無雨 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 (已編輯) 前言咳咳這篇文其實前幾天就應該發了,發的理念基於有人說hips沒什麼了不起的((不是要筆戰,只是說明發文理念))無奈於課業((該死的基本電學所以延遲了幾天,現在我把測試結果分想出來註:此次測試是有加入規則,hips的特點就是用規則來防禦,所以結果如下。=================================================================分格線,分格線,分格線,分格線,分格線,分格線,分格線,分格線,分格線,分格線,=================================================================程序結束保護結束防毒軟體avast5.0!測試結束EXPLORAR.EXE測試總結:在規則保護的程序下,可以防禦住結束的工具測試、惡意程式。重要資料夾防護WINDOWS資料夾AVAST5.0資料夾試著刪除其檔案總結:個人認為這兩個算是核心檔案存放的地方了,故只測試這兩個,至於WINDOWS則是全部資料夾都有保護到,要一張一張貼圖上過於麻煩,故不全部貼上。鍵盤、螢幕測錄總結:測試的側錄軟體在COMODO下均無效果。病毒實戰測試˙流氓綁架首頁篇雙擊該病毒結果日誌紀錄總結:成功防禦該病毒,首頁沒被綁架。病毒實戰測試˙小浩、新版熊貓燒香、磁碟機測試小浩:新版熊貓燒香:磁碟機:總結:毒王缺一隻懶的測試,也不需要測試,基本上是能夠防禦的住的。以上測試均實機測試,有疑問歡迎提出。有人或許會認為我造假,聲明:我沒有必要造假,也沒必要去弄假圖!!!假如我要放假結果上來的話,那也大可不必花一小時半在這邊發文、測試。有人或許會覺得該測試不能代表什麼,可是我是想要證明;hips是很有用的,至少大部分惡意程序可以防禦的住,我想要證明;光靠防毒是不夠的今天有點累|-),先測到這邊。以下是測試用工具及樣本載點修改首頁病毒,新手物點,危險http://www.sendspace.com/file/8xfe1v測試軟體、工具(其實還有許多工具我沒測試到,有興趣的可以自己玩玩看,看自己的防禦裝備能達到多少的防護。)http://www.sendspace.com/file/oonam2以上載點均自行上傳,毒王就不放載點了,過於危險,有興趣的私信拿吧:p 此內容已被編輯, April 21, 2010 ,由 無雨 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 這些功能WIN7都有,了不起??再來大部份的2010年防毒都有hips,不用偏愛comodo 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 這些功能WIN7都有,了不起??再來大部份的2010年防毒都有hips,不用偏愛comodo很好,很強大那你把諾頓關掉,去點"病毒"看看是否可以跟HIPS的效果一樣要記得截圖上來哦 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 螢幕變暗,說"是否允許改變下列程式改變這台電腦?"滿意了吧?其實這個從VISTA就有了 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 螢幕變暗,說"是否允許改變下列程式改變這台電腦?"滿意了吧?其實這個從VISTA就有了我只是說,關掉諾頓,在WIN7點病毒。是否可以達到跟我規則一樣,防禦以上病毒。如果可以煩請截圖 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 就點了厚,由於他變暗後的畫面無法進行任何指令<為了安全>,故不貼圖喔,是哦那工具呢...麻煩發幾張測試的圖上來那假如WIN7如此好用,是不是不會在被盜帳號那假如WIN7如此的好用,是不是不會在中毒?很好奇你說的WIN7強大性比HIPS高那在WIN7下是否就不用裝任何安全工具? 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 http://behigheveryday.pixnet.net/album/photo/147816611#pictop你給的程式連norton都抓不到有沒有執行,norton果然強大再來你說HIPS很重要在現在來看等於說1+1=2很重要一樣,都是最基本的東西罷了 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 http://behigheveryday.pixnet.net/album/photo/147816611#pictop你給的程式連norton都抓不到有沒有執行,norton果然強大再來你說HIPS很重要在現在來看等於說1+1=2很重要一樣,都是最基本的東西罷了是是 諾頓超強的煩請用該程式去模擬病毒會關掉的程序,我這邊全部程序都all pass都關不掉還有 測試工具不只那些,有測錄的鍵盤的、螢幕的麻煩不要只靠一個程式就再下定論 好嗎? 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 不好意思,你說的測錄的鍵盤的、螢幕的一下載下來解壓縮完就被norton的sonar2找出來砍掉了連測試都不用測試 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 (已編輯) 不好意思,你說的測錄的鍵盤的、螢幕的一下載下來解壓縮完就被norton的sonar2找出來砍掉了連測試都不用測試我是把防毒關掉側的.你要馬就把防毒關掉,要馬就擺在那邊我可以跟你說 諾頓誤判誤很大至少在我這裡檢查過,無後門,病毒只是單純測試鍵盤、螢幕側錄ps.有幾款是側註側表的,我這邊是全過,麻煩把你的測試結果發上來以及clt,測試分數是多少,麻煩跟各位分享一下哦^^ 此內容已被編輯, April 21, 2010 ,由 無雨 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 (已編輯) 不好意思喔,只要程式裡面有惡意程式碼<意圖非法存取>,他就會砍,跟你的comodo是同義的,只是一個一下載就砍,一個在寫入的時候阻止罷了還有你的CLT是comodo自己做的,根本就是球員兼裁判<他連系統是WIN7都可以寫VISTA了> 此內容已被編輯, April 21, 2010 ,由 草語 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 不好意思喔,只要程式裡面有惡意程式碼<意圖非法存取>,他就會砍,跟你的comodo是同義的,只是一個一下載就砍,一個在寫入的時候阻止罷了還有你的CLT是comodo自己做的,根本就是球員兼裁判<他連系統是WIN7都可以寫VISTA了>摁 所以我要的測試呢..?clt是comodo自己做的又怎麼樣了?沒寫防火牆規則還不是都是低分?不懂就別亂說 好嗎我可以發低分的圖上來,那麻煩你也發一個你用諾頓測試的上來該不會是分數不理想吧?附帶一提,他判別win7是版本太舊原因 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 ㄏ140/330到想看看球員兼裁判的comodo測出來會幾分?沒瑰則和有規則的測出來差很多,防火牆規則都是我一步一步寫出來的高分不稀奇..還有麻煩你測試修改註冊表的先放一張沒規則測出來的成績跟完全規則的成績至於為何你的滿分是330分我的卻是280分滿分呢只能跟你說規則太強,自動把一些測試吃掉,如同測試工具測你諾頓一樣,找不到不知這個回答神之火大大滿意否?不好意思唷,我還想看註冊表防禦麻煩發上來 謝謝^^ 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 (已編輯) 請把全部都沒寫的貼上來既然是自己寫的,那就不能叫作comodo的防火牆了如果要自己寫,就算用WINDOWS內建的防火牆都夠了,反正會自己寫嘛!!修改首頁病毒那個嚴格來說並不是針對瀏覽器是針對WINDOWS的預設開啟程式若有同仁手賤中鏢請用http://dl.ijinshan.com/safe/lnkkiller.exe 此內容已被編輯, April 21, 2010 ,由 草語 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 (已編輯) 請把全部都沒寫的貼上來既然是自己寫的,那就不能叫作comodo的防火牆了如果要自己寫,就算用WINDOWS內建的防火牆都夠了,反正會自己寫嘛!!安安為何叫做自己寫規則就不是COMODO防火牆了本來規則是自己訂的,我愛修改、我愛新增為自己習慣的東西為何就不叫做COMODO防火牆不是自己也程式,是自己寫的"規則"那XP把預設設定修改成別的那是否就不叫做XP了..WINDOWS防火牆根本只是擺好看的..請把全部都沒寫的貼上來..規則哦?是要我一張一張貼圖?還是發個規則檔上來給你?那病毒確實是針對綁首頁的...新增一個假IE圖標吧..拜託把註冊表測試發上來,還有解釋一下何為comodo不是comodo防火牆 此內容已被編輯, April 21, 2010 ,由 無雨 鏈接文章 分享到其他網站
草語 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 (已編輯) 防火牆之所以為防火牆,就是許許多多的規則而成立的而防毒軟體的防火牆就像是一個"包",裡面有許許多多的規則<某些寫法不同>,甚至有些還有低級的AI來判別而我們自己增加了規則,就像是你在外面買的雞肉把它做成法國料理一樣,你還能說她是純粹的雞肉嗎?還有不好意思,你看到的東西太superficial了,那個毒不只IE,是所有的程式的右鍵都會被改,並不是針對瀏覽器本身的毒,所以修復瀏覽器事沒有用的還有註冊檔那個跟你的鍵盤側錄程式一樣,遺落在norton的砂丘了 此內容已被編輯, April 21, 2010 ,由 草語 鏈接文章 分享到其他網站
無雨 10 發表於 April 21, 2010 作者 檢舉 Share 發表於 April 21, 2010 (已編輯) 防火牆之所以為防火牆,就是許許多多的規則而成立的而防毒軟體的防火牆就像是一個"包",裡面有許許多多的規則<某些寫法不同>,甚至有些還有低級的AI來判別而我們自己增加了規則,就像是你在外面買的雞肉把它做成法國料理一樣,你還能說她是純粹的雞肉嗎?還有不好意思,你看到的東西太superficial了,那個毒不只IE,是所有的程式的右鍵都會被改,並不是針對瀏覽器本身的毒,所以修復瀏覽器事沒有用的還有註冊檔那個跟你的鍵盤側錄程式一樣,遺落在norton的砂丘了我comodo指裝主動式防禦、跟防火牆哪裡來的防毒軟體哦,規則本來就是給人增強的,聽你在說:'(關於病毒哦,神之火大大超威的欸^^2010-4-8 13:00:45 創建新進程 允許進程: c:\windows\explorer.exe目標: \\vboxsvr\g\setup.exe命令行: "\\Vboxsvr\g\setup.exe"規則: [應用程序組]調戲病毒2010-4-8 13:00:48 創建文件夾 允許進程: \\vboxsvr\g\setup.exe目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-4RHF1.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:00:50 創建文件 允許進程: \\vboxsvr\g\setup.exe目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-4RHF1.tmp\setup.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:00 創建新進程 允許進程: \\vboxsvr\g\setup.exe目標: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-4RHF1.tmp\setup.tmp" /SL5="$3F0318,62892,54272,\\Vboxsvr\g\setup.exe"規則: [應用程序組]調戲病毒2010-4-8 13:01:06 創建文件夾 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:09 創建文件夾 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:11 創建文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup\_RegDLL.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:13 創建文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup\_shfoldr.dll規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:16 創建文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\monitor.jse規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:19 修改文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Program Files\winrar\monitor.jse規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:01:29 創建新進程 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: c:\windows\system32\wscript.exe命令行: "WScript.exe" "C:\Program Files\winrar\monitor.jse"規則: [應用程序組]調戲病毒2010-4-8 13:01:35 創建文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\tao2.ico規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:05 刪除註冊表項 允許進程: c:\windows\system32\wscript.exe目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}規則: [註冊表組]自動執行程序所在位置 -> [註冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*2010-4-8 13:02:13 修改文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Program Files\winrar\tao2.ico規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:15 刪除註冊表項 允許進程: c:\windows\system32\wscript.exe目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\Offline Files規則: [註冊表組]自動執行行程序所在位置 -> [註冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*2010-4-8 13:02:18 刪除文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\monitor.jse規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:20 刪除註冊表項 允許進程: c:\windows\system32\wscript.exe目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers規則: [註冊表組]自動執行程序所在位置 -> [註冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\*2010-4-8 13:02:22 刪除文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\tao2.ico規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:25 修改註冊表值 允許進程: c:\windows\system32\wscript.exe目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command值: "C:\WINDOWS\System32\WScript.exe" "C:\Program Files\Winrar\Monitor.jse" "%1" %*規則: [註冊表組]系統設置 -> [註冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command2010-4-8 13:02:33 刪除文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup\_RegDLL.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:41 創建新進程 允許進程: c:\windows\system32\wscript.exe目標: c:\program files\internet explorer\iexplore.exe命令行: "C:\Program Files\Internet Explorer\iexplore.exe" http://wwv.cz3.net/index13.htm規則: [應用程序]*2010-4-8 13:02:48 刪除文件 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup\_shfoldr.dll規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:52 刪除文件夾 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp\_isetup規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:02:53 刪除文件夾 允許進程: c:\documents and settings\administrator\local settings\temp\is-4rhf1.tmp\setup.tmp目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-RI87D.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:03:02 刪除文件 允許進程: \\vboxsvr\g\setup.exe目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-4RHF1.tmp\setup.tmp規則: [應用程序組]調戲病毒 -> [文件]*2010-4-8 13:03:04 刪除文件夾 允許進程: \\vboxsvr\g\setup.exe目標: C:\Documents and Settings\Administrator\Local Settings\Temp\is-4RHF1.tmp規則: [應用程序組]調戲病毒 -> [文件]* 以上?何為遺落在norton的砂丘了?我測試註冊表的工具裡面只有兩個..是否能發一張諾頓檢測到他們兩個程式的截圖上來?TestRegmon檢測報告http://virscan.org/report/94811b17eb5d02fac71ff58289e55856.htmlBypassRegMon2檢測報告http://virscan.org/report/0bcef6db8cf0b40e7d0657f62a78cf0b.html你說的有毒鍵盤測錄、螢幕報告AKL報告http://virscan.org/report/b08e8e6a76f0b18c0cc7f6dabc26cbc8.html至於那隻病毒,諾頓好像沒報哦http://virscan.org/report/7e33f9ab03f4b48864200092d3ee365f.html 此內容已被編輯, April 21, 2010 ,由 無雨 鏈接文章 分享到其他網站
j100002ben 10 發表於 April 21, 2010 檢舉 Share 發表於 April 21, 2010 兩位還是注意一下口氣尤其是台中一中的神之火每個人這方面都有自己的觀念和堅持不用強迫別人和你一樣別人發表防禦測試也不是在測試你家主機或你的產品不要反應這麼大 鏈接文章 分享到其他網站
無雨 10 發表於 April 22, 2010 作者 檢舉 Share 發表於 April 22, 2010 兩位還是注意一下口氣尤其是台中一中的神之火每個人這方面都有自己的觀念和堅持不用強迫別人和你一樣別人發表防禦測試也不是在測試你家主機或你的產品不要反應這麼大收到..口氣會注意的..感謝版主提醒 鏈接文章 分享到其他網站
草語 10 發表於 April 22, 2010 檢舉 Share 發表於 April 22, 2010 不好意思,我家的版本是17.6的耶再來妳的那個測試病毒的網頁無法使用雲端偵測和SONAR2喔~~再來˙我並沒有強迫別人跟我一樣好的防火牆是白名單和黑名單少,AI自動判別好,並不是加了一堆的白名單和黑名單就是比較好的防火牆,就像如果你寫了一個程式叫他算一百題數學,print出來以後妳又重新訂正他的50個錯誤,然後拿著100分的考卷去說妳寫的程式很厲害?ㄏ再說病毒吧,你有試過FIREFOX和OPERA了嗎?看你的東西好像只有IEXPLORE被竄改,但是他是改整個功能表你現在還沒發現到嗎? 鏈接文章 分享到其他網站
無雨 10 發表於 April 22, 2010 作者 檢舉 Share 發表於 April 22, 2010 (已編輯) 不好意思,我家的版本是17.6的耶再來妳的那個測試病毒的網頁無法使用雲端偵測和SONAR2喔~~再來˙我並沒有強迫別人跟我一樣好的防火牆是白名單和黑名單少,AI自動判別好,並不是加了一堆的白名單和黑名單就是比較好的防火牆,就像如果你寫了一個程式叫他算一百題數學,print出來以後妳又重新訂正他的50個錯誤,然後拿著100分的考卷去說妳寫的程式很厲害?ㄏ再說病毒吧,你有試過FIREFOX和OPERA了嗎?看你的東西好像只有IEXPLORE被竄改,但是他是改整個功能表你現在還沒發現到嗎?哦,那是我疏忽了,不好意思。再來,你說的比較好的防火牆,你的觀點,我無法認同。你去用comodo試試看,看沒加規則是什麼情形。有加規則又是什麼情形。那,你說的比較好的防火牆是諾頓嗎?至於病毒,顆顆`你沒看到我是用火狐發的測試,火狐根本改不了..?他改IE是修改快捷....我前面難道沒說?至於你說的修改功能表= = ?註冊表吧? 功能表?是綁架首頁愛用的手段,建議你可以多去測試看看 此內容已被編輯, April 22, 2010 ,由 無雨 鏈接文章 分享到其他網站
草語 10 發表於 April 22, 2010 檢舉 Share 發表於 April 22, 2010 火狐改不了?那我手賤忽略警告搞出來的東西是啥?目前只有GOOGLE CHROME幸免於難 鏈接文章 分享到其他網站
無雨 10 發表於 April 22, 2010 作者 檢舉 Share 發表於 April 22, 2010 火狐改不了?那我手賤忽略警告搞出來的東西是啥?目前只有GOOGLE CHROME幸免於難我這邊不只火狐改不了、ie也改不了哦。不然我設規則是做什麼?安安 HIPS的定義是: 入侵預防系統(IPS: Intrusion Prevension System)是電腦網路安全設施,是對防病毒軟體(Antivirus Programs)和防火牆(Packet Filter, Application Gateway)的補充。 入侵預防系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害信得網路資料傳輸行為。 隨著電腦的廣泛應用和網路的不斷普及,來自網路內部和外部的危險和犯罪也日益增多。20年前,電腦病毒(電腦病毒)主要通過軟盤傳播。後來,用戶打開帶有病毒的電子信函附件,就可以觸發附件所帶的病毒。以前,病毒的擴散比較慢,防毒軟體的開發商有足夠的時間從容研究病毒,開發防病毒、殺病毒軟體。而今天,不僅病毒數量劇增,質量提高,而且通過網路快速傳播,在短短的幾小時內就能傳遍全世界。有的病毒還會在傳播過程中改變形態,使防毒軟體失效。 目前流行的攻擊程序和有害代碼如 DoS (Denial of Service),DDoS (Distributed DoS),暴力猜解(Brut-Force-Attack),埠掃瞄(Portscan),嗅探,病毒,蠕蟲,垃圾郵件,木馬等等。此外還有利用軟體的漏洞和缺陷鑽空子、幹壞事,讓人防不勝防。 網路入侵方式越來越多,有的充分利用防火牆放行許可,有的則使防毒軟體失效。比如,在病毒剛進入網路的時候,還沒有一個廠家迅速開發出相應的辨認和撲滅程序,於是這種全新的病毒就很快大肆擴散、肆虐於網路、危害單機或網路資源,這就是所謂Zero Day Attack。 防火牆可以根據英特網地址(IP-Addresses)或服務埠(Ports)過濾數據包。但是,它對於利用合法網址和埠而從事的破壞活動則無能為力。因為,防火牆極少深入數據包檢查內容。 每種攻擊代碼都具有只屬於它自己的特徵 (signature), 病毒之間通過各自不同的特徵互相區別,同時也與正常的應用程序代碼相區別。除病毒軟體就是通過儲存所有已知的病毒特徵來辨認病毒的。 在ISO/OSI網路層次模型(見OSI模型) 中,防火牆主要在第二到第四層起作用,它的作用在第四到第七層一般很微弱。而除病毒軟體主要在第五到第七層起作用。為了彌補防火牆和除病毒軟體二者在第四到第五層之間留下的空檔,幾年前,工業界已經有入侵偵查系統(IDS: Intrusion Detection System)投入使用。入侵偵查系統在發現異常情況後及時向網路安全管理人員或防火牆系統發出警報。可惜這時災害往往已經形成。雖然,亡羊補牢,尤未為晚,但是,防衛機制最好應該是在危害形成之前先期起作用。隨後應運而生的入侵反應系統(IRS: Intrusion Response Systems) 作為對入侵偵查系統的補充能夠在發現入侵時,迅速作出反應,並自動採取阻止措施。而入侵預防系統則作為二者的進一步發展,汲取了二者的長處。 入侵預防系統也像入侵偵查系統一樣,專門深入網路數據內部,查找它所認識的攻擊代碼特徵,過濾有害數據流,丟棄有害數據包,並進行記載,以便事後分析。除此之外,更重要的是,大多數入侵預防系統同時結合考慮應用程序或網路傳輸重的異常情況,來輔助識別入侵和攻擊。比如,用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統雖然也考慮已知病毒特徵,但是它並不僅僅依賴於已知病毒特徵。 應用入侵預防系統的目的在於及時識別攻擊程序或有害代碼及其克隆和變種,採取預防措施,先期阻止入侵,防患於未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火牆 和防病毒軟體的補充來投入使用。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據 (forensic)。入侵預防技術* 異常偵查。正如入侵偵查系統, 入侵預防系統知道正常數據以及數據之間關係的通常的樣子,可以對照識別異常。* 在遇到動態代碼(ActiveX, JavaApplet,各種指令語言script languages等等)時,先把它們放在沙盤內,觀察其行為動向,如果發現有可疑情況,則停止傳輸,禁止執行。* 有些入侵預防系統結合協議異常、傳輸異常和特徵偵查,對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。* 核心基礎上的防護機制。用戶程序通過系統指令享用資源 (如存儲區、輸入輸出設備、中央處理器等)。入侵預防系統可以截獲有害的系統請求。* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。入侵預防系統類型投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵預防系統(HIPS: Hostbased Intrusion Prevension System)和網路入侵預防系統(NIPS: Network Intrusion Prevension System)兩種類型。 網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備,切斷交通,對過往包裹進行深層檢查,然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常,阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答,然後,看誰使用這些回答信息而請求連接,這樣就能更好地確認發生了入侵事件。 根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點,單機入侵預防系統監視正常程序,比如Internet Explorer,Outlook,等等,在它們(確切地說,其實是它們所夾帶的有害代碼)向作業系統發出請求指令,改寫系統文件,建立對外連接時,進行有效阻止,從而保護網路中重要的單個機器設備,如伺服器、路由器、防火牆等等。這時,它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說,單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道,入侵是指有害代碼首先到達目的地,然後幹壞事。然而,即使它僥倖突破防火牆等各種防線,得以到達目的地,但是由於有了入侵預防系統,有害代碼最終還是無法起到它要起的作用,不能達到它要達到的目的。以上要看不看隨你,我主要只是要說:HIPS設規則是必定的,不然FD+AD+RD是弄假的?安,所以你中標了哦 顆顆? 鏈接文章 分享到其他網站
Recommended Posts