摘录自卡饭的一个帖子:
现在的趋势的确是沙盘。。。
以前我也是个HIPS的狂热爱好者,我还是初二的时候,就接触了HIPS,当时觉得,真的好高大上哦!什么钩子,什么内存,什么驱动。。。。
所以我开始拼命的研究HIPS的规则,从文件系统开始,我开始了解到,为什么要有临时目录%temp%,一个进程是怎么打开的,一个主页是怎么被修改的,system32里面究竟有什么东西…….
再后来,我学习到了\device\目录的写法,知道了U盘的写法在XP是\device\Harddisk?\(现在才知道原来?是正则表达式的东西),在win7的写法只能是最后一个盘的后面的盘\device\harddiskVolume?\,我知道了\device\namepipe\是命名管道,、对某些越级操作可以防范…..
又过了一年,我基本从表面上了解什么是钩子,什么是内存,什么是ring0,什么是ring3,一个驱动的加载一般来说只有三个途径(1.自身调用,2.修改HKLM通过service调用,3.再狠一点直接改了windows的文件或者MBR直接加载),怎么防范线程的注入,怎么防止记录键盘消息?(不是简单的防止直接访问键盘,外界还可以通过Dierct控件,或者挂个全局钩子等方法访问?)…..
当时毛豆很流行秒杀接口\WinAPIport直接防止进程启动的方法,毛豆区差不多像个样子的规则都有这条规则,好了那么com接口究竟是个什么东西呢?所以我又研究了很久,毛豆把rpc管道和权限都合并在com接口里面了,我就觉得很神奇,所以我直接监控了*(虽然后来我放弃了,因为实在太麻烦了,而且com接口说白了只是在调用windows自带的库,真想不懂以前有什么好折腾的)
后来到了注册表,实在玩不下去,只记住了一些启动位置的点和文件关联的点,还有一些很隐蔽的,病毒经常玩的,什么改下回收站的CLISD,或者在{87…..}(后面很长的,忘了)这个CLISD改下主页这样子的。
在这期间,我自己给自己写了不下几十个规则,在V3的时候,最复杂的规则还监控对库的调用,后来是改来改去,为了安装个软件,都要测规则几万遍,那个时候觉得这样挺好玩的,感觉把自己的电脑拿个大桶保护起来,病毒都进不来,真是太爽,连杀毒我都卸载了,我就天天对着HIPS的规则和ARK工具看看看看看,也不能是无聊,最起码我对整个windows的皮毛一些东西有一些了解,后来帮妹子修电脑的时候,真是随随便便都来几手。
你可以想象一下,当时我是一个学生党,时间还是有的,都要花那么大的精力去研究这些东西,那上班的人呢?
而且你想象一下,你花了那么长的时间,也只是了解了庞大的windows系统还不到0.1%的内容,真的值得么?
不是所有人都有精力去了解一些东西,这就是为什么有人学C语言很痛苦,一看到文件流就叫妈妈,而有些人对这些却有足够的热情去接触,而且还学得有滋有味
世界是向前发展的,那个当年还在玩HIPS,同时还在想再过两年就中考的初中生,现在已经是一名大一的学生。
至少看着各个HIPS的发展,不是死了就是半死不活,MD的作者去了360,MD就几乎没更新,毛豆从纯手动的V3,过渡到现在的V8,有了沙盘,HIPS的规则还不能支持太大,HIPS功能一缩再缩,然而沙盘的功能却越来越猛
越来越智能。
沙盘比HIPS更智能的一点,就是虚拟化,而且都是自带限制模式,不用人去想,HIPS只能有”要么可以操作,要么不可以操作”的操作,最多就给你多个询问,然而没有经过真正研究过的人,问你是否允许修改user32.dll,你该怎么办?
AVAST,360这些杀软公司,都有了自带的沙盘,不知是某位大神说过,未来杀软之间的战争的一个重要方面就是沙盘之间的斗争,我不知道对不对,反正我觉得挺有道理的,查杀率不能挡住一切病毒,还要防范于未然。
现在我我学了编程,再往回看这些钩子,内存,其实也就那么回事。甚至我都感觉到,如果那个时候我学了编程,有那个时间,我都成大神了吧
以前论坛有个大神叫柯林,他告诉我,不要花太多时间在这些上面,我当时还不以为然,现在回想起来,我的想法真是幼稚啊,就算我的HIPS再严密又怎么样呢?严重影响了我的日常使用,下个软件还要当心会不会安装出错,有用吗?
还不如搞个靠谱点的杀软,实在不放心可以加个小沙盘,如果还有强迫症厉害到无可救药了,那就下载个XUETR删文件玩玩什么的,中毒了最多ghost咯,又能怎么样呢?
就像交个女朋友一样,你再认真,你再花心思,但是对面根本对你没意思,你花那么多时间,又有什么意思呢?你说你很爱,呵呵,有用吗?如果一开始方向都是错的,那么你的得来的,在时间的消磨下,会慢慢褪色,最终,成为你后来淡然一笑的话题。
总结:
以上摘自kafan: http://bbs.kafan.cn/thread-1813604-1-1.html
说到底,HIPS的困境在于规则判断需要一定的计算机知识。而这个知识说专业谈不上,说简单却不是那么容易掌握的。所以,很少有人会去使用HIPS。从目前来看,沙盘和智能HIPS更容易让用户接受。此外,普通用户对安全的要求并不高,windows也加上了基础的杀毒软件,就像上面说的或许对于用户而言,机器中毒什么的一个ghost恢复就行。
个人感觉也是如此,大学后,感觉真的就懒得折腾windows了,反正安不安全就这样。而且最近貌似PC的安全威胁没那么多了,倒是服务器攻击被关注了。可能在PC这块,更多人希望的是简便而不是安全吧。
转载请注明:旅途@KryptosX » HIPS软件的困境