正在阅读:矛和盾的游戏 小谈病毒免杀和安软原理矛和盾的游戏 小谈病毒免杀和安软原理

2013-08-01 15:36 出处:PConline原创 作者:Aimo 责任编辑:censi

安全软件的反病毒技术

  HIPS

  除了启发式扫描以外,安全厂商们还使用了HIPS来对各种威胁进行防御。HIPS的英文全称是Host-based Intrusion Prevention System,翻译为中文就是主机入侵防御系统。这种技术十分强悍,如果运用出色的话,几乎能防御所有类型的病毒。

  这种技术并非以查杀为手段,而是以防御为主,这也是为何本文有的时候使用“杀毒软件”一词,有时候使用“安全软件”一词——安全软件不止杀毒软件一类,也有纯HIPS类或是带HIPS功能类(当然网络防火墙什么的在这里就不说了)。

HIPS又被称为“主机防火墙”
HIPS又被称为“主机防火墙”

  我们依然使用“警察”、“罪犯”、“城池”的例子来说明。假定我们仅仅使用HIPS技术,不使用上文提到的各种扫描技术。这样一来,警察就不会根据通缉令等手段来辨认罪犯,而是监视城里面的人的具体行为。整个城池内都是警察的眼线,人们的一举一动尽在警察眼中。张三掏出了钱包,警察会知道;李四掏出了手机,警察会知道;王五掏出了枪,警察也会知道。警察会把城里面所有人的行为都报告给城主(用户),然后城主下令把掏枪那小子干掉就可以了。

1
“城主,那掏枪的小子要怎么办?”

  这个就是HIPS的实现原理。HIPS会监控计算机的关键部位,如果有程序对这些关键之处进行修改,HIPS则会冻结其行为,并询问用户是否放行。这样一来,一般情况下基本没有病毒能逃得过HIPS的法眼。

  HIPS也有它的缺点,具体如下:

  一、上手难度高。HIPS最初并非为普通用户定身量造,它本用于企业、军事、政府等机构,有着专门的安全专家维护。鉴于安全形势越来越恶劣,安全厂商将HIPS投入到了个人市场。但并非所有人都具备很多计算机安全方面的知识,HIPS对于多数人来说实在是太难用了,弹窗又多又不懂说的是什么意思。于是,很多人不管怎样,只要HIPS弹窗询问,都一律阻止或放行——这样电脑不被玩坏才怪。

对于普通用户来说,HIPS就是这样的一个东西
对于普通用户来说,HIPS就是这样的一个东西

  二、HIPS并非无懈可击。警察的眼线遍布全城,但也有监视不到的地方。只要是软件,就会有漏洞,HIPS也不例外。除此以外,电脑系统漏洞也能破开HIPS的金钟罩——黑客利用系统漏洞取得高权限,直接就把HIPS给干掉了。试想入侵者通过下水道入侵城主府,城主都被入侵者顶替了,警察还有意义么。当然,这需要很高水平的入侵技术才能破开一套优秀的HIPS系统。

只要是软件,就会有漏洞
只要是软件,就会有漏洞

  针对HIPS上手难度高的缺点,安全厂商们也想出了不少办法解决。智能HIPS,就是其中的一种办法。智能HIPS使用了智能判断系统,代替用户作判断。智能HIPS自带了处理规则等判定能某个程序的行为是否危险的模块,当警察看到有人掏钱包、掏手机的时候,警察可能看看就算了;当有人掏枪的时候,警察果断过去削了他。这一整个过程,都无需报告城主(或者是只提交事后报告书),大大简化了HIPS的操作。

微点是一款国人开发的智能HIPS
微点是一款国人开发的智能HIPS

  当然,智能HIPS也是有它的缺点的,具体如下:

  一、误判率高。人尚会误判何况机器,智能化的代价就是误判率上去了。王五掏出了枪没错,但是王五是个镖局的啊,他只是在押银车。但警察可不懂,削了你就是了。

  二、安全性降低。当某个人掏出了一根又黑又硬又粗的东西的时候,使用智能HIPS,警察认不出这个是什么的话,可能就这样放他过去了。但是如果是使用传统HIPS,警察依然会冻结住此人的行为,然后让城主判断。如果城主有足够的见识,就能认出这是江湖上失传已久的玄铁重剑,此人十分危险,得速速干掉。一般而言,传统HIPS的安全性会高于智能HIPS。

  除了智能HIPS以外,安全厂商们还采取了其他方法降低HIPS的使用难度。目前无论是传统HIPS还是智能HIPS,都内建了白名单机制——位于白名单上的程序,无论你做什么,HIPS都不会管你。比如说用户需要安装一个杀毒软件,这种会涉及大量系统关键模块的操作,必然会触及HIPS的眼线,HIPS疯狂弹窗询问也是可想而知的。但如果这个杀软在HIPS的白名单内,HIPS就会自动放行了。

QQ升级后,金山的白名单还没更新,会弹窗询问
QQ升级后,金山的白名单还没更新,会弹窗询问

  于是,从这里我们就可以看出杀软和HIPS的明显区别了——杀软使用病毒特征库来保护用户,也就是黑名单机制;而HIPS使用的却是白名单。所以,一款HIPS的白名单做得如何,也直接关系到用户体验。在这方面,对于国内的用户来说,国产安全厂商做得比较出色(毕竟了解风土人情),其内建白名单对国内的流行软件都有很好地收集,弹窗明显比国外HIPS少。

  HIPS类的安全软件对所有免杀技术都有奇效,衡量一款HIPS安全性的标准就是这款HIPS是否容易被穿透,和免杀技术没有太大关系。目前国内带HIPS功能的安全软件有奇虎360金山毒霸瑞星等几乎所有的主流安全软件,比较著名的智能HIPS则有微点;国外的著名HIPS则有Comodo、Mamutu等,Windows的UAC也算是轻量级的HIPS。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品