hips新手入门.pdfVIP

hips 新手入门 hips 常规基本知识 hips 是啥？ 现在比较广泛的叫法是 ：主机入侵防御体系 。。。这个名字看了估计 99%的不了 解的人还是不知道啥玩意 ，于是又有人提出 ：系统防火墙 ，意思是类似防火墙的 东 西，但是作用的对象是系统的动作，稍微明白了一点，不过他到底是啥玩意 呢 。。估计还是云里雾里 。我们可以这样认为：hips 是一种通过拦截系统内软件 的 见危险动作，借助自己对软件及系统的了解，人为的或者软件内置的一些 触发条件制止一些不正常的软件动作 ，以达到系统安全的一个软件 ，这个软件我 们就叫他 hips ，软件内置的一些触发条件我们一般叫他 hips 规则。在绝大多数 情况下hips 是需要人为参与的，也就是不能做到智能 ，但是更加合理的规则可 以让 他更少的需要人为的参与。 hips 一般来说有那些种类？ 1 、最常见的就是 3d 类的借 规则拦截程序动作的软件。什么是 3d ？ AD(Application Defend)应用程序防御体系 、RD(Registry Defend)注册表防御体系 、 FD(File Defend)文件防御体系 ，这3 个是应用层面上软件做的最直观的动作，3d 软件通过拦截这些直观的动作的来起到保护系统的安全。举个简单的例 子 ： X.exe 调用 ie （这个是 ad 的防护范畴）写入注册表启动项（这个是 rd 的范畴） 在 system32 文件夹下写入 x.exe 的复制体 （这个就是 fd 的范畴了 ）那么常规的 3d 类 hips 能给我们做怎么样的保护呢？首先提示x.exe 启动 （如果是莫名其妙 的程序启动直接就没ko 了 ）然后提示调用 ie （不 怎么正常的动作 ，一般软件在 注册或者连接主页的时候可能 用到，很多时候直接被拦截了 ）接下来写入注册 表启动项（一般来说直接拦截掉 ，没有人会希望启动项 东西越来越多 ，拦截这 个动作可以说是 rd 最要的任务了 ）最后写入 system32 文件夹（又是超危险动作， 一般也被直接拦截掉 ，fd 的最重要拦截中的一 个 ）只要我们在途中有一个拦截 掉了，就算这是一个有问题文件，那他也不能危害我们的系统 ，这个是一般杀软 等防护不能做到的任务。优点是制定性比较强 ，可以 方便的制定各类规则来满 足不同的需要 ，缺点是上手慢 ，不过后文我会相对详细的写点入门的教程） 2 、沙盒类的软件。所谓沙盒类的软件是指 ：通过虚拟的应用环境等手段 ，让程 序运行在一个和真实系统隔离的环境 ，即使在那个环境下受到破坏也不能影响真 是的 系统 。可以说这是全面的限制了程序的动作，而且比 3d 类的更加简单易用， 缺点是防毒强防马差 ，因为木马只要运行就能起到作用了，哪怕下次恢复成原样， 被盗 去的东西还是被盗去了。 常见的 hips 软件有那些？ /viewthread.php?tid=47223highlight=%B3%A3%BC%FBHIPS 那么我们如何使用这些hips 来保护我们的系统呢？ 对于沙盒类的，没什么好说 ，只要把软件运行在沙盒中 ，就能起到相应的保护效 果。如果没有怎么办呢？ ：这个是软件开发者的问题，请给官方反映问题 ，一个 好的软件开发者是会很快的给你解决问题的。 对于 3d 类的软件，我们好好的说说。 写在前面 ：首先在我认为软件的防护中3d 是相辅相成的，没有谁更加重要只说 ， 或许单个 d”的防护能达到相 的效果 ，但是多个 d”的搭配必然可以可以给你更 多的选择 ，方便制定出更加人性化和灵活的规则。 其次 ，别人写好的规则对你来说永远只是参照和例子 ，不要认为别人的规则一定 比你的好 ，对于一个已经 用 3d 类 hips 的来说 ，自己的规则永远是最好的，参 看别人规则写自己的规则是一种最好的学习 ，去芜存菁是我们要做的，硬套照搬 的行为最好永远不要去做。 既然规则如此重要 ，怎么来编排规则呢？ 首先 ，规则一般来说有两个大方向或者说是基本的两个结构 ：1 阻止所有的动作， 然后放行需要放行 ，这样 有最大的安全性 （后文我们称之为大面否定规则） ， 好 比一个国家的防护 ，对于任何外来人员都拦截，只放行那些验证过的，发放 了通行证的人，同时也有可能把某些放放通行证的人中发现的坏分子继续抓起来。 在这种 规则体系下 ，最后一条最低优先的规则永远是全部阻止 ，上面的规则绝 大部分是放行需要放行的程序动作 ，较少的部分继续拦截被放行的规则中需要过 滤掉不该放行 的部分。2 放行所有的动作，只