广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3065 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[资讯教学] HIPS(程序动作拦截器)规则割裂防护体系
HIPS(程序动作拦截器)规则割裂防护体系

HIPS,英文“Host Intrusion Prevent System”的缩写,国内通常翻译为“基于主机的入侵防御系统”,翻译很拗口,其实HIPS通俗来说就是程式动作(API)拦截器,作用就是对程式运行中调用的危险API进行拦截,经用户自行判断确认后手工选择阻止或是放行。HIPS的防护一般分为三个防护体系:AD(Application Defend)应用程式防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程式、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

正是因为HIPS对程式调用危险的API非常敏感,所以使用HIPS软体阻止程式调用危险API,可以起到一定程度的安全防护作用。关于行为控制在熊猫烧香肆虐时期的突出表现,就不用多说了,一战成名。

既然HIPS有这么多的优点,为什么只能在少数高端玩家手里把玩,而没有向全社会普及推广呢?很多朋友一谈到HIPS的缺点就归结到易用性上,其实呢,易用性只是表像。所谓HIPS配置复杂度较高,对用户要求较高,弹框数量较高的三高问题,核心在于HIPS的监控理念是有缺陷的。前面也提到,HIPS监控的对像是危险API,所以通过阻止危险API调用就可以保护系统安全。这个HIPS的核心理念,乍一听是很有道理的,但是如果深入推敲,则发现其核心思想是存在着严重逻辑混乱的。

Win32 API是微软公司公开提供的应用程式介面,供广大Windows用户开发应用程式与系统进行交互操作。所以从本质上讲,API并没有好坏之分,也没有善恶之别。而如果单以安全形度来论,乱用某些API可能会对系统安全造成隐患,所以HIPS将这些API定义为“危险API”加以监控并向用户报警。这里特别要注意弄清这些“危险API”的真正含义,大量的病毒木马经常使用这些危险API,但是使用这些API的程式并不见得就是病毒木马。危险API和病毒木马之间的逻辑关系,属于必要非充分条件,因为所有的API都是微软公开提供的,所有程式都可以正常的进行调用。

HIPS正是把危险API和病毒木马的逻辑关系搞反了,HIPS把所有危险API的调用一律报警,而正常程式也需要调用这些API,所以才造成了上面提到的配置复杂度较高,对用户要求较高,弹框数量较高的三高问题。

现在,有部分厂商为了提高HIPS的易用性,为了扩大软体的市场份额,居然用了一种非常极端的方法——为HIPS配置明文规则(白名单),这样表面上看起来会使得HIPS的弹框率大幅度下降,但是实际上则使用户处于非常危险的状况之下,骇客可以非常轻松地利用明文规则轻易突破HIPS的3D保护!

如果一个网马,运行后生成A.gho(实为可执行文件),由于规则中允许创建和运行.gho文件,那么HIPS的防护体系就被轻易突破了……

结论:HIPS本来是安全的,虽然存在着频繁虚警的问题,但是其对于每一个潜在危险API调用都进行报警拦截,所以整体安全性是很有保证的。但是,HIPS规则(白名单)的使用,则彻底将HIPS的安全基石毁于一旦,在HIPS严密的防护体系中硬生生割裂出一条骇客高速公路!

HIPS确实需要改进,但是并不是这种简单的单一程式动作规则。行为控制安全产品只有将各种程式动作进行综合监控,即监控一系列确有意义的程式行为,才能从根本上彻底扭转其易用性差的问题。不过,如果HIPS增加了复杂的各种动作之间的相关性复合逻辑规则,那就不再是HIPS了,变成了现在大家习惯于叫做主动防御型安全产品,比如微点主动防御软体、卡巴斯基主动防御模组等等。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-12-04 04:35 |
jolan 手机
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x2 鲜花 x10
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这篇真是浅显易懂啊~ 表情


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2008-06-13 02:00 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058896 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言