HIPS软件的困境

简介:

摘录自卡饭的一个帖子:

现在的趋势的确是沙盘。。。

以前我也是个HIPS的狂热爱好者,我还是初二的时候,就接触了HIPS,当时觉得,真的好高大上哦!什么钩子,什么内存,什么驱动。。。。

所以我开始拼命的研究HIPS的规则,从文件系统开始,我开始了解到,为什么要有临时目录%temp%,一个进程是怎么打开的,一个主页是怎么被修改的,system32里面究竟有什么东西…….

再后来,我学习到了\device\目录的写法,知道了U盘的写法在XP是\device\Harddisk?\(现在才知道原来?是正则表达式的东西),在win7的写法只能是最后一个盘的后面的盘\device\harddiskVolume?\,我知道了\device\namepipe\是命名管道,、对某些越级操作可以防范…..

又过了一年,我基本从表面上了解什么是钩子,什么是内存,什么是ring0,什么是ring3,一个驱动的加载一般来说只有三个途径(1.自身调用,2.修改HKLM通过service调用,3.再狠一点直接改了windows的文件或者MBR直接加载),怎么防范线程的注入,怎么防止记录键盘消息?(不是简单的防止直接访问键盘,外界还可以通过Dierct控件,或者挂个全局钩子等方法访问?)…..

当时毛豆很流行秒杀接口\WinAPIport直接防止进程启动的方法,毛豆区差不多像个样子的规则都有这条规则,好了那么com接口究竟是个什么东西呢?所以我又研究了很久,毛豆把rpc管道和权限都合并在com接口里面了,我就觉得很神奇,所以我直接监控了*(虽然后来我放弃了,因为实在太麻烦了,而且com接口说白了只是在调用windows自带的库,真想不懂以前有什么好折腾的)

后来到了注册表,实在玩不下去,只记住了一些启动位置的点和文件关联的点,还有一些很隐蔽的,病毒经常玩的,什么改下回收站的CLISD,或者在{87…..}(后面很长的,忘了)这个CLISD改下主页这样子的。

在这期间,我自己给自己写了不下几十个规则,在V3的时候,最复杂的规则还监控对库的调用,后来是改来改去,为了安装个软件,都要测规则几万遍,那个时候觉得这样挺好玩的,感觉把自己的电脑拿个大桶保护起来,病毒都进不来,真是太爽,连杀毒我都卸载了,我就天天对着HIPS的规则和ARK工具看看看看看,也不能是无聊,最起码我对整个windows的皮毛一些东西有一些了解,后来帮妹子修电脑的时候,真是随随便便都来几手。

你可以想象一下,当时我是一个学生党,时间还是有的,都要花那么大的精力去研究这些东西,那上班的人呢?

而且你想象一下,你花了那么长的时间,也只是了解了庞大的windows系统还不到0.1%的内容,真的值得么?

不是所有人都有精力去了解一些东西,这就是为什么有人学C语言很痛苦,一看到文件流就叫妈妈,而有些人对这些却有足够的热情去接触,而且还学得有滋有味

世界是向前发展的,那个当年还在玩HIPS,同时还在想再过两年就中考的初中生,现在已经是一名大一的学生。
至少看着各个HIPS的发展,不是死了就是半死不活,MD的作者去了360,MD就几乎没更新,毛豆从纯手动的V3,过渡到现在的V8,有了沙盘,HIPS的规则还不能支持太大,HIPS功能一缩再缩,然而沙盘的功能却越来越猛
越来越智能。

沙盘比HIPS更智能的一点,就是虚拟化,而且都是自带限制模式,不用人去想,HIPS只能有”要么可以操作,要么不可以操作”的操作,最多就给你多个询问,然而没有经过真正研究过的人,问你是否允许修改user32.dll,你该怎么办?

AVAST,360这些杀软公司,都有了自带的沙盘,不知是某位大神说过,未来杀软之间的战争的一个重要方面就是沙盘之间的斗争,我不知道对不对,反正我觉得挺有道理的,查杀率不能挡住一切病毒,还要防范于未然。

现在我我学了编程,再往回看这些钩子,内存,其实也就那么回事。甚至我都感觉到,如果那个时候我学了编程,有那个时间,我都成大神了吧

以前论坛有个大神叫柯林,他告诉我,不要花太多时间在这些上面,我当时还不以为然,现在回想起来,我的想法真是幼稚啊,就算我的HIPS再严密又怎么样呢?严重影响了我的日常使用,下个软件还要当心会不会安装出错,有用吗?

还不如搞个靠谱点的杀软,实在不放心可以加个小沙盘,如果还有强迫症厉害到无可救药了,那就下载个XUETR删文件玩玩什么的,中毒了最多ghost咯,又能怎么样呢?

就像交个女朋友一样,你再认真,你再花心思,但是对面根本对你没意思,你花那么多时间,又有什么意思呢?你说你很爱,呵呵,有用吗?如果一开始方向都是错的,那么你的得来的,在时间的消磨下,会慢慢褪色,最终,成为你后来淡然一笑的话题。

总结:

以上摘自kafan: http://bbs.kafan.cn/thread-1813604-1-1.html

说到底,HIPS的困境在于规则判断需要一定的计算机知识。而这个知识说专业谈不上,说简单却不是那么容易掌握的。所以,很少有人会去使用HIPS。从目前来看,沙盘和智能HIPS更容易让用户接受。此外,普通用户对安全的要求并不高,windows也加上了基础的杀毒软件,就像上面说的或许对于用户而言,机器中毒什么的一个ghost恢复就行。

个人感觉也是如此,大学后,感觉真的就懒得折腾windows了,反正安不安全就这样。而且最近貌似PC的安全威胁没那么多了,倒是服务器攻击被关注了。可能在PC这块,更多人希望的是简便而不是安全吧。

转载请注明:旅途@KryptosX » HIPS软件的困境

目录
相关文章
|
4月前
|
开发框架 前端开发 关系型数据库
Winform开发中的困境及解决方案
Winform开发中的困境及解决方案
|
安全
五角大楼最昂贵武器发展项目遭到黑客攻击
  据路透社援引《华尔街日报》21日报道称,网络间谍频频攻入五角大楼最昂贵的武器发展项目--耗资3000亿美元的联合打击战斗机(JointStrikeFighter,JSF)项目。   该报引述现任及前任知情政府官员的话称,入侵者能够复制并偷走与设计及电子系统相关的数据,从而可能使防御该种战斗机更容易。
733 0
|
运维 架构师 测试技术
从架构理解价值-我的软件世界观(转载)
程序员的迷茫-找寻不到价值 在浩大的软件世界里,作为一名普通程序员,显得十分渺小,甚至会感到迷茫。我们内心崇拜技术,却也对日新月异的技术抱有深深的恐惧。技术市场就像这喜怒不定的老天爷,今天下个大数据雨,明天挂个人工智能风,面对琳琅满目的技术浪潮的冲击,程序员难免深感无力,深怕错过了技术潮流从而失去了职场竞争力。
1244 0
|
安全 数据安全/隐私保护 云计算
毁掉云计算项目的三个“好办法”
本文讲的是毁掉云计算项目的三个“好办法”【IT168 评论】有不少企业利用云计算获得了巨大成功,而云计算市场也在持续迅猛的增长中。然而,和任何一种新技术的采用一样,也有不少项目只是为了装门面而已。这些项目的失利当在意料之中,而此类失利原本应该是可以避免的。
1167 0
下一篇
无影云桌面