手动HIPS.doc

手动HIPS HIPS(主机入侵防御系统)有别于传统意义上的网络防火墙，传统的网络防火墙(NIPS)通过特定的 TCP/IP 协议来限定用户访问某一IP地址，或者限制互联网用户访问个人用户和服务器终端，而 HIPS 系统防火墙就是限制诸如A进程调用B进程，或者禁止更改或添加注册表文件，相对于“病毒天天杀天天有”的杀毒软件的被动性防御，HIPS 可以有效防止病毒和木马的偷偷运行。HIPS 的软件很多，如SSM(System Safety Monitor)、SNS(SafenSec)等，其实利用WindowsXP系统自带的 本地安全设置 也可以DIY简单的HIPS。 本地安全策略新规创建方法 点击“开始→运行”，输入“secpol.msc”，回车(也可以打开“控制面板”选择 管理工具→本地安全策略)，开启本地安全策略(需XP专业版)，右键点击“软件限制策略”，选择“创建新的策略”，在“软件限制策略”下会自动创建多个子项，注意不要修改“其它规则”下系统默认的四个注册表规则，否则系统将崩溃。我们要做的就是在“其它规则”里新增安全策略。 右键点击“其它规则”，可以新建 证书、散列、Internet区域 和 路径规则，简单的HIPS只会用到 路径规则，创建新的路径规则时在路径的输入框内添加具体路径，并设置安全级别为“不允许的”或“不受限的”。 提示：规则里可以使用文件夹环境变量和文件夹通配符，如“？”、“*”这样的通配符，文件夹环境变量包括 %WinDir%(Windows所在目录)、%UserProFile%(*:\Documents and Settings\当前用户名)、%Temp%(*:\Documents and Settings\*\Local Settings\Temp)等。 防范病毒躲进犄角旮旯 很多病毒木马习惯躲藏在最不起眼的犄角旮旯里，比如 Recycler(回收站)、System Volume Information(系统还原文件夹)等，加上隐藏属性，用户很难发觉。实际上这些文件夹在正常情况下是不会有任何可执行程序的，所以我们可以建立规则来拒绝这些目录里的可执行文件运行。右键点击“其它规则”，选择“新建路径规则”，在路径框中输入： ?:\Recycled\*.* ?:\SystemVolumeInformation\*.* %winder%\system32\Drivers\*.* %winder%\system\*.* 安全级别都设置为“不允许的”。 杜绝假冒 svchost.exe 进程仿冒是病毒和木马用得最多的手段，System32文件夹下的svchost.exe系统文件就是重灾区，只需两条规则就可以永久免疫假冒svchost.exe运行的木马和病毒： 1. 路径规则里输入 svchost.exe，安全级别设置为“不允许的” 2. 路径规则里输入 %windir%\system32\svchost.exe，安全级别设置为“不受限的” 因为使用绝对路径的优先级要高于基于文件名的路径，系统只允许system32下的svchost.exe运行，其它目录里的同名病毒木马文件都不能运行了。 拒绝改头换面的病毒木马 看起来是个文本(txt)或图片(jpg、gif)的文件，没准最后的后缀是“.exe”，用户稍不留意运行后就中招了，针对这一类型的病毒木马，一样可以利用规则将其拒于门外： 将“*.jpg.exe”、“*.txt.exe”添加到路径规则里，安全级别设置为“不允许的”。有些病毒还会以 .pif 为后缀，和 . 同样是可执行文件，可以自行添加规则。 除了后缀名，文件名改头换面也不可不防，如“explorer.exe”，黑客可以把其中的字母L和O换成数字1和0，我们同样用规则拒绝这样的程序运行： 路径：(括号中的字是说明，不添加进规则) expl0rer.exe (O换成数字0) exp1orer.exe (L换成数字1) exp10rer.exe (L、O 换成数字1、0) 安全级别都设置为“不允许的”。 更灵活地保护IE 路径规则的安全级别设置似乎只有“YES”和“NO”两种，其实微软还在XP上隐藏了很多安全级别，有一个叫“基本用户”，其权限介于管理员和受限用户之间，类似于Vista中的标准用户，拥有大部分权限，可以读写注册表的 HKEY_CURRENT_USER 字段，但却无法修改 HKEY_LOCAL_MACHINE 字段，我们可以将它开启，添加更为灵活、实用的规则。 开启基本用户的方法：打开注册表，定位到 HKEY_LOCAL_MACHINE\software\Policies\Microsoft\Windows\Safer\Co