小谈下电脑安防。杀软、传统防火墙、HIPS、主动防御(继续首发地铁)
[size=3]当里个当。。。当里个当。。。今天又来和大家说一下电脑安防。[/size][size=3]:S: :S: :S: [/size]
[size=3][color=red][color=lime][/color][/color][/size][color=white]============猥琐的分割线===========[/color][size=3][color=red][color=lime][/color][/color][/size]
[size=3][color=red][color=lime]【杀毒软件】[/color]
[/color]杀毒软件基本上应当具有以下两个基本功能:
1:杀毒:即对带毒文件或病毒本身进行查杀的功能。
2:监控:一般具有文件监控,网页监控(即监控远程80/8080等常用端口),邮件监控(即监控POP和SMTP端口),等。
能够杀毒防毒的才是是杀毒软件。
[color=red][b]软肋:[/b][/color]病毒库更新速度始终跟不上病毒的新生速度
[color=red][b]误区:[/b][/color]杀不了毒,杀软很垃圾。
这个误区很普遍。因为这个是杀毒软件的软肋。有必要说明一下。(具体请见我上次的帖子。[url=http://bbs.bluesubway.com/thread-39907-1-1.html]http://bbs.bluesubway.com/thread-39907-1-1.html[/url])
第一,杀毒的永远要跟在做毒的后面跑。。。先有毒药才会有解药。
第二,有高手能做病毒免杀。。。这层没有办法。。原理如第一条,比如1号毒药有了解药,我们可以再往1号毒药里面加点料,使之成为1号毒药的A型变种(这两条原理很可能会循环发展下去)[/size]
[size=3]
[color=lime][color=black]所以不是杀软杀不了毒,而是杀软不能杀尽所有的毒。[/color]
[/color][/size][size=3]
[color=lime]【传统防火墙】(这里的防火墙不包括HIPS一类的系统防火墙部分)
[/color]简单的理解,防火墙是架在两个互相通信主机之间的一个屏障,对非法数据包进行过滤。
我们使用的多数个人防火墙基本具有:
防止非法入侵(防止内连)
防止本地非法外连的功能,[color=cyan](XP SP2系统自带的墙没有这个功能)[/color]
基于这两点,我们可以简单理解防火墙的两个作用:
1:通过阻止非法数据包,防止黑客通过某些手段入侵。
2:防止木马发生外连盗取本地机密信息。个人防火墙没有杀木马的功能,它所做的是在中了木马之后,通过规则禁止其外连以免丢失数据。
[color=red][b]软肋[/b]
[/color]软件防火墙依赖操作系统的前提注定了漏洞的可能性永远存在
网络防火墙无法检查加密数据包和加密程序
硬件防火墙的独立性可以弥补这一缺陷, 但是容易过高的CPU负载很容易是硬件防火墙失效。(绝对安全的方法就是拔掉电源或网线。。。汗。。。)
[color=lime]【HIPS/E盾】(Host Intrusion Prevent System 机入侵防御系统/系统防火墙)[/color]
之所以单独列出来是最近HIPS在网络上比较火热,技术人员很喜欢用
[/size][size=3]HIPS(Host Intrusion Prevent System)其全称为主机入侵防御系统,又叫系统防火墙。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
[/size]
[size=3]功能主要分为AD,RD,FD。
AD(Application Defend)应用程序防御体系,主要监测API调用。
RD(Registry Defend)注册表防御体系,主要监测注册表信息更改。
FD(File Defend)文件防御体系 主要监控文件的变更,移动,增减。
大实话,HIPS是地基式的防御系统,我们所知道的微点,就是以HIPS为原理开发的[color=cyan](二者的关系就好像是C语言和C++的关系。)[/color]
[color=red][b]最大的特色:[/b][/color][/size]
[size=3]近似于神奇的防御功能。。。哪怕是完全不懂电脑的菜鸟。。。只有有一份比较好的规则在。。。。90%的病毒无法入侵。不仅是基本上主流病毒完全进不了,而且很难做HIPS的免杀。[color=cyan](有一网友试过只开HIPS来防御。。跑遍了目前主流的病毒木马[url=http://soft.deepin.org/read.php?tid=158593]http://soft.deepin.org/read.php?tid=158593[/url](深度联盟软件分坛的竹节大将军,可以去反入侵区看他关于HIPS的报道)[/color]
[b][color=red]缺点:[/color][/b]
规则完全依靠用户自己编写。。。上手程度难。。。。[color=cyan](新手完全被吓走。。。也就是说。。。没人来写规则的话。。。HIPS等于一个废品)
[/color]
【主动防御系统】
大家最耳熟能详的就是微点了。这个软件非常的好。值得使用。
微点的工作原理:
1。系统探测:利用系统中密布的微点探针来监视API调用,注册表变化,文件的变更,移动,增减。[color=cyan](这和HIPS没什么区别。)[/color]
2。行为判断:经过反病毒专家对上万例病毒的研究总结出的病毒行为特征,并利用人工智能技术使这种判断自动化。可以比喻为医生分析病情的能力。
3。特征码识别:传统杀毒软件扫描功能的简化。可以比喻为典型症状的判断手册。
4。黑白名单:对微点可以识别的正常程序放行,对于一些文件名,MD5,CRC32哈希值固定的恶意软件进行识别。可以比喻为病历和家族性遗传病史。
5。智能防火墙:可以比喻为口罩之类的防病工具。(其实我还想说套套的......)
6。其他功能。略。[/size]
[size=3][/size]
[size=3]这也是主动防御软件的工作原理。。然后。。。发现。。。。是不是。。。主动防御 = 软件防火墙 + HIPS + 七七八八的其他功能[/size]
[size=3][/size]
[size=3]有个网友在点饭论坛分析了一下HIPS和微点的区别。我觉得很生动也很深刻。。这里偷懒转过来。[/size]
[size=3][/size]
[color=white][size=3][b]当HIPS发现系统发生变化,会提示用户,让用户进行操作,这就好比HIPS是X光,CT,体温计,血压计之类的器械,它可以告诉用户“病人”有什么特殊症状,但是判断到底是不是有病,有的是什么病就需要用户来判断了,因为器械没有判断功能。
微点和HIPS相同的地方就是都有对系统变动的监控能力,如果说HIPS是一整套医疗检查器械的话,那么微点也有一套相同或者相似的器械。
但是微点和HIPS的不同之处在于,它不仅可以发现系统的变动,还可以判断变动的原因,并对这种变动下一个结论。他的行为判断能力就相当于给医疗器械搭配一个医生。
我说的够明白了吧?HIPS之所以叫HIPS不叫杀毒软件,就是因为它本身没有判断能力,只是单纯的监测工具。
而微点之所以叫杀毒软件,就因为它能判断程序是否为病毒且拥有杀灭病毒的能力。
医疗器械不是医生。
拥有一套医疗器械的医生还是医生而不是器械![/b][/size]
[/color][size=3][/size]
[size=3][color=red]指出微点和HIPS都不是杀毒软件。因为都缺少杀灭病毒的能力[/color][color=red](注意删除带毒文件不等于杀灭病毒。)[/color][/size]
[size=3][/size]
[size=3][color=cyan]微点比HIPS更适合大众使用,而HIPS,需要专业的人士去使用,或者,大家一起等待开发出傻瓜式规则包[/color][/size]
[size=3][/size]
[size=3][color=blue]【使用上的建议】[/color][/size]
[size=3][color=red][HIPS/微点/防火墙][/color][/size]
[size=3]什么人不适合用微点和HIPS?[/size]
[size=3]1、杀毒爱好者;
2、不玩游戏不用网上银行从而不怕帐号被盗、没有重要文件随时可以全盘格式化、中毒能几分钟搞定的人。这类人适合裸奔;
3、只上新华网、人民网等少数大网站,从不用U盘,从不下载东西,从不用需要联网的程序的人。这类人也适合裸奔;
4、一半以上时间用于尝试新软件的人;
5、宁肯重装十次系统,也不愿在安全方面投入半点时间的人;
[/size]
[size=3]如果你不属于上述几类人,那么,恭喜你,防火墙式的安防软件就是为你准备的。
[/size]
[size=3][color=red][杀毒软件][/color][/size]
[size=3]不要觉得杀毒软件垃圾。有微点,有SSM。我可以此生告别杀软。[/size]
[size=3][/size]
[size=3]这个想法非常不可取。的确,HIPS、微点非常之强大,犹如铁将军一般。但是它们目前都没有扫描体系,即不能杀灭病毒。。。那意味着什么?[/size]
[size=3][/size]
[size=3]将你的爱机比喻为一个大的四合院子,那么。。。HIPS、微点就像是各家各户上的门锁一样,把危险都排除在门外。。。太棒了是不是?那院子里谁管?那些被拒之门外的病毒又不会自己走掉,当然是留在院子里。那么谁管?[/size]
[size=3][/size]
[size=3]杀毒软件在这时候就起作用了。你可以平时开着微点、HIPS,不开杀毒软件,但是,电脑用久了,留在电脑里面的文件庞大冗杂,这时候需要用杀毒软件来扫尾(当然你想给电脑里留下各类病毒尸体的话,那我就没什么可想的了)。[/size]
[color=white]========猥琐的分割线又来了==========
[/color][size=3]:$ :$ :$ [/size]
[size=3]累了。。。潜水去了。。。[/size]
[[i] 本帖最后由 浪子叶痕 于 2008-5-16 00:05 编辑 [/i]] EQ的AD没有SSM的强大。如果FD设置不好的话,重起后很容易中招!
SSM的FD没有EQ的强大。
EQ+SSM方案,在玩QQ某游戏的时候非常容易断电(效果跟按住电源开关一样)!怕,我的老硬盘就这样挂掉了!估计也是设置问题!所以现在一直用单个SSM。
微*!不得了!上次看地铁的朋友推荐,下一个回来试用,居然只占那么几K的物理内存!NA的人都知道怎么回事,NB的可能不一定知道。NC的根本不知道。 做安全的仅仅是一个公司,或一个团体的精英,但做病毒的,却是全国,乃至全球的黑客们,这种不平衡的较量会一直存在下去,这行规则本来如此,谈不上什么软肋
至于说的微点。用过,说实话,感觉不出有多好,我是做网吧系统的,照样不能防机器狗,不是么。
关于那些原理,我只想说,能杀毒才是硬道理,而且,楼主说的把所有病毒拒之门外,有点绝对了
永远没有绝对安全的策略,也永远不会有绝对安全的杀软。 [quote]原帖由 [i]嘲天阙[/i] 于 2008-7-5 19:22 发表 [url=http://bbs.bluesubway.com/redirect.php?goto=findpost&pid=362435&ptid=39959][img]http://bbs.bluesubway.com/images/common/back.gif[/img][/url]
楼主说的把所有病毒拒之门外,有点绝对了
永远没有绝对安全的策略,也永远不会有绝对安全的杀软。
[/quote]
额。。。那啥。。大哥。。看东西要看完。。我可没有说把所有病毒拒之门外。。。
这篇东西的主旨就是在阐明没有绝对的安全
;P
页:
[1]