本帖最后由 zhangjf05 于 2012-6-3 21:52 编辑
首先我们来了解一下什么是HIPS:
HIPS:Host-based Intrusion Prevention System ,即主机入侵防御系统。他可以使一套完整的防御体系,也可以是一款独立的软件,也可以成为某些安全软件中的一种功能。
HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题,正所谓以不变应万变”。HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
HIPS主要分为3中防御体系,分别是应用程序防御体系(Application Defend,AD)、注册表防御体系(Registry Defend,RD)以及文件防御体系(File Defend,FD)。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。目前在有些杀软或防火墙中,也含HIPS功能,ESET NOD32 5.0以上的版本都含有HIPS功能。
下面则开始讨论ESET Smart Security 5.2.9.12中的HIPS功能。在主界面上按F5进入高级设置:
上图是HIPS的总开关,如果去掉图中的勾,那么HIPS功能将完全被禁用,所有的规则不能生效且NOD32的自我保护功能也会关闭。
我们看到HIPS共有4种过滤模式,分别是:
| 模式 | 描述 | 备注 | | 带规则的自动模式 | 规则,允许 | 优先匹配现有规则,如果找不到规则就放行 | | 交互模式 | 规则,询问,允许故障 | 优先匹配现有规则,如果找不到规则就弹窗提示用户介入,弹窗不少 | | 基于策略的模式 | 规则,阻止 | 优先匹配现有规则,如果找不到规则就阻止 | | 学习模式 | 规则,创建允许规则 | 优先匹配现有规则,如果找不到规则就建立一条新规则 |
现以“带规则的自动模式”进行分析,其他模式大同小异。
一、编辑规则 说白了,应用程序防御就是借助规则来限制应用程序的活动,从而达到抵御潜在不受欢迎的应用程序对系统和文件动手动脚的目的;注册表防御体系则保护注册表的相关键值不受非法篡改,文件防御体系用于保护磁盘文件的安全。 
点击“配置规则”,让我们来试着编写一条简单的规则。
首先要找到源应用程序,把它加入列表中,可以添加多个程序,如果不添加任何程序,则这条规则就成为全局规则(待会要说明这个)
然后按需要在操作一栏中选择“拒绝(触发规则后,将自动禁止相关动作)“或”询问(触发规则后,将弹窗提示用户介入)“
注意”其他设置“一栏,必须将”启动规则“选中才有效,同时强烈建议开启日志记录功能便于查错维护。选中”用户通知“可在规则触发时收到无需用户介入的通知,如果觉得弹窗太多可去掉。
然后我们可以规定这两个程序对文件/文件夹的访问权(即FD),例如:
把待保护的文件和目录加入列表中即可。
看看防御效果
控制源程序对目标程序的操作(即AD):调试、拦截事件、终止/暂停、启动及修改状态。
在右边的列表中添加需要保护的程序
我们还能控制他们对注册表的访问操作(RD):
几个需要被保护的键值:
启动项,IE主页:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\*
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\*
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
 
 
通过IE来修改主页修改没有报警,但是篡改未能得逞,而用金山卫士外部强行修改主页则弹窗报警,同样成功拦截。
因此ESET会不显示由内置程序触发的事件,避免过多弹窗。
二、优先权问题 我们会编辑多条规则来完善我们的HIPS系统,当有多个规则产生冲突时(例:对于某个对象,一条禁止一条允许),这时NOD32会按优先权判断该执行那一条。总的来说,单一规则(即指定源程序或指定目标程序/文件/注册表键值)的规则优先于全局规则(未指明上述对象的规则)。而从操作上来看,拒绝>允许>询问。
请看,当仅有”询问“规则时,触发后将弹窗请求:
说明一下,点击”允许“或”拒绝“仅生效一次,如果勾选了”创建规则“那么就会创建一条和你当前操作相同的单一规则。
当有两个互相冲突的规则时,按照拒绝>询问的顺序,将直接阻止访问
单一规则与全局规则的优先顺序也是如此,这里就不再赘述了。
三、规则下载 大家如果觉得编写规则太累太麻烦,可以导入大神们已经编辑好的规则包,不过要按需所取,避免造成误杀。
harm规则:
Harm 规则(RC 2.7).rar
(356.89 KB, 下载次数: 215)
(出处:http://bbs.kafan.cn/thread-1099006-1-1.html)
3Q规则:
HipsRules.zip
(7.15 KB, 下载次数: 122)
(出处:http://bbs.kafan.cn/thread-1100007-1-1.html)
本帖部分引用了以下内容(均来自卡饭论坛)
http://bbs.kafan.cn/thread-1039113-1-1.html
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=33869
鸣谢:
p.H(远景论坛,贡献图章),hx1997(卡饭论坛,提供规则包),qqq123123(卡饭论坛,提供规则包)
| 
