止打开指定的窗口或者网页;
□支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得
到丰富的扩充;
□本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
Ghost Security Suite(GSS) 防护规则:RD+AD Ghost Security Suite (以下简称 GSS)是一款功能非常专一的注册表防火墙,它是一个基于内核的注册表保护系统,其占用资源很低;安装以后会保护注册表的自启动项目和其他很多重要的键值,并且可以自定义被保护的项目。由于它仅仅当程序要访问注册表时活动,这就意味着当它保护你的系统时,你的系统资源几乎没有被占用多少,而不像其他保护注册表的程序那样以不间断地读取注册表来探测注册表的变化,而且那些保护程序仍然有可能使恶意程序改动注册表。
出于对注册表保护的研究目的,深山红叶对本程序进行了适当的修改以方便测试,同时进行了汉化地便检测其在双字节系统中的兼容情况——结果表明兼容性最佳非常优秀!本着除恶务尽的原则,深山红叶对注册表保护规则进行了大量的修改和补充,能够防范更多的自动加载入口,同时对国内多数流氓程序有良好的防范效果。
使用注意: 1、众多功能按钮中,最关键的只有“配置”这一个按钮。在此你可以添加、修改、删除、移动规则,
也可以决定是否启用某些规则。
2、已经配置好的规则中,多数动作都是默认为“拦截”的,以免使用系统时频繁出现要求确认的对话
框。如果你需要安装应用程序,并且这些程序将可能会在有关自动启动的注册表位置进行写入,则
请临时关闭 GSS,或者在“配置”界面中临时禁用某些规则分组。
3、强烈建议不要选中规则中的“记录到磁盘”的选项。如果选择生成磁盘日志,则随着注册表访问量
的增大,其对内存的耗用也越来越厉害,而这些日志文件并不是我们所必需的。
4、此程序放出时已经为最新版本,如果你希望在线升级,则请先备份主程序,否则本汉化及破解将失
效而影响试用。
5、使用本程序是安全的,它仅仅只是防护注册表的读写操作。但汉化者仍然不对因使用、散发本程序
而导致的一切后果负任何责任。
拒绝一切制作、推广流氓软件、灰色软件的人使用本汉化特别版!反击网络流氓,痛打流氓的走狗!
DefenseWall HIPS
防护规则:RD+FD+AD
DefenseWall可以保护注册表,自启动区域(包括注册表和文件系统),可执行文件,系统区域(驱动/服务安装/修改,物理内存,全局钩子,信任的进程等),被不信任的进程执行的潜在的危险动作。而且,所有的不信任的进程的产物也被认为是不信任的。
Process Guard(PG)
防护规则:FD
关于DiamondCS 公司,大家可能不熟悉,但如果说 TDS-3(Trojan Defense Suite,听说是世界排名第一的反木马软件)、Process Guard(保护你的进程不被非法结束)、Port Explorer,大家应该知道吧,就是该公司的产品。
该公司的产品几乎都是与安全相关的,这里就推荐这款极其强大的系统防护工具——Process Guard ProcessGuard是一款系统安全程序,它能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。ProcessGuard还能够停止未被用户许可的程序运行,停止在后台静静运行的恶意蠕虫和trojans,也包括许多其它攻击,ProcessGuard甚至可以停止击键记录程序和leak...
Process Guard 是工作在底层的安全保护系统,它可以保护你的系统和进程(如杀毒软件、防火墙等)不被其它程序(如病毒、木马等)、服务和其它可执行代码结束。功能异常前大,界面很友好。
以前经常有人碰上KV、天网、木马克星这些没有进程保护的安全软件被异常结束,无法进行扫描;而天网防火墙更是经常可以被木马杀掉。有了 Process Guard 的保护,就再也不用担心这些问题了!就算你用自带墙也可以一样拥有无比强大的防内能力啦。怎么样?高兴吧?
PG可以防止DLL木马注入正常进程,这个功能非常棒!用过国外防火墙的朋友应该经常会有这个苦恼,老是弹出好多的选择题给你选择,可以说烦死人啊。其中最多就是关于DLL的变动的,有几个人可以很熟悉的辨别那个DLL可以允许,那个需要禁止?多数人都会郁闷吧?就算会选择也难免有选择错误的时候。不是吗?PG只需要设置好就可以放心拉!
防止全局钩子也是防止键击记录的,比如某些记录键盘键击记录的木马。。。。。 下载后直接安装,安装后把学习模式改为非学习模式(即把主界面Learning Mode选项前的对勾去掉即可)
注意 在安装新软件和系统升级时先把PG关掉,升级完毕后打开PG并设为学习模式,然后再重新启动,重新启动后再把学习模式关闭即可
Safe'n'Sec Personal(SNS、犀牛) 防护规则:AD+RD+FD 俄罗斯星之盾公司是欧洲著名的软件加密、反黑客、安全发布厂商,该公司靠软件加密起步,曾被誉为正版的曙光,黑客的恶梦。Safe'n'sec是星之盾公司为保护个人电脑被免受未知病毒,计算机窃贼和计算机的脆弱点的侵害而研发的最新解决方案。目前的计算机保护解决方案绝大多数是根据已知病毒代码的比较而设计的,无法在恶意应用软件和动作破坏系统的完整性之前消灭病毒。而Safe'n'sec则建立在行为分析的基础上,有最先进的预先侦查系统,可以防止病毒渗透计算机,破坏信息,对计算机多了一层保护,在计算机保护方面实现重大突破。同时,快速安装,易于操作的界面,和反病毒软件和个人防火墙极好的兼容性,智能的决策技术,最强的保护和对系统运行的最小影响等特点更增加Safe'n'sec的魅力。
Safe'n'sec+antivirus个人版内置了BD杀毒引擎,在为系统提供全面有效防护同时还提供了一定的杀毒能力。
总结 该软件可以作为杀软、防火墙的有力补充,完全可以取代SSM、PG。
注意 同SSM有冲突,CPU飙升至100%,装了咖啡企业版的朋友如果使用该软件,最好不选Fiel System Activity.
Winpooch
防护规则:FD+RD Winpooch是运行于Windows上的一个看门狗程序。它能够检测到特洛伊,间谍软件的安装,并通知用户。你可以为反间谍软件,反特洛伊,防火墙,防病毒(需要ClamWin的安装)设置自己的安全级别。
缺省配置下,Winpooch不会监控Windows的服务,但是,通过修改Use debug privilege能够启动该功能。
缺省规则下,允许其它程序修改敏感文件和注册表信息之前,Winpooch会询问用户。缺省规则非常多,你可以删除一些或者改变规则的缺省动作。
可以创建自己的过滤器,Winpooch具有强大的自定义功能。
EQSecure for System 防护规则: AD+FD+RD 系统安全防火墙,可以保护计算机操作系统,拦截危险操作,避免类似病毒和间谍软件的安全威胁.包括进程,注册表以及文件.
EQSecure for System 支持下列操作的拦截: .运行程序
.加载库文件
.安装服务或者驱动程序
.物理磁盘操作
.加载驱动程序
.操作物理内存
.创建远程线程
.修改其它进程的内存
.安装全局钩子
.修改HOST文件
.修改IE浏览器设置
.结束或者挂起进程,线程
.检测隐藏进程
.注册表的修改和删除
.文件的创建,打开,修改,删除
Tiny Firewall 防护规则:AD+RD+FD+ND(4D) Tiny Firewall是由Tinysoftware (官方网站:
http://www.tinysoftware.com)出品的超强软件;它的作用已远远不止防火墙那么简单;任何程序的运行都需要经过它的许可;是一个全面,却又简单易用的网络防黑软件,可以管理本机与网络的数据交换,通过设置不同的安全规则,阻挡任何未经认证的用户进入你的计算机,可以防止特洛依木马、间谍软件、网络蠕虫通过计算机窃取发送数据,支持md5签名认证,这样可以防止trojan使用计算机认可的应用程序来闯入计算机,还可以和不同的vpn技术如cisco、alcatel、nortel整合一起。该版本包括使用者管理,ids/ips 规则,trackn reverse engine 和简单的满足过滤。
Tiny Software 公司是一家面向中小型网络路由器和防火墙软件的开发商。Tiny Personal Firewall目的是为了妨止非法使用时的不安全性,保障计算机的安全。这一版本是基于通过ICSA认证的WinRoute Pro安全保障技术,是WinRoute 的子集,只具备防火墙功能。该项技术已经获得成功。
Tiny Personal Firewall可以设置为手工启动,或者设置为一个服务器。其中包括一个桌面管理工具,可用于对本地或远程计算机上的安全引擎进行详细配置。用户的安全设置有高、中、低三级,通过它的包过滤特性(packet-filtering),每一级设置还可进行不同的配置,以满足特殊的需求。高级用户可以建立基于断口,应用,协议和目标的规则,每当遇到新的情况,立即提示,包括拒绝,接受或者建立处理未来动作的规则。其它的特性包括 MD5 签名支持,密码保护,日志功能和高可配置的报告功能,记录特殊的侵入动作。
Tiny Personal Firewall是一个全面,却又简单易用的网络防黑软件。他可以管理你的计算机与国际网络的数据交换,会阻挡任何未经认证的用户进入你的电脑。
1、windowsxp sp2自带的防火墙就是Tiny公司给OEM的;
2、Tiny Personal Firewall 是美国空军选用的防火墙,安装50万台电脑;
3、Tiny Personal Firewall 是微软公司推荐的防火墙之一,兼容性很好;
4、Tiny Personal Firewall 可防止一切进程注入式木马的穿透;
5、Tiny Personal Firewall 与kerio有血缘关系。 Safe System(SS)
防护规则:FD 强大的系统保护软件,与其它类似软件不同的是,该软件提供了对系统重要文件的分级保护,即按文件的重要程度分别备份到不同的目录下,还特别对用户系统文件提供了双重保护,并能生成一个备份报告文件,用户可以通过查看这个报告了解有哪些文件被保护和备份,这对于文件恢复十分重要。还提供了WIN9x崩溃之后的安全恢复功能,同时还可以大大减少WIN9x中经常出现的"非法操作"之类的错误。另外软件操作相当简单,只需点几下按钮即可完成处理。
ProSecurity
防护规则:FD+RD+AD
ProSecurity 对主机安全的防护范围非常广泛,包括了目前已知的恶意程序(malware)所有可能的入侵途径,这些防护基本涵盖了所有存在潜在威胁的操作。
ProSecurity 并且能强制保护自身及其他软件的进程, 例如杀软, 防火墙, 以防被病毒或恶意程序强制关闭。
ProSecurity 的所有防护工作均由内核模块独立完成,不倚赖其应用层程序辅助运行,因此运行流畅,占用系统资源极低。
ProSecurity 是一款主机入侵防护系统 HIPS (Host-based Intrusion Prevention System),是基于行为检测技术的内核级安全防护软件,它通过对程序加载、跨进程操作、注册表操作、网络访问、直接物理内存读写、安装Windows钩子、安装系统服务/驱动、加载可执行模块(.DLL文件)、直接底层磁盘访问等系统行为的拦截保护, 阻止恶意程序对系统的破坏、对自身的能力拓展及资料的窃取。从而实现对系统的保护和对恶意程序的检测。
ProSecurity 并包含 3D 模块: AD(Application Defend)--应用程序防护 、RD(Registry Defend) 注册表防护 、FD(File Defend) 文件防护. 他们可透过自定义的规则对本机的程序运行, 注册表访问, 及文件或文件夹访问等的行为做判断, 并允许或禁止其作业, 从而阻止恶意程序的入侵, 监控主机安全存在威胁的行为, 是对杀毒软件和防火墙的安全强化补充。
补充: HIPS原理以及和杀毒软件、防火墙的区别.
杀毒软件 计算机病毒指的是一些具有恶意代码可能危害计算机的程序。
杀毒软件基本上应当具有以下两个基本功能:
1. 杀毒-- 即对带毒文件或病毒本身进行查杀的功能。
2. 监控-- 一般具有文件监控,网页监控(即监控远程80/8080等常用端口),邮件监控(即监控POP和SMTP端口),等。 能够杀毒防毒的是杀毒软件,不是防火墙。
防火墙 简单的理解,防火墙是架在两个互相通信主机之间的一个屏障,对非法数据包进行过滤。
我们使用的多数个人防火墙基本具有:
防止非法入侵(防止内连) 与 防止本地非法外连 的功能,而WinXP SP2系统自带的墙没有后者的功能。
基于这两点,我们可以简单理解防火墙的两个作用:
1. 通过阻止非法数据包,防止黑客通过某些手段入侵。
2. 防止木马发生外连盗取本地机密信息。个人防火墙没有杀木马的功能,它所做的是在中了木马之后,通过规则禁止其外连以免丢失数据。 现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系,比如:KIS(卡巴) NIS(诺顿) MIS(咖啡)等。。。
HIPS—— Host Intrusion Prevent System 主机入侵防御系统 所谓hips(主机入侵防御体系),亦即系统防火墙。它有别于传统意义上的网络防火墙(nips)。
二者但主要区别是:
传统的nips网络防只有在你使用网络的时候,通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端; 而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所hips检测,然后弹出警告,询问用户是否允许运行。 一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,以防中毒、插马的可能性。这样对于个人用户来说,中毒插马的可能性就基本上很低很低了.
比如卡巴,咖啡等也具备有一些hips的功能,但功能上比不了专业的hips软件.
[ 此贴被帐篷在2008-02-17 21:08重新编辑 ]
