敦塔嘛敦厚是什么意思么
点击联系发帖人
时间:2018-06-17 06:24
法国赛普敦无痛麻醉
为了使『美冠塔』在&无痛治疗&领域卓尔不群,门诊引进了法国赛普敦公司出品的Aneaject无痛电子麻醉注射系统。赛普敦公司创立于1932年,是全球最大的口腔局麻制造商和销售商,是全球根管治疗产品的绝对领导者。
& & & &Aneaject无痛电子麻醉注射系统
是一种由计算机控制速度的麻醉技术,能保证缓慢而稳定的注射速度,使用的针头非常细小,基本可以做到注射时的无痛。
& & & &Aneaject无痛电子麻醉注射系统
& & & &已获得美国FDA、ADA认证,使用该系统麻醉效果更快,麻药用量更少,最大限度减轻了对心脏和大脑的负担,并减少了针头的偏转,使注射更为精确,减轻了患者的恐惧心理和疼痛感,此种无痛技术已列入美国部分医学院的教学课程。
& & & &电脑自动控制理想的注射速度
& & & &当选择自动模式时,注射速度会逐渐加快,直到达到选择的速度:低速、中速或高速。电脑自动控制速度以降低注射的疼痛。可在准确的部位注射适量的麻醉剂,不会引起疼痛。
& & & &当选择匀速模式时,在注射的过程中,速度保持不变。
& & & &触摸式按键避免了针尖的不稳定
& & & &用指尖轻触&开始/停止&键即可开始注射,松开即可停止。不需要用很大的力气而引起注射时的疼痛。
& & & &注射仪前方有个安全感应器,同时接触&开始/停止&键和安全感应器才能注射。
& & & &★美冠塔规定
& & & &『美冠塔』各门诊在注射麻药时,均需使用Aneaject无痛电子麻醉注射仪,并且不收任何费用,免费使用。
上一篇: 下一篇:
北京美冠塔口腔医院是我国第一家以中老年为主要服务人群的大型连锁口腔专科,在服务项目上以“中老年镶牙、种牙”为特色,致力于解决各种中老年口腔问题。在北京,美冠塔现已拥有4家大型分院——酒仙桥分院、安华桥分院、新兴桥分院和慈云寺分院,占地面积5200平米,共有60多间诊室、100多名医护人员,为广大中老年朋友提供舒适、优质的服务。
不是每一位牙科医生都能加入美冠塔医师团队。为打造最专业、最高效的医师团队,美冠塔绝不接收实习医生、助理医生和经验不足的进修医生。美冠塔医师团队现有专业口腔医师40余名,每位加入美冠塔医师团队的医生,首先必须是正规大学口腔医学系毕业并取得执业医师资格,还至少要有3-5年的一线诊断临床经验(尤其是附着体技术的临床)
北京美冠塔口腔 京ICP备号-1
免责申明:本网站部分图片或文章来源于互联网,如无意中对您的权益构成侵权,我们深表歉意,请来电告知,我们立即删除。请完成以下验证码
查看: 23725|回复: 58
揭开HIPS那看似神秘的面纱(16年8.31更新)
电脑发烧友
本帖最后由 电脑发烧友 于
21:17 编辑
增加卡巴对于论坛内两种写启动方式的应对规则。
经过权衡之后加入了对sys驱动文件操作的监控。
(174.04 KB, 下载次数: 90)
21:12 上传
点击文件名下载附件
目录(一)HIPS当前状况及发展趋势
(二)HIPS必备基础
(三)我们该做些什么
(四)触摸HIPS核心——规则
(五)深入规则核心——权限分配
(六)卡巴斯基应用程序控制(HIPS)简单配置
(七)火绒自定义模块(HIPS)简单配置
(八)ESET的HIPS简单配置
(九)COMODO中HIPS规则的详细配置
(十)写在最后
(十一)内容引用说明
这个帖子从8月15号开始写,到今天时间也不短了,期间多次调整思路,最坑的是很多截图论坛都显示不出来,必须丢到格式工厂里转换一下格式才行。如果有错误还请指出。
PS:HIPS老鸟请无视----
我新建了一个HIPS讨论群,欢迎新人老鸟加入,我知道这类群容易冷,所以我会尽力解答问题,但是本身学业繁重,在此希望有HIPS使用经验的人进群解决群友提问的问题,并负责群内的管理(管理员)
4.png (0 Bytes, 下载次数: 6)
22:10 上传
扫描二维码加群
本帖多数情况下会用图来代替文字性内容,因为太多的文字会让人没有耐心看下去,多使用图的话可以起到缓解的效果。
现在的手动HIPS进入了低谷期,但是HIPS本身却得到了发展,Kaspersky(卡巴斯基),ESET,360,McAfee等杀软都加入了HIPS来提高与病毒对抗的能力,说明HIPS本身还是没有没落,只是由于各项技术的发展,使得原来几乎不可能易用的HIPS功能变得更加的易用,智能而且具有较高的安全性。每当杀软的HIPS拦截到一个行为的时候,会检索数据库,就会得出这个程序是否应该有此行为,以做出更加合适的决定,国内的360应用的就是类似的判断策略,有些杀毒软件将HIPS晦涩难懂的提示简化为清晰易懂的文字,我们这里360为例,请看下图
QQ截图47.png (0 Bytes, 下载次数: 4)
22:16 上传
弹窗中给出的提示为“修改文档或图片”首先我们明白这是一个修改文档或图片的行为,但是这类提示在简化之前是这样的——A.EXE尝试修改一个受保护的文件,然后在列出路径——D:\工作目录\材料报表\总结.xlsx(打个比方),这种提示对于没有这方面基础的人也很难一眼看懂,但是360对其进行了简化,配合后面的提示,能够轻易的知道这很可能是一个恶意行为,而且在我们正常使用文档的时候并不会弹窗,这也是依赖于智能化的。试想,当我们碰到HIPS弹窗询问,首先,被修改的文件是干什么的?被修改之后会怎样?这个行为是不是恶意行为呢?没有足够的经验是很难做出判断的,但是杀软会结合数据库,之前的行为等数据辅助判断这是不是一个恶意行为,最终确定是否要弹窗拦截,这就是HIPS走向智能化的一个表现。
再次以360为例
QQ截图29.png (0 Bytes, 下载次数: 5)
22:25 上传
弹窗的文字提示内容为”风险脚本“,我们不难想到这很可能是一个恶意行为,但是这个行为在简化之前是这样的。HIPS弹窗询问某个程序尝试执行wacript.exe,这个弹窗所给的信息需要进一步处理才能得出这是在运行一个脚本,这对于缺乏基础的新人是一个难点,然后我们需要结合之前的行为找到脚本,如果没加密可以直接得出脚本是否存在问题,如果加密了则更麻烦。但是杀软可以根据之前的行为,数据库信息,以及脚本的安全等级来决定是否弹窗拦截,这是HIPS智能化的一个重要表现。
HIPS在如今都有什么用:
首先,杀毒软件可以通过加入HIPS功能来为用户提供更加可靠的安全保障。其次,用户可以使用合适的HIPS软件来对某个程序进行行为分析,有经验的用户还可以集合自己的经验和直觉做出更加详细的行为总结。同时,利用它们,可以基本做到对自己电脑的完全控制,安全性自不待言,这种完全控制的感觉更加能够让人获得心理上的满足和愉悦。只是,这类HIPS,在提供极致安全性和心理满足感的同时,也同时将准入的门槛抬高了不少,以至于很多新人只能在遥望美丽的空中楼阁的同时,站在高高的门槛前望而却步。
16年年度奖励
版区有你更性感: )
版区有你更精彩: )
版区有你更精彩: )
感谢提供分享
本帖被以下淘专辑推荐:
& |主题: 125, 订阅: 202
电脑发烧友
本帖最后由 电脑发烧友 于
10:47 编辑
一、HIPS必备基础
HIPS在干什么?为什么不停的有框弹出来?这些提示框都显示了什么信息?相信,刚刚步入HIPS大门的新手首先要面对的就是这样的困惑了!
正所谓“九层之台,起于垒土”,想要把HIPS玩好,一些基础的东西还是必须的。
第一条:HIPS。以下是百度百科的定义基于主机的入侵防御系统。HIPS是一种系统控制软件,它能监控电脑中文件的运行,对文件的调用,以及对注册表的修改。
比起官方式的解释,HIPS更像一个警察,“法律”上允许的事情,他不会管,“法律”上不允许的事情,他会不顾一切的阻止,而这位“警察”的“法律”就是HIPS的规则。
第二条:对象。学过编程的人应该对这个定义有所了解。现实生活中的“对象”就是人们常说的“东西”。对于系统来说,进程,程序,文件这些都是一个个的“东西”,也就是对象~!
第三条:AD,FD,RD的含义。以下是百度百科的内容AD(Application Defend)应用程序防御体系
RD(Registry Defend)注册表防御体系
FD(File Defend)文件防御体系
FD行为通俗的说就是操作文件的行为,包括对本地文件的“读取”“创建”“写入”“删除”,弹窗示例如下
FD——1.png (0 Bytes, 下载次数: 4)
23:06 上传
FD——2.png (0 Bytes, 下载次数: 4)
23:06 上传
RD行为通俗的说就是对注册表的操作,包括对注册表项的“读取”“创建”“写入”“删除”,弹窗示例如下
RD——1.png (0 Bytes, 下载次数: 5)
23:11 上传
AD行为我们可以简单的认为除了FD行为和RD以外的行为都是AD行为,常见的AD行为有
”加载驱动(设备驱动程序安装)“
”安装钩子“
”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“
”结束\挂起进程(进程终止)“
”修改其他进程内存(进程间内存写)“
”直接访问物理内存“
”直接访问底层磁盘“
”获得键盘的输入记录“
”获得屏幕内容“
”窗口消息“
”访问COM接口“
弹窗实例如下
AD——1.png (0 Bytes, 下载次数: 5)
23:25 上传
AD——2.png (0 Bytes, 下载次数: 5)
23:25 上传
AD——3.png (0 Bytes, 下载次数: 5)
23:25 上传
第四条:对象。学过编程的人应该对这个定义有所了解。现实生活中的“对象”就是人们常说的“东西”。对于系统来说,进程,程序,文件这些都是一个个的“东西”,也就是对象~!
第五条:规则。请见第一条。
第六条:通配符。
通配符*和?两者,。* 是比较常用的,可以代表任意字符,可以表示所有文件、注册表项目、COM接口。通过和\ 的组合,可以表示目录和注册表的层次。
? 一般代表单独的字符,用的比较少,?:可以用来表示盘符。
COMODO的通配符目前不支持单独的目录操作,目录也是文件。* 都是包括所有子目录的。
假设操作系统的安装目录为C:
%windir% = C:\Windows
%SystemRoot% = C:\Windows
%temp% = C:\Documents and Settings\用户名\Local Settings\Temp
%AllUsersProfile% = C:\Documents and Settings\All Users
%UserProfile% = C:\Documents and Settings\用户名
%AppData% = C:\Documents and Settings\用户名\Application Data
%ProgramFiles% = C:\Program Files
%CommonProgramFiles% = C:\Program Files\Common Files
C:\* 表示C盘下的所有文件
C:\*.exe 表示C盘下的所有exe文件
C:\*\* 表示C盘第一层目录下的所有文件
%windir%\system32\* 表示C:\Windows\System32 下的所有文件
C:\test\test1\*.* C:\test\test1 下所有带后缀名的文件和带. 的目录,对于test1目录操作不保护。
C:\test\test* C:\test 目录下的以test开头的文件和目录,保护目录操作,如不能重命名test1 目录
?:\autorun.inf 表示所有根目录下的autorun.inf
?:\* 表示所有文件,包括目录
?:\*.* 表示所有带后缀名的文件和带. 的目录
*.exe 表示全盘所有exe文件
*.dll 表示全盘的所有dll文件
?:\Documents and Settings\*\Cookies\*.txt 表示类似C:\Documents and Settings\All Users\Cookies 和C:\Documents and Settings\用户名\Cookies 下的所有txt文件
*\Software\Microsoft\Windows\CurrentVersion\Run*
表示HKLM | HKCU\Software\Microsoft\Windows\CurrentVersion\ 下 所有以Run 开头的键值和项,及项下面所有子项,子键。
第六条:优先级。当多条规则匹配到同一个程序的时候只有一个规则能生效,优先级决定是哪一条规则被生效。具体的优先级说明论坛中很多帖子都有说明,鉴于容易把人搞懵,我现在不会说,因为每一款HIPS的优先级设定很可能都不一样。
第七条:父进程\子进程。在某种情况下,才会有父进程和子进程之分。在一个进程创建另外一个进程的情况下,被创建的进程称为“子进程”,另一个进程称为“父进程”,即使这个“子进程”后来又创建了一个进程B,那么在它创建进程B的这个角度来看,进程B是“子进程”,而一开始一开始所提到的子进程就是“父进程”,如果是新人,看到这里你会想到什么?我来猜猜,请看下面从南边来了个喇嘛,提拉着五斤塔嘛。从北边来个哑吧,腰里别着个喇叭,提拉塔嘛的喇嘛,要拿塔嘛换别喇叭哑巴的喇叭,别喇叭的哑巴,不愿意拿喇叭换提拉塔嘛喇嘛的塔嘛。提拉塔嘛的喇嘛拿塔嘛打了别喇叭的哑巴一塔嘛,别喇叭的哑巴,拿喇叭打了提拉塔嘛的喇嘛一喇叭。也不知提拉塔嘛的喇嘛拿塔嘛打坏了别喇叭哑巴的喇叭。也不知别喇叭的哑巴拿喇巴打坏了提拉塔嘛喇嘛的塔嘛。提拉塔嘛的喇嘛敦塔嘛,别喇叭的哑巴吹喇叭。
是不是绕口令,如果你没有这种感觉,那么恭喜你,这一块你过关了,反之,请看下面两张图
TAN————1.png (0 Bytes, 下载次数: 4)
19:47 上传
TAN————2.png (0 Bytes, 下载次数: 5)
19:47 上传
不同的情况子\父进程的命名是不同的,也就是说,父进程\子进程的称呼永远是相对的,没有绝对的。
第八条:弹窗。弹窗中的选项都是啥意思?给我们提供了什么信息?请看下图
TAN——1.png (0 Bytes, 下载次数: 4)
20:12 上传
这个弹窗的文字说明为“explorer.exe”正试图执行&危险文件.exe&,这个意思大家很容易理解,这里就不解释了。那么这些选项都代表着什么?如果我们点击允许,那么表现为“explorer.exe”成功执行了&危险文件.exe&。
如果我们点击阻止,会出现一下几个选项
TAN——2.png (0 Bytes, 下载次数: 5)
20:09 上传
“仅阻止”——阻止&explorer.exe&执行&危险文件.exe&这个行为。
“阻止并终止”——阻止&explorer.exe&执行&危险文件.exe&这个行为后,结束“explorer.exe”这个进程。
“阻止.终止并恢复”——阻止&explorer.exe&执行&危险文件.exe&这个行为后,结束“explorer.exe”这个进程且还原explorer.exe这个进程的所有操作。
如果我们选择信任为,请看下图
TAN——3.png (0 Bytes, 下载次数: 5)
20:10 上传
那么点击其中一个项目之后,“explorer.exe”将使用提前设置好的某项规则。
到了这里,新人对基础名词的了解应该差不多可以了,如果没看懂,下面的内容估计就更看不懂了。
(0 Bytes, 下载次数: 22)
20:00 上传
越来越性感:)
版区有你更精彩: )
电脑发烧友
本帖最后由 电脑发烧友 于
09:50 编辑
二、我们该做些什么
了解了基础名词,读懂了提示框的信息,这仅仅是杯水车薪,新人们即将面对的是更加困难的选择,即使明白了到底发生了什么事件,可是事件本身到底是什么含义呢。究竟我们又该做些什么呢?
第一条:我们将会面对哪些行为。请看下图
QQ截图13.png (0 Bytes, 下载次数: 4)
20:31 上传
FD行为为:“修改受保护的文件\目录”
RD行为为:“修改受保护的注册表键”
AD行为为:
“进程间内存访问(进程间内存读\进程间内存写)”
“进程执行(运行一个可执行程序\创建一个进程等)”
“窗口或事件钩子(安装钩子\安装全局钩子)”
“设备驱动程序安装(加载驱动)”
“进程终止(结束进程\结束关键进程)”
“内存(直接访问物理内存)”“访问受保护的COM接口(访问关键COM接口)”
“底层磁盘访问(直接访问底层磁盘)”
“屏幕监视器(直接访问屏幕\获取屏幕内容)”
“键盘(直接访问键盘\键盘监听\记录键盘等)”
“DNS\RPC客户端服务(域名解析客户端服务)”
AD行为中,高度危险行为红色,风险行为为蓝色,其他行为为黑色
第二条:高危行为为什么高危?可疑行为为什么可疑?
设备驱动程序安装(加载驱动):通过加载驱动可以获得系统的最高权限,然后可以为所欲为,安全软件却束手无策。
内存(直接访问物理内存):Windows上的进程都运行在系统分配的虚拟内存空间中,一般情况下不会涉及到物理内存,操作物理内存的行为都是由系统完成的,程序只能发送请求,却不被允许直接操作。如果一个程序尝试绕过这种机制,直接去操作物理内存通常会有很高的系统特权会被认为是恶意行为。
底层磁盘访问(直接访问底层磁盘):系统的安全机制不允许程序直接去修改磁盘上的信息,而是需要向系统发送申请,由系统来派遣专门的程序来执行操作,这不仅方便了开发者,也提高的安全性。如果一个程序尝试绕过这种机制,直接修改磁盘上的信息通常被认为是恶意行为。
进程间内存写:通过修改某个进程的内存可以改变(控制)这个进程的行为,尽管这在日常使用中十分常见,但是恶意软件也很乐意与使用这种方式来控制某个进程,进而使这个进程变为“傀儡”来代替真正的恶意软件来执行恶意操作。
安装全局钩子:程序通过挂钩子的方式来截取某些消息,例如我的击键信息,鼠标的点击情况。广告屏蔽软件可以利用钩子来屏蔽广告,同时恶意软件也可以利用全局钩子来截取我们的敏感新,或者来拦截某些正常的操作\杀毒操作等。
键盘(直接访问键盘\键盘监听\记录键盘等):这个不难理解,无非就是知道我们在键盘上都按下了那个键。需要注意的是,在COMODO中,这个行为还意味着允许模拟的击键操作,所以需要额外注意。
第三条:FD行为和RD行为是不是不重要。
不一定,FD和RD的事件很简单,除了FD多出一个读取外,主要就是创建,修改和删除。那么FD和RD的危险等级实际上取决于FD和RD所指向的区域的危险等级。关于FD和RD究竟应该保护那些部分,下面会提到。
第四条:编写规则的最基本思路。
首先,需遵循高危行为全局阻止,可疑的行为弹窗询问,无关紧要的行为直接放行的原则,否则规则不是太严厉导致易用性极低,或者过于松导致防御能力不靠谱。
其次,以规则特点来确定我们需要哪类规则,一般分为两大类
类似白名单类:除了可信的程序其他的程序一律阻止或者给予其较低的权限,或者对信任的程序也给予一定的限制,防止其执行不需要的行为或者被恶意利用。
——多数规则为此类规则,易用性可以控制到合适的水平,而且安全性比较可靠。
类似黑名单类:我们可以理解为一系列被阻止的事件。比如,我们可以创建一个规则,允许任意程序向%WinDir%\system32\文件夹下写入任何文件,但是禁止写入spoclsv.exe(熊猫烧香的一个典型文件名)。这样,写入其它文件都不会有问题,而当病毒试图释放spoclsv.exe到system32目录的时候,规则就会阻止这个事件,从而保护了系统的安全。
——这种规则似乎很少见,因为虽然易用性很好,但是效率实在太低了,而且安全性低,如果仅仅用来防流氓的话,还是比较可靠。
规则,是HIPS的核心和灵魂。规则的强弱,好坏,直接影响着HIPS的工作效率和效果。关于创建HIPS规则的帖子有很多,技巧也有很多,我到后面会把能想到的写出来。
版区有你最精彩: ),你写这么多楼,都没.
版区有你更精彩: )
电脑发烧友
本帖最后由 电脑发烧友 于
20:46 编辑
三.触摸HIPS的核心——规则
第一条:规则基础。HIPS之所以能够发挥作用,规则可以说是它的核心。规则决定着HIPS拦截什么操作,不拦截什么操作,以至于决定电脑的命运。
当你刚开始使用某个HIPS时,你会发现干什么事情都有弹窗,而且很多都是重复的,以至于让新人很快的放弃了这款工具。遇到这种情况,就说明我们迫切得需要建立一些规则,从弹窗说起,请看下图
QQ截图56.png (0 Bytes, 下载次数: 4)
00:53 上传
当我们勾选“记住我的选择”并且对所提示的行为做出处理之后(允许.拦截),下次再次遇到相同的行为时,HIPS就会自动做出选择,而不是弹窗询问,原理就是HIPS创建了一条规则,这个规则仅允许了这个行为,所以我们不不需要做相同的决定,而不影响其他行为的拦截结果。
TAN——3.png (0 Bytes, 下载次数: 4)
00:56 上传
当我们点击“信任为”之后,下面会列出已经设置好的规则,选择后,动作发起者将会遵守这个规则,什么行为该拦截,什么行为该提示,什么行为该放行会完全遵守规则。
规则分类:
预定义规则:这类规则事先给出了一些行为的明确处理方式(阻止\允许),甚至于给出了这些处理方式适用的“源对象”(动作发起者)(其实就是弹窗左边的那个程序),一般情况下,这种规则会用于系统程序以及杀毒软件,有时候还包含常见的软件。
全局规则:对于预定义规则中没有列入的“源对象(动作发起者)(其实就是弹窗中左边的那个程序)”,或者没有给出明确处理方式(允许\阻止而非询问)的行为进行最后裁决,如果在全局规则中依旧没有找到明确的处理方式就弹窗询问用户,反之,按照规则给出的处理方式处理。
以上所说分类在实际的规则编写过程中毫无卵用,唯一有用的时候是在看帖子的时候不会看不懂名词。
第二条:如何写出高质量的规则。首先,你需要熟悉你所使用的HIPS(简单),然后,能够熟练的编写单条规则(简单),接着,你需要熟悉规则间的流程关系,并且能够把每一条的规则放到流程上合适的位置,最终形成一套规则(入门后极短时间内即可掌握),最重要的也是最重昂要的,需要用户了解系统安全方向的基础尝试,以及熟悉各类恶意软件的行为以及其可能造成的危害(时间,这个需要时间)。
第三条:恶意软件常见的行为。前面已经提到,想要写出好的规则对恶意软件的行为要有底,下面将会进行讲解。
从传播途径的角度来说,分为可移动设备传播\网络传播(包括QQ接收文件,下载等途径,我们这里讨论的是通过网页挂马的途径传播)这两种。
通过可移动设备传播的病毒,例如U盘病毒,最有效的方式就是禁止根目录的程序被运行(AD)并禁止读取存在于根目录的autorun,.inf文件(FD),因为U盘病毒通常会创建病毒文件到U盘根目录,同时在U盘根目录创建一个autorun,.inf驱动文件指向病毒,当用户双击U盘时在后台自动运行病毒。这里所提到的禁止运行没有想象的那么简单,阻止读取autorun,.inf的原因我现在也不说,后面会提到的。
通过网站挂马的方式传播,最有效的方式就是对创建可执行文件这个动作弹窗询问(FD)(如果直接阻止容易造成大量误杀),也可以加上当执行一个未知程序的之后弹窗询问(AD)。首先,网站上的挂马会被下载到本地上,行为上的表现为创建了一个可执行文件,然后程序需要启动,在行为上的表现为执行一个程序。所以对付网站挂马以上两条其中一条即可,但是也没有那么简单,至于原因,我后面也会提到。
从恶意软件的类型的角度来说,可分为感染类(这个容易理解吧)\恶意破坏类(以系统无法使用为目标)\木马类(以盗取信息和远程控制为目的)\恶意推广类(俗称的流氓软件)\勒索软件(锁屏\锁机[开机密码\MBR]\锁文件)【此类程序应该属于木马,鉴于目前较为流行故独立出来】
感染类程序通常会有以下行为:
1.通过写注册表的方式添加自启动项(RD)——方便重复感染
2.创建病毒文件到磁盘根目录(FD),同时在磁盘根目录创建一个autorun,.inf驱动文件指向病毒(FD),当用户双击磁盘时在后台自动运行病毒。——方便重复感染
3.感染目标文件(FD)或者控制傀儡进程(AD)执行操作,被感染的文件在被使用的时候会重复感染操作(FD)。——方便重复感染
4.其他降低安全性的操作(AD,FD,RD)——例如禁用windows defender(系统自带杀软),禁用任务管理器等行为
5.其他用于自启动的操作(FD)——例如篡改快捷方式等
6.母体自删除
恶意破坏类程序通常会有以下行为:
1.通过写注册表的方式添加自启动项(RD)——可能不会有这个行为,因为这类样本跑完之后系统基本就废了,重复启动意义不大。
2.大面积改写或者删除文件(FD)或者控制傀儡进程(AD)执行操作,导致系统无法正常使用。
3.在执行完破坏操作后关闭系统(AD)
4.其他降低安全性的操作(AD,FD,RD)——例如禁用windows defender(系统自带杀软),禁用任务管理器等行为
木马类程序通常都有一下行为
1.通过写注册表的方式来添加自启动项(RD)——为了长期驻留系统以窃取信息,一次性的马不会有这个行为。
2.在隐蔽位置释放衍生物(FD)并执行(AD)
3.通过各种方式窃取重要信息或者远程控制用户(AD,FD)或者控制傀儡进程(AD)执行操作——安装钩子,读取重要文件内容等
4.其他降低安全性的操作(AD,FD,RD)——添加windows防火墙例外列表等
5.其他用于自启动的操作(FD)——篡改快捷方式等
6.母体自删除
恶意推广类程序通常有以下行为
1.通过写注册表的方式添加自启动项(RD)
2.在指定目录释放指定的软件安装包(FD)并执行(AD)
3.被释放的安装包会执行正常的软件安装方式,少数安装包会有特殊安装方式来防止用户卸载(FD,AD,RD)
4.修改浏览器快捷方式来达到类似于锁定主页的效果,创建用于推广的快捷方式等(FD)
5.篡改浏览器主页(RD),少数样本会有修改收藏夹的动作(RD)
6.其他用于自启动的操作(FD)——向启动文件夹内写入文件等
7.其他降低安全性的操作(AD,FD,RD)——添加windows防火墙例外列表等
勒索程序通常具有以下行为
<font color="#.在指定位置释放衍生物并且执行(FD,AD)
<font color="#.由衍生物执行加密操作(FD)或者控制傀儡进程(AD)执行加密操作。
<font color="#.弹出勒索信息,并将勒索信息加入启动项。
当然还有一类恶意软件我们没有说,他可能隶属所有的类型,而且更可怕,那就是Rootkit,此类程序一般具有很高的隐蔽性和重生能力,具有和杀软进行对抗的能力,通常会有”提权“行为,要是正常提权倒是好说,如果附带个提权漏洞那基本就没得玩了。
说了这么多的恶意行为,大家可以看到在恶意软件整个从下载到运行并破坏系统的过程中,HIPS有多少机会可以阻止恶意软件的破坏。这也是手动HIPS安全性高的原因。因为一个程序(无论是正常还是非正常)的运行过程被HIPS完全分割开来,想要运行起来并产生破坏,就要经过多次的询问,这中间任何一个环节,用户选择了阻止,都能够有效的起到防护的作用。同时,假如单一的一个提示仍然无法得出准确结论的话(比如iexplorer.exe从temp文件夹启动了一个1.exe),那么后续的一系列高危险动作(释放衍生物文件到系统目录,注入dll到系统关键进程,添加自启动项……)就应该能够让用户可以很清楚的意识到,这是个恶意软件!!
第四条:规则需要拦截的行为。从上面的行为中,我们不难总结出几条编写规则的“万能公式“
1.对于添加自启动项的行为直接阻止或者弹窗询问
2.对于高危了AD行为直接阻止,加载驱动,直接访问底层磁盘等
3.对于修改敏感位置的文件的行为予以阻止或者询问
4.其他可疑行为\危险行为要询问或阻止
第五条:上手编写规则。以下的注册表\文件路径来自&&(有改动)
AD部分(推荐询问\拦截)
Automatic Startup 自动运行
*\Software\Microsoft\Windows\CurrentVersion\Run*
*\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run*
*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run*
*\Software\Microsoft\Command Processor\AutoRun
*\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
*\Software\Policies\Microsoft\Windows\System\Scripts\*
*\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell\*
*\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\NonWindowsApp\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\standard\*
*\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\*
*\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*
*\Software\Policies\Microsoft\Windows\System\Scripts\Startup
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
*\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup
*\Software\Microsoft\Internet Explorer\URLSearchHooks\*
HKLM\System\ControlSet???\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Microsoft\Active Setup\Installed Components\*\StubPath
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SYSTEM\ControlSet???\Control\Session Manager\PendingFileRenameOperations
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
HKLM\SYSTEM\ControlSet???\Control\WOW\*
HKLM\SYSTEM\CurrentControlSet\Control\WOW\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\Shell\*
Important Keys 其它重要项
HKLM\SYSTEM\ControlSet???\Services\*
*\Software\Classes\?\shellex\ContextMenuHandlers\*
*\Software\Classes\*file\shell\*\command\*
*\Software\Classes\.exe\*
*\Software\Classes\.bat\*
*\Software\Classes\.com\*
*\Software\Classes\.cmd\*
*\Software\Classes\.reg\*
*\Software\Classes\.scr\*
*\Software\Classes\.vbs\*
*\Software\Classes\.vbe\*
*\Software\Classes\.pif\*
*\Software\Classes\.jar\*
*\Software\Classes\.js\*
*\Software\Classes\.pif\*
*\Software\Classes\.cpl\*
*\Software\Classes\.txt\*
*\Software\Classes\.ini\*
*\Software\Classes\.lnk\*
*\Software\Classes\.html\*
*\Software\Classes\.htm\*
*\Software\Classes\.doc\*
*\Software\Classes\.xls\*
*\Software\Classes\.ppt\*
*\Software\Classes\.rtf\*
*\Software\Classes\.hta\*
*\Software\Classes\.gif\*
*\Software\Classes\.jpg\*
*\Software\Classes\.png\*
*\Software\Classes\.mdb\*
*\Software\Classes\.eml\*
*\Software\Classes\.mp3\*
*\Software\Classes\.shs\*
*\Software\Classes\.wsh\*
*\Software\Classes\.rar\*
*\Software\Classes\.zip\*
*\Software\Classes\.jpeg\*
*\Software\Classes\.Folder\*
*\Software\Classes\Shell*
*\Software\Classes\Unknown\Shell*
*\Software\Classes\Folder\Shell*
*\Software\Classes\?\Shell\*
*\Software\Classes\mailto\shell\open\command\*
*\Software\Classes\*\ShellNew
*\Software\Classes\*\Shell\*\Command*
*\Software\Classes\Directory\Shell*
*\Software\Classes\*\NeverShowExt
*\Software\Classes\*\AlwaysShowExt
*\Software\Microsoft\Driver Signing\Policy
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\*
*\Software\Classes\CLSID\{7EFFAAFF-EA0A-1A3A-CBCD-F}\InProcServer32\*
*\Software\Policies\*
HKUS\*\Environment\Path
HKUS\*\Control Panel\Desktop\SCRNSAVE.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\*
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\*
HKLM\Software\Classes\Protocols\Filter\*
HKLM\Software\Classes\Protocols\Handler\*
System Drivers Services 系统设置驱动服务
HKLM\SYSTEM\ControlSet???\Services\*
HKLM\SYSTEM\CurrentControlSet\Services\*
HKLM\SYSTEM\ControlSet???\Control\SafeBoot\*
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\*
HKLM\System\ControlSet???\Control\BackupRestore\*
HKLM\System\CurrentControlSet\Control\BackupRestore\*
HKLM\System\ControlSet???\Control\ComputerName\*
HKLM\System\CurrentControlSet\Control\ComputerName\*
HKLM\SYSTEM\ControlSet???\Control\GroupOrderList\*
HKLM\SYSTEM\CurrentControlSet\Control\GroupOrderList\*
HKLM\SYSTEM\ControlSet???\Control\Lsa\*
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\*
HKLM\System\ControlSet???\Control\MprServices\*
HKLM\System\CurrentControlSet\Control\MprServices\*
HKLM\System\ControlSet???\Control\Print\Monitors\*
HKLM\System\CurrentControlSet\Control\Print\Monitors\*
HKLM\SYSTEM\ControlSet???\Control\ServiceGroupOrder\*
HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\*
HKLM\System\ControlSet???\Control\Class\{4D36E96B-E325-11CE-BFC1-0}\*
HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-0}\*
HKLM\Software\Microsoft\Ole*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\*
Internet Explorer Keys IE浏览器
*\Software\Microsoft\Internet Domains\*
*\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
*\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
*\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions
*\Software\Microsoft\Internet Explorer\Main\First Home Page
*\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
*\Software\Microsoft\Internet Explorer\Main\Local Page
*\Software\Microsoft\Internet Explorer\Main\Start Page
*\Software\Microsoft\Internet Explorer\Main\Start Page_bak
*\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
*\Software\Microsoft\Internet Explorer\Main\Window Title
*\Software\Microsoft\Internet Explorer\Main\FeatureControl\*
*\Software\Microsoft\Internet Explorer\Main\Search*
*\Software\Microsoft\Internet Explorer\AboutURLs\*
*\Software\Microsoft\Internet Explorer\Activex Compatibility\*
*\Software\Microsoft\Internet Explorer\AdvancedOptions\*
*\Software\Microsoft\Internet Explorer\Desktop\Components\*
*\Software\Microsoft\Internet Explorer\Explorer Bars\*
*\Software\Microsoft\Internet Explorer\Extensions\*
*\Software\Microsoft\Internet Explorer\MenuExt\*
*\Software\Microsoft\Internet Explorer\Plugins\*
*\Software\Microsoft\Internet Explorer\Search\*
*\Software\Microsoft\Internet Explorer\SearchUrl*
*\Software\Microsoft\Internet Explorer\Styles\*
*\Software\Microsoft\Internet Explorer\Toolbar\*
*\Software\Microsoft\Internet Explorer\UrlSearchHooks\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigProxy
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Special Paths\Cookies\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MinLevel
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Security_RunActiveXControls
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Security_RunScripts
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Safety Warning Level
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Trust Warning Level
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Security*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Warnon*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\User Agent\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
*\Software\Microsoft\Windows\CurrentVersion\Wintrust\Trust Providers\Software Publishing\*
*\Software\Clients\StartMenuInternet\*
*\Software\Microsoft\Windows\CurrentVersion\URL\*
*\Software\Classes\CLSID\{871C-1069-A2EA-D}\Shell\OpenHomePage\Command\*
HKLM\Software\Microsoft\Internet Explorer\Registration\ProductID
HKLM\Software\Microsoft\Code Store Database\Distribution Units\*
HKCR\Protocols\Handler\*
HKCR\Protocols\Filter\*
Special Registry 特殊项
*\Software\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\*
HKEY_CURRENT_USER\Control Panel\don't load\*
HKEY_CURRENT_USER\Environment\*
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Programs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayload*
HKLM\Software\Clients\Mail\*\Protocols\mailto*
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\don't load\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Extensions\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Imagefile Execution Options\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Secedit\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Defaultpassword
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ReportBootOk
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SFC*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\System\ControlSet???\Control\Session Manager\AllowProtectedRenames
HKLM\System\CurrentControlSet\Control\Session Manager\AllowProtectedRenames
HKLM\System\ControlSet???\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\ControlSet???\Control\Session Manager\Memory Management\EnforceWriteProtection
HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\EnforceWriteProtection
HKLM\System\ControlSet???\Control\Session Manager\ExcludeFromKnownDlls
HKLM\System\CurrentControlSet\Control\Session Manager\ExcludeFromKnownDlls
HKLM\System\ControlSet???\Control\Session Manager\Environment\*
HKLM\System\CurrentControlSet\Control\Session Manager\Environment\*
HKLM\System\ControlSet???\Control\Session Manager\Execute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\System\ControlSet???\Control\Session Manager\KnownDlls*
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls*
HKLM\System\ControlSet???\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\ControlSet???\Control\Session Manager\SubSystems\*
HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\*
HKLM\System\ControlSet???\Control\VirtualDeviceDrivers\VDD
HKLM\System\CurrentControlSet\Control\VirtualDeviceDrivers\VDD
HKLM\System\ControlSet???\Control\Wmi\Globallogger*
HKLM\System\CurrentControlSet\Control\Wmi\Globallogger*
HKLM\System\LastKnownGoodRecovery*
HKLM\System\MountedDevices\*
Security Policies 安全策略
HKEY_CURRENT_USER\Control Panel\Desktop\*
HKEY_CURRENT_USER\Software\Policies\Microsoft\*
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnforceShellExtensionSecurity
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hid*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\No*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents\HideMyDocsFolder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\IncludeSubFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Search*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Open
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\*
HKLM\Software\Microsoft\Windows\CurrentVersion\NetCache\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall\*
HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\WindowsUpdate\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKLM\Software\Policies\Microsoft\Windows\*
HKLM\System\ControlSet???\Services\Sharedaccess\Parameters\FirewallPolicy\*
HKLM\System\CurrentControlSet\Services\Sharedaccess\Parameters\FirewallPolicy\*
*\Software\Microsoft\Security Center\*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*
*\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*
*\Software\Microsoft\Windows\CurrentVersion\Policies\System\*
Terminal Server
HKLM\Software\Microsoft\Terminal Server Client\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI32\Terminal Server\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\*
HKLM\SYSTEM\ControlSet???\Control\Terminal Server\*
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\*
File Associations 文件关联
HKCR\.bat\*
HKCR\.cmd\*
HKCR\.exe\*
HKCR\.txt\*
HKCR\.ini\*
HKCR\.lnk\*
HKCR\.pif\*
HKCR\.html\*
HKCR\.com\*
HKCR\.doc\*
HKCR\.htm\*
HKCR\.gif\*
HKCR\.hta\*
HKCR\.jpg\*
HKCR\.js\*
HKCR\.mdb\*
HKCR\.mp3\*
HKCR\.png\*
HKCR\.ppt\*
HKCR\.rtf\*
HKCR\.shs\*
HKCR\.vbs\*
HKCR\.vbe\*
HKCR\.wsh\*
HKCR\.xls\*
HKCR\.zip\*
HKCR\.eml\*
HKCR\.cpl\*
HKCR\.reg\*
HKCR\.jpeg\*
HKCR\.scr\*
HKCR\Shell*
HKCR\Unknown\Shell*
HKCR\Folder\Shell*
HKCR\?\Shell\*
HKCR\*\ShellNew
HKCR\*\Shell\*\Command*
HKCR\Directory\Shell*
HKCR\*\NeverShowExt
HKCR\*\AlwaysShowExt
HKCR\CLSID\{7EFFAAFF-EA0A-1A3A-CBCD-F}\InProcServer32\*
Networking 网络相关
HKLM\System\ControlSet???\Services\Winsock2\*
HKLM\System\CurrentControlSet\Services\Winsock2\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\*
HKLM\System\ControlSet???\Services\Tcpip\Parameters\DataBasePath
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
HKLM\System\ControlSet???\Services\Tcpip\Parameters\Interfaces\*
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\*
HKLM\System\ControlSet???\Control\Session Manager\UserAgent
HKLM\System\CurrentControlSet\Control\Session Manager\UserAgent
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\*
HKLM\Software\Microsoft\Ras*
AV Keys 杀软自我保护(COMODO为例)
HKLM\System\Software\Comodo*
*\Software\Comodo*
Debug Keys 映像劫持
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\*
Protocols 网络协议
HKLM\Software\Classes\Protocols\Filter\*
HKLM\Software\Classes\Protocols\Handler\*
Shell Icons 系统图标
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons*
*\Software\Classes\*file\DefaultIcon
*\Software\Classes\CLSID\*\DefaultIcon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\*\DefaultIcon
FD部分(推荐询问\阻止)
FD_WinDir FD_Windows目录
%windir%\*
FD_Important Files/Folders FD_重要的文件和目录
%windir%\system32\*
%windir%\system32\drivers\etc\*
%windir%\servicing\*
%windir%\system.ini
%windir%\win.ini
%windir%\wininit.ini
%windir%\winstart.bat
%windir%\Tasks\*
\Device\HarddiskVolume?
\Device\HarddiskVolume?\autoexec.bat
\Device\HarddiskVolume?\config.sys
\Device\HarddiskVolume?\boot.ini
\Device\HarddiskVolume?\bootfont.bin
\Device\HarddiskVolume?\ntdetect.com
\Device\HarddiskVolume?\ntldr
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\*
*\autorun.inf
%ProgramFiles%\DefenseWall\*
%ProgramFiles%\EQSysSecure\*
%ProgramFiles%\Filseclab\*
%ProgramFiles%\Internet Explorer\*
%ProgramFiles%\Returnil\*
%ProgramFiles%\Windows Media Player\*
FD_重要的文件和目录 这里可以加入ghost文件、杀软目录、autorun.inf、病毒通常建新文件的目录
FD_Application Data FD_AppData目录
?:\Documents and Settings\*\Application Data\*
?:\Documents and Settings\*\Local Settings\Application Data\*
FD_Program Files FD_程序目录
%programfiles%\*
D:\Program Files\*
FD_Startup Folders FD_开始菜单启动
?:\Documents and Settings\*\Start Menu\Programs\Startup\*
?:\Documents and Settings\*\「开始」菜单\程序\启动\*
?:\Documents and Settings\*\「開始」功能表\程式集\啟動\*
%windir%\system32\GroupPolicy\Machine\Scripts\Startup\*
%windir%\system32\GroupPolicy\User\Scripts\Logon\*
FD_AV Files/Folders FD_杀软安装目录(以COMODO为例)
C:\Program Files\COMODO\Firewall*
C:\Documents and Settings\All Users\Application Data\Comodo*
FD_3rd Party Protocol Drivers FD_第三方协议驱动
\Device\NPF_*
\Device\Ndisuio
\Device\NdisTapi
FD_Sysbackup FD_系统备份
FD_My Protected Files FD_私人文件
\Device\Harddisk0\DR0
\Device\Harddisk1\DR1
%programfiles%\cFosSpeed\*
%ProgramFiles%\WinRAR\*
FD_NamedPipe FD_命名管道
\Device\NamedPipe\lsass
\Device\NamedPipe\ntsvcs
\Device\NamedPipe\Win32Pipes
\Device\NamedPipe\Adobe LM Service
\Device\NamedPipe\pgpserv
\Device\NamedPipe\ROUTER
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
FD_Devices FD_设备驱动服务
\Device\Harddisk
\Device\CdRom
\Device\LanmanRedirector
\Device\USBFDO-0
\Device\USBFDO-1
\Device\Tcp
\Device\Udp
\Device\Ip
\Device\RawIp
\Device\Afd
\Device\PhysicalMemory
\Device\Harddisk0\DR0
\Device\Harddisk1\DR1
\Device\MountPointManager
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
COM部分(高危的拦截,其余的建议询问)
Internet Explorer/Windows Shell
InternetExplorer.Application.*
Outlook.Application.*
Microsoft.XMLHTTP
{A-11D0-A96B-00C04FD705A2}
{FBF23B40-E3F0-101B-3E56F8}
{9BA0-11CF-A442-00A0C90A8F39}
{-EF1F-11D0-DEACF9}
Windows Management
{D3A-11D0-891F-00AA004B2E24}
Pseudo COM Interfaces - Privileges(高危)
LocalSecurityAuthority.Backup
LocalSecurityAuthority.Restore
LocalSecurityAuthority.Debug
LocalSecurityAuthority.Shutdown
LocalSecurityAuthority.SystemEnvironment
LocalSecurityAuthority.SystemTime
Pseudo COM Interfaces - Important Ports
\RPC Control\ntsvcs
\RPC Control\wzcsvc
\RPC Control\spoolss
Miscellaneous Classes
{BE-4B48-836C-BC}
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{9BA05972- F6A8- 11CF- A442-00A0C90A8F39}
加载驱动——除系统程序和杀软外阻止
直接物理内存访问——除系统程序和杀软外阻止
直接底层磁盘访问——除系统程序和杀软外阻止
进程间内存访问——对于不认识的程序,修改Windows系统程序、explorer、杀软的内存的操作直接阻止,其余的询问。
直接访问键盘——询问,如果弹窗遇不认识的程序,直接阻止。防止键盘记录。
直接屏幕访问——对于需要访问屏幕的软件(截屏软件,录像软件等)其余的一律阻止
进程终止——由系统程序和杀软发出的结束进程的动作放行,其余的询问。
窗口消息——通常没啥用
运行一个可执行程序——如果平常只是查查资料,打游戏看网页啥的建议禁运以下程序。
AD_Blacklist Programs AD_黑名单程序
*\ntvdm.exe
*\attrib.exe
*\cscript.exe
*\wscript.exe
*\mshta.exe
*\ntoskrnl.exe
*\regedit.exe
*\regsvr32.exe
*\taskkill.exe
*\format.*
*\debug.exe
*\Cacls.exe
*\command.com
*\conime.exe
*\net1.exe
*\netsh.exe
*\netstat.exe
*\telnet.exe
*\tftp.exe
*\tasklist.exe
*\diskpart.exe
*\msconfig.exe
*\ntsd.exe
*\schtasks.exe
*\replace.exe
*\realsched.exe
*\TIMPlatform.exe
*\QQUpdateCenter.exe
AD_Blacklist folders I AD_黑名单目录 I
?:\RECYCLE?\*
?:\System Volume Information\*
*\Local Settings\Temp\*
*\Local Settings\Temporary Internet Files\*
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\*
C:\OperaCache\*
执行以下路径下的程序询问
AD_Blacklist folders II AD_可疑目录
%windir%\downloaded program files\*
%windir%\temp\
安装以下路径的钩子允许
%windir%\system32\*
第六条:如何判断弹窗行为是否需要拦截。这是问题实际上不是说说的事情,毕竟在身边没有可靠数据的情况下(多数情况)最靠谱的还是经验和来自于经验的直觉,新人只能靠时间来磨练,而不是一时半会的事情,以下是几个简单的判断方法
<font color="#.请检查“源对象”和“目标对象”的数字签名,如果有效,还是可以简单的认为是安全的行为,但是存在风险。
<font color="#.当弹窗提示添加启动项的时候请观察“源对象”是否需要自启动,一般需要自启动的程序是杀软和广告屏蔽软件,其余的建议阻止。
<font color="#.当弹窗询问是否执行“cmd.exe”的时候如果不是在安装东西还是建议阻止。
4.一般情况下常用的程序(不含杀软)在使用过程中是不会操作windows目录下的文件的,安装程序最多只会改动一点点,阻止了问题也不大(QQ,ADsafe除外),所以当你看到这种行为时,请不负责但是靠谱的认为他是个病毒。
5.好像不少,但是想不起来了。
对于HIPS提示做出正确的判断,是需要用户掌握一定的系统知识的,经验越丰富,判断起来得心应手。基本上,熟悉了HIPS的工作原理,能够读懂提示框的信息,并且能够根据经验和系统知识来对提示信息进行分析和判断,就已经算是迈进了HIPS这座花园了。随着经验的积累,越来越多的情况能够被正确的判断,HIPS的提示也会越来越少,用户对HIPS和系统的了解也会越来越深入。
电脑发烧友
本帖最后由 电脑发烧友 于
20:54 编辑
三.深入规则精华——权限分配
其实这部分才是一个HIPS规则的精华部分,一个程序应该干什么,不应该干什么,决定了我们应该给它分配怎样的权限。
试想如果一个浏览器被我们给了全部的权限,结果就是浏览器可以任意下载exe等可执行文件到任何地方,可以任意修改可执行文件,可以任意修改注册表,结果多恐怖!要是这样的程序被病毒感染或控制,突然发飙的话,后果不堪设想!——最简单的例子,比如它修改了QQ.exe,让QQ变成木马,又或者下载了一个自动运行的病毒放在磁盘根目录下,等我们双击磁盘时自动运行病毒……
那么如果一个浏览器被我们给了很低的权限,结果就是开启浏览器全是弹窗,或者根本无法运行......
那么当前的规则按照权限分配来说分为两类
全局阻止类(一棒子打死类):这类规则最明显的特点是如果要直接套用通常需要大量的加入各种路径,否则将无法正常使用各种程序。在授权上的原则是没有在规则内的程序一律阻止所有操作。
——此类规则在用户分辨软件好坏的能力不过关的情况下不管是易用性还是安全性都很难得到保证,易用性刚才已经说了,现在说说安全性,此类规则多数情况下对规则内的程序权限放的比较松,如果用户错误的将恶意软件加入规则中,那么将会是连锁反应。
第二类(不知道取什么名字):此类规则的特点是按照每个程序本身的特点进行权限的分配,对于规则内没有出现的程序将会按照提前配置好的规则分配权限,一般不会出现规则外程序无法使用的情况,容易在易用性和安全性方面取得不错的平衡
——此类规则对用户分辨软件好坏的能力要求不高,除了特殊组的权限以外,其他组的权限都有合理的限制,能够很好的降低错误分组所带来的损失。
第一条:按照什么原则进行授权。
系统程序给全权——通常情况下最方便就是给%windir%\*下所有程序全权,这种授权方式可以保证系统各项功能正常使用。杀毒软件给全权——这个就不用解释了吧
常用程序低限制——每个程序都有该干的和不该干的,比如浏览器不应该去修改QQ的文件。在这一块要予以限制。
未知程序高限制——基本上未知程序在高限制的状态运行会有较多弹窗,但是一些程序不会,比如一些临时用用的程序,这些程序一般用完即删,不需要经常使用,一般也不会有什么敏感的操作,所以可以正常使用,但是QQ,浏览器这类的程序在限制可能会无法使用。
第二条:具体授权。绿色为允许的操作,黄色为可询问可阻止的操作,红色为阻止的操作
全权:这个不用解释吧
运行自己的程序
访问自己的进程的内存
加载自己的钩子以及system32下的钩子
结束自己的进程
发送窗口消息
DNS\RPC客户端服务
直接键盘访问
操作自己的文件和注册表以及临时文件和注册表
运行非己的程序
访问非己的进程的内存
加载其他目录的钩子
结束非己的进程
操作非己的文件和注册表
直接屏幕访问
底层磁盘访问
直接访问物理内存
COM接口方面建议除了高危的接口其他的放行,否则弹窗对于新人来说有点繁琐。
操作临时文件和注册表
加载system32下的钩子
发送窗口消息
访问进程内存
直接屏幕访问
直接键盘访问
底层磁盘访问
直接访问物理内存
COM接口方面建议除了高危的接口其他的放行,否则弹窗对于新人来说有点繁琐。
作为精华规则的精华部分确实篇幅最少的部分,因为精华通常是通过实践得到的,这里的限制等级只是一个雏形,具体怎么做还是要靠自己来实践,说得太多不仅麻烦,而且无用。
电脑发烧友
本帖最后由 电脑发烧友 于
21:07 编辑
四.卡巴斯基应用程序控制(HIPS)简单配置
第一条.什么是应用程序控制。
应用程序控制是卡巴KIS以上版本自带的HIPS模块(不是主防!)。所谓HIPS,就是主机入侵防御系统的英文缩写,分注册表防护(RD),文件防护(FD),应用程序防护(AD)三块,在程序运行时拦截程序所有的行为并弹窗报告用户是否放行,一般可以通过预先设定规则来减少弹窗,增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。卡巴的应用程序控制,将AD单列为“管理应用程序”,将FD与RD合并为“管理资源”通过信誉云实时调整分组,配以直观的界面,大大简化了HIPS的使用难度。
在下文中,应用程序控制将缩写为AC(Application Control)
第二条.准备工作。
卡巴的官方帮助文档对通配符的解释
手动输入时,您可以使用掩码。\* 掩码允许您指定控制选定文件夹中所有文件或子文件夹的访问权限。\*&扩展名& 掩码允许您指定控制选定文件夹中所有带有指定扩展名的文件的访问权限。
默认情况下,AC直接放行大部分程序的行为,我们需要收紧AC的设置。
如果勾选自动执行推荐的操作,即使你在AC中设置询问也会放行,因此取消勾选。
KB——1.png (0 Bytes, 下载次数: 7)
22:35 上传
KB.png (0 Bytes, 下载次数: 7)
22:35 上传
在不勾选自动执行推荐的操作后,卡巴的弹窗数目会大幅提升,为减少不必要的打扰,如下设置。
KB——2.jpg (0 Bytes, 下载次数: 6)
22:36 上传
KB——3.jpg (0 Bytes, 下载次数: 5)
22:36 上传
KB——4.jpg (0 Bytes, 下载次数: 7)
22:36 上传
第三条:应用程序控制与传统HIPS的区别。
最大的亮点就是权限继承
权限继承:进程分父进程子进程之分,子进程是由父进程启动的,在AC中,子进程会使用父进程的规则,也就是说如果父进程在AC中使用低限制组的规则,那么被启动的子进程也将使用低限制组的规则,即使这个子进程是受信任的或者是被拉黑的。
在AC中我们会发现,explorer是一个受信任的程序,我们双击某个程序的时候实际上是由explorer执行的,但是被启动的程序并不会使用explorer的规则,也就是说,AC可以识别一些不需要“权限继承”的动作,可谓十分贴心。权限继承示例如下
QQ截图10.png (0 Bytes, 下载次数: 5)
23:10 上传
智能分组:从KSN中加载的受信任的程序信息是十分可靠的,也就是说,AC通过KSN的数据错误的将程序加入分组是几乎不可能的事情。对于在KSN中没有数据的程序默认情况下会通过启发式分析来确定程序应该属于什么组。
第四条:界面介绍。
KB——5.png (0 Bytes, 下载次数: 5)
23:12 上传
KB——6.png (0 Bytes, 下载次数: 5)
23:17 上传
那么如果我要添加一个资源“我的视频”怎么办?
KB——7.png (0 Bytes, 下载次数: 6)
23:19 上传
KB——8.png (0 Bytes, 下载次数: 4)
23:21 上传
KB——9.png (0 Bytes, 下载次数: 5)
23:24 上传
KB——10.png (0 Bytes, 下载次数: 5)
23:25 上传
KB——11.png (0 Bytes, 下载次数: 4)
23:25 上传
第五条:编写应用程序控制规则。
KB——12.png (0 Bytes, 下载次数: 4)
23:30 上传
KB——13.png (0 Bytes, 下载次数: 4)
23:34 上传
继承的意思就是沿用上一级资源的规则,例如“操作系统”的下一级是“启动设置”“系统文件”等。“操作系统”的规则是阻止,那么下一级继承的规则也是阻止。
KB——14.png (0 Bytes, 下载次数: 4)
23:47 上传
&操作系统&的话可以这样,&个人数据&的话就看你打算怎么用了
QQ截图23.png (0 Bytes, 下载次数: 5)
18:10 上传
增加了最新新发现的两种写启动的方式的防御,例如lnk写启动目录。
QQ截图33.png (0 Bytes, 下载次数: 5)
21:07 上传
鉴于源对象的系统程序,故修改权限配置
QQ截图44.png (0 Bytes, 下载次数: 4)
21:07 上传
&权限&部分可以使用以下设置
KB——16.jpg (0 Bytes, 下载次数: 4)
00:13 上传
KB——17.jpg (0 Bytes, 下载次数: 5)
00:14 上传
KB——18.jpg (0 Bytes, 下载次数: 4)
00:14 上传
第六条:如果你想折腾。
可以参照如下设置
KB——20.png (0 Bytes, 下载次数: 5)
00:29 上传
新建资源&文档\图片&并加入以下路径
常见办公文档后缀(用于预防敲诈勒索)
常见图片格式(用于预防敲诈勒索)
KB——20.png (0 Bytes, 下载次数: 5)
00:45 上传
对付加密勒索,这样设置足够。
提供示例规则下载
(174.04 KB, 下载次数: 56)
21:07 上传
点击文件名下载附件
感谢你对卡巴斯基的支持
电脑发烧友
本帖最后由 电脑发烧友 于
22:37 编辑
五.火绒自定义模块(HIPS)简单配置
第一条:准备工作。
火绒官方对火绒支持的通配符解释
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件,但不记得文件名其余部分,可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?,查找以love开头的一个字符结尾文件类型的文件,如lovey、lovei等。
& 替代所有字符直到遇到“\”。比如c:\a\&,那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。
第二条:认识界面。
HR——1.png (0 Bytes, 下载次数: 5)
21:23 上传
HR——2.png (0 Bytes, 下载次数: 6)
21:05 上传
HR——3.png (0 Bytes, 下载次数: 5)
21:07 上传
HR——4.png (0 Bytes, 下载次数: 9)
21:09 上传
HR——5.png (0 Bytes, 下载次数: 4)
21:10 上传
HR——6.png (0 Bytes, 下载次数: 5)
21:12 上传
HR——7.png (0 Bytes, 下载次数: 4)
21:13 上传
HR——8.png (0 Bytes, 下载次数: 4)
21:15 上传
HR——9.png (0 Bytes, 下载次数: 4)
21:15 上传
HR——10.png (0 Bytes, 下载次数: 5)
21:16 上传
HR——11.png (0 Bytes, 下载次数: 6)
21:17 上传
HR——12.png (0 Bytes, 下载次数: 5)
21:18 上传
HR——13.png (0 Bytes, 下载次数: 5)
21:19 上传
注意,“自动处理规则”仅仅在“自定义防护规则”起作用的情况下生效,其他情况下并不会生效。
第三条:示例规则。(这些规则都是我原来写的,稍作修改放了上来)
(4 KB, 下载次数: 63)
22:37 上传
点击文件名下载附件
部分规则的简要介绍
231821vrwvzwzlazcvuncl.png (0 Bytes, 下载次数: 4)
22:33 上传
注:示例规则出于易用性的考虑安全性降低了不少,请勿用于玩毒。
电脑发烧友
本帖最后由 电脑发烧友 于
23:14 编辑
六.ESET的HIPS简单配置
以下内容来自。
看懂以下内容的前提是看懂本帖上面的内容或者看懂 、
在规则编辑过程中,须知优先级:
自保规则-&自定义规则
路径规则-&通配符规则-&全局规则
阻止-&允许-&询问
由于ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹,因此楼主认为有必要添加相应规则
全局询问:强化文件夹保护
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\你的用户名\Desktop\*.*
VSE默认规则中有一条非常重要的规则是防止从Temp系统临时文件夹运行文件,而这恰恰是ESET hips缺失的部份,楼主认为有必要移植过来
全局询问:防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\你的用户名\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\你的用户名\Local Settings\Temp\*.*
C:\Users\你的用户名\AppData\Local\Temp\*.*
%windir%\temp\*
ESET hips防注入非常优秀,单独为其建立规则能够得到专门的通知和日志记录,便于测试和分析
全局询问:防注入
源及目标:所有
勾选“修改应用程序状态”
这里我要加一句,弹窗真的很多,特别是安装个程序。
基于某个朴素的认识,楼主从PCHunter和Autoruns提取了HIPS未保护的重要注册表键
全局询问:强化注册表保护
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*
HKEY_USERS\*\Software\Policies\Microsoft\Internet Explorer\Control Panel\*
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\*
ESET的HIPS简单玩玩就行了,如果打算认真玩,还是算了,规则语法限制太多,而且本身还没有分组。
电脑发烧友
本帖最后由 电脑发烧友 于
17:15 编辑
七.COMODO中HIPS规则的详细配置。
第一条:准备工作。
5.jpg (0 Bytes, 下载次数: 5)
00:35 上传
6.jpg (0 Bytes, 下载次数: 4)
00:35 上传
7.jpg (0 Bytes, 下载次数: 4)
00:35 上传
8.jpg (0 Bytes, 下载次数: 4)
00:35 上传
1.png (0 Bytes, 下载次数: 5)
23:53 上传
2.png (0 Bytes, 下载次数: 4)
23:53 上传
3.png (0 Bytes, 下载次数: 4)
23:53 上传
4.png (0 Bytes, 下载次数: 4)
23:56 上传
第二条:认识界面以及含义。
10.png (0 Bytes, 下载次数: 4)
00:24 上传
访问设置:控制这个程序的行为,除了“运行一个可执行程序”以外,其余的行为都有三个选择“允许”“询问”“阻止”。处理方式右边的“排除”的意思就是不管是“允许”“询问”还是“阻止”,都会在此规则中生效的部分,可以认为是“例外允许”和“例外阻止”
保护设置:控制其他程序对这个程序的操作,分为“进程间内存访问”“窗口或事件钩子”“窗口消息”和“进程终止”,“激活”的意思就是启动该项的保护规则,“禁止”的意思就是不启动对该项的保护规则。右边的排除是在“激活”状态下例外允许对被保护程序进行操作的程序,优先级很高,应该是优先级最高的部分。
11.png (0 Bytes, 下载次数: 4)
00:24 上传
12.png (0 Bytes, 下载次数: 5)
00:32 上传
13.png (0 Bytes, 下载次数: 4)
00:32 上传
14.png (0 Bytes, 下载次数: 5)
11:51 上传
15.png (0 Bytes, 下载次数: 4)
11:53 上传
16.png (0 Bytes, 下载次数: 5)
11:54 上传
18.png (0 Bytes, 下载次数: 4)
11:57 上传
19.png (0 Bytes, 下载次数: 4)
11:57 上传
受保护的文件:这里存放着被列入监控范围的文件和目录,只有存在于这里的文件路径才会被HIPS所保护。当然也可以通过前面提到的例外规则来保护不在这里的路径。
被拦截的文件:存在于这里的文件禁止被读取,那么如果读权限被禁止,那么创建,写入,删除这三个权限也会同时被禁止。
注册表键值:也可叫“受保护的注册表键值”,这里存放着被列入监控范围的注册表键值,只有存在于这里的注册表键值才会被HIPS所保护,当然也可以通过前面提到的例外规则来保护不在这里的注册表键值。
COM接口:也可以叫“受保护的COM接口”,这里存放着被列入监控范围的COM接口,只有存在于这里的COM接口才会被HIPS所保护,当然也可以通过前面提到的例外规则来保护不在这里的COM接口。
数据保护目录:对于被毛豆沙盘限制运行或者虚拟化运行的程序,这里列出来的路径是不可见的,也就是说,这里的路径对于被毛豆沙盘限制或虚拟计划的程序是不存在的。
20.png (0 Bytes, 下载次数: 5)
15:04 上传
可以在这个界面的添加提前设置好的“组”,包括“文件组”“注册表组”“COM组”添加方式如下
21.png (0 Bytes, 下载次数: 4)
15:16 上传
如何添加一个文件组?
22.png (0 Bytes, 下载次数: 4)
15:26 上传
23.png (0 Bytes, 下载次数: 4)
15:26 上传
24.png (0 Bytes, 下载次数: 5)
15:27 上传
25.png (0 Bytes, 下载次数: 4)
15:27 上传
26.png (0 Bytes, 下载次数: 5)
15:27 上传
27.png (0 Bytes, 下载次数: 5)
15:27 上传
28.png (0 Bytes, 下载次数: 4)
15:27 上传
29.png (0 Bytes, 下载次数: 6)
15:27 上传
30.png (0 Bytes, 下载次数: 5)
15:27 上传
31.png (0 Bytes, 下载次数: 4)
15:27 上传
第三条:编写规则前所需的考虑。
我们编写规则是为了防御恶意软件,那么我们首先需要知道恶意软件通常都有哪些行为。
1.添加启动项便于重复发作,长期潜伏等目的。
2.创建恶意程序到回收站,还原点等目录并伺机运行。
3.创建衍生物到磁盘根目录,同时在磁盘根目录创建一个autorun,.inf驱动文件指向恶意程序,当用户双击磁盘时在后台自动运行恶意程序。
4.篡改重要的文件以实现某些目的,例如windows目录下的文件。在其他目录是释放衍生物并执行,例如windows目录和临时目录。
5.修改用户hosts文件,实现网址重定位,让杀毒软件等无法连接服务站点更新病毒库,把用户的访问劫持到病毒网站下载病毒。
6.通过修改、替换的方式感染系统目录下的可执行文件,甚至是整个磁盘上的可执行文件。
7.篡改关键注册表项来达到某些目的,例如创建服务,劫持程序等。
8.操纵其他进程,使其变成傀儡代替恶意程序执行恶意操作。
10.通过安装钩子来截取消息,中断消息传递或者经过篡改之后再呈现给用户或某些软件。例如用于Rootkit的文件隐藏技术。
11.通过底层操作来窃密或者执行破坏——底层屏幕访问可以截屏,底层键盘记录可以窃取用户帐号、密码,底层磁盘访问可以读取磁盘上存储的信息、文件,可以写入病毒文件或者格式化磁盘。
12.结束某个进程来达到某些目的,例如结束杀软进程来终止保护,三代粘虫会通过结束QQ的进程并弹出伪造窗口达到盗号的目的。
13.调用系统高危程序来达到某些目的,例如调用cmd.exe执行衍生物,调用rundll32.exe加载恶意DLL,调用net.exe修改账户密码,开启或者停用某些服务,调用shutdown.exe来重启电脑,
14.通过加载驱动来获得极高的权限来与杀软对抗或隐藏自身。
15.利用系统功能实现病毒目的。例如,访问COM接口使用系统组件;访问服务管理器来注册自身服务——比如在服务管理器(scm)里注册自身为通过svchost.exe加载的服务dll组件之一。
除了需要防御恶意软件的侵害,还需要保证我们日常使用的程序可以正常运行。这个就又要涉及到权限分配了。
权限太松,安全性太低,权限太紧,又无法正常使用,一般我们按照程序的分类来授权。
系统程序\杀软:最高权限,并且在“保护设置”里做相关保护。
日常使用的程序:QQ,浏览器,音乐,视频等日常软件,这类程序既要保证正常运行,又要保证其程序不要做出出格的事情。采用低限制
未知的:此类权限应该应用高限制类的权限,若无法正常使用,通常也可以通过日志来确定好坏,在进行权限的重新分配。
注:低限制和高限制具体的权限请看本帖5L
第四条:上手编写规则。
32.png (0 Bytes, 下载次数: 5)
16:23 上传
33.png (0 Bytes, 下载次数: 4)
16:23 上传
34.png (0 Bytes, 下载次数: 7)
16:23 上传
35.png (0 Bytes, 下载次数: 4)
16:23 上传
36.png (0 Bytes, 下载次数: 5)
16:23 上传
37.png (0 Bytes, 下载次数: 6)
16:23 上传
38.png (0 Bytes, 下载次数: 6)
16:23 上传
39.png (0 Bytes, 下载次数: 6)
16:23 上传
40.png (0 Bytes, 下载次数: 6)
16:23 上传
41.png (0 Bytes, 下载次数: 4)
17:12 上传
42.png (0 Bytes, 下载次数: 5)
17:12 上传
43.png (0 Bytes, 下载次数: 4)
17:12 上传
44.png (0 Bytes, 下载次数: 5)
17:12 上传
45.png (0 Bytes, 下载次数: 4)
17:12 上传
46.png (0 Bytes, 下载次数: 4)
17:12 上传
47.png (0 Bytes, 下载次数: 6)
17:12 上传
48.png (0 Bytes, 下载次数: 4)
17:12 上传
49.png (0 Bytes, 下载次数: 5)
17:12 上传
50.png (0 Bytes, 下载次数: 6)
17:12 上传
51.png (0 Bytes, 下载次数: 4)
17:12 上传
52.png (0 Bytes, 下载次数: 5)
17:12 上传
53.png (0 Bytes, 下载次数: 5)
17:12 上传
54.png (0 Bytes, 下载次数: 4)
17:12 上传
55.png (0 Bytes, 下载次数: 5)
17:12 上传
56.png (0 Bytes, 下载次数: 6)
17:12 上传
57.png (0 Bytes, 下载次数: 5)
17:12 上传
58.png (0 Bytes, 下载次数: 4)
17:12 上传
59.png (0 Bytes, 下载次数: 5)
17:12 上传
60.png (0 Bytes, 下载次数: 5)
17:12 上传
61.png (0 Bytes, 下载次数: 4)
17:12 上传
62.png (0 Bytes, 下载次数: 4)
17:12 上传
63.png (0 Bytes, 下载次数: 4)
17:12 上传
64.png (0 Bytes, 下载次数: 5)
17:12 上传
65.png (0 Bytes, 下载次数: 6)
17:12 上传
66.png (0 Bytes, 下载次数: 4)
17:12 上传
67.png (0 Bytes, 下载次数: 6)
17:12 上传
68.png (0 Bytes, 下载次数: 4)
17:12 上传
69.png (0 Bytes, 下载次数: 6)
17:12 上传
70.png (0 Bytes, 下载次数: 5)
17:12 上传
71.png (0 Bytes, 下载次数: 4)
17:12 上传
72.png (0 Bytes, 下载次数: 4)
17:12 上传
73.png (0 Bytes, 下载次数: 5)
17:12 上传
74.png (0 Bytes, 下载次数: 4)
17:12 上传
75.png (0 Bytes, 下载次数: 6)
17:12 上传
76.png (0 Bytes, 下载次数: 4)
17:12 上传
提供示例规则下载:
(17.85 KB, 下载次数: 30)
17:13 上传
点击文件名下载附件
注:示例规则适合用于新人学习,其易用性和安全性都偏低,请勿用此规则玩毒。
最后:毛豆的优先级
询问——第四优先级。 允许\阻止——第三优先级。 某个权限后的修改——第二优先级。
保护设置里的“激活”——第一优先级。&&保护设置里的“修改”——绝对优先。
绝对优先&第一优先级&第二优先级&第三优先级&第四优先级&。
多个相同等级的规则被匹配到的之后,排列最靠上的规则生效,其他不生效。
感谢你对毛豆的支持,辛苦了.
电脑发烧友
本帖最后由 电脑发烧友 于
21:46 编辑
八.写在最后
也许你会发现COMODO详细配置并不详细,因为过于详细只是浪费时间,对于HIPS重症患者来说,拿到一款新的HIPS在很短的时间内即可熟练使用,因为他们拥有规则思路以及扎实的基础,但是新人想要拥有这两样东西是需要时间的。
玩HIPS最重要的还是系统安全方向的基础部分。
通过网站挂马的方式传播,最有效的方式就是对创建可执行文件这个动作弹窗询问(FD)(如果直接阻止容易造成大量误杀),也可以加上当执行一个未知程序的之后弹窗询问(AD)。首先,网站上的挂马会被下载到本地上,行为上的表现为创建了一个可执行文件,然后程序需要启动,在行为上的表现为执行一个程序。所以对付网站挂马以上两条其中一条即可,但是也没有那么简单,至于原因,我后面也会提到。
我在这里说说,当挂马被下载下来的时候需要被某个程序执行起来,可能是浏览器,可能是系统程序,例如脚本下载者被下载下来的马就是被脚本宿主执行的,目前的HIPS除了毛豆对此做了识别以外,其他的HIPS在行为上的表现都是脚本宿主执行挂马,所以要编写好的规则这方面的只是不能少。
通过可移动设备传播的病毒,例如U盘病毒,最有效的方式就是禁止根目录的程序被运行(AD)并禁止读取存在于根目录的autorun,.inf文件(FD),因为U盘病毒通常会创建病毒文件到U盘根目录,同时在U盘根目录创建一个autorun.inf驱动文件指向病毒,当用户双击U盘时在后台自动运行病毒。这里所提到的禁止运行没有想象的那么简单,阻止读取autorun,.inf的原因我现在也不说,后面会提到的。
事实上,在插入带毒U盘的时候,会先由svchost和explorer读取autorun.inf内的内容,然后再由explorer写入注册表,之后就会出现双击盘符自定运行病毒,所以要杜绝这种情况需要对系统程序加以限制。
以最简单的例子来说明基础的重要性
这是一个关机bat,内容如下(修改了语法,防止被恶人利用[mw_shl_code=css,true]shutdownst
pause[/mw_shl_code])
这是火绒的HIPS的拦截情况
QQ截图43.png (0 Bytes, 下载次数: 4)
21:10 上传
QQ截图57.png (0 Bytes, 下载次数: 5)
21:10 上传
卡巴斯基的HIPS的拦截情况
QQ截图33.png (0 Bytes, 下载次数: 5)
21:11 上传
QQ截图52.png (0 Bytes, 下载次数: 6)
21:11 上传
COMODO的拦截情况
QQ截图43.png (0 Bytes, 下载次数: 4)
21:11 上传
QQ截图54.png (0 Bytes, 下载次数: 4)
21:12 上传
QQ截图06.png (0 Bytes, 下载次数: 5)
21:11 上传
我们发现不同的软件的拦截弹窗有所不同,事实上,这个关机bat的过程应该是explorer启动cmd,cmd启动shutdown,然后由shutdown执行关机操作,可以看出上述的三个软件都对此做了识别,并没有显示真实的执行过程,但是在规则方面,例如禁运bat卡巴和毛豆都直接在规则中禁运,但是火绒并没有做这个识别,想要禁运bat只能禁运cmd才行,所以编写规则的时候这些基础知识还是很重要的。
最后再加一句,如果你用HIPS分析程序行为的话,贴日志的时候一定要记得进行简化,否则没人想看那繁多的日志。
要想玩好HIPS,必备的基础还是不可缺少的,否则永远只能是模仿,而不是创造。
电脑发烧友
本帖最后由 电脑发烧友 于
19:40 编辑
九.内容引用说明
排版上照搬
& & 感谢@jpazy
本帖中有几句看起来很有文采的话,例如
对于HIPS提示做出正确的判断,是需要用户掌握一定的系统知识的,经验越丰富,判断起来得心应手。基本上,熟悉了HIPS的工作原理,能够读懂提示框的信息,并且能够根据经验和系统知识来对提示信息进行分析和判断,就已经算是迈进了HIPS这座花园了。随着经验的积累,越来越多的情况能够被正确的判断,HIPS的提示也会越来越少,用户对HIPS和系统的了解也会越来越深入。
2L的通配符信息和4L的路径来自:
&&感谢&&@ubuntu
6L的“第一条”以及“第二条”的少量文字以及几张截图来自:
&&感谢 @ccboxes
8L的ESET的配置照搬:
感谢 @qftest
9L的COMODO配置的少量思路来自:
&&感谢 @智琛
电脑发烧友
本帖最后由 popu111 于
13:33 编辑
很好,很有帮助的说
本帖最后由 renyifei 于
13:35 编辑
写的太好了,堪称卡饭关于HIPS最翔实的文章
我看了之后就和吃了东北大锅烩感觉一样一样的
虽然我认为手动HIPS的存在价值并不大,但本帖确实是精品,支持了。
电脑发烧友
虽然我认为手动HIPS的存在价值并不大,但本帖确实是精品,支持了。
确实不大,智能HIPS才是大势所趋,这方面国内的360做得不错,国外的话我认为卡巴斯基的HIPS做的也很好,配合KSN信誉智能度很高
确实不大,智能HIPS才是大势所趋,这方面国内的360做得不错,国外的话我认为卡巴斯基的HIPS ...
其实这两位并不是传统意义上的HIPS,他们是近似于行为拦截的,360是云单步行为拦截和多步行为控制,并不是HIPS因为不能自定义规则(规则在云和程序本身内置),不算HIPS范畴了。
电脑发烧友
其实这两位并不是传统意义上的HIPS,他们是近似于行为拦截的,360是云单步行为拦截和多步行为控制,并不 ...
感觉360就像一个拥有海量白名单的HIPS,,广义的HIPS
感觉如果想折腾的话,卡巴的手动味道还是比较浓的。
感觉360就像一个拥有海量白名单的HIPS,,广义的HIPS
感觉如果想折腾的话,卡巴的手动味道还是比较浓 ...
确实,云主防的白名单确实是海量,大数据级别的。
我始终一如既往喜欢智能型的行为分析主防,如诺顿SONAR 卡巴SW 趋势Aegis 比特梵德ATC 蜘蛛DPH等
电脑发烧友
确实,云主防的白名单确实是海量,大数据级别的。
我始终一如既往喜欢智能型的行为分析主防,如诺顿SO ...
卡巴的SW似乎很少发威,但是antiRansomware 似乎很厉害。ATC确实是大杀器。话说卡巴的回滚实测可以脱掉钩子,不知道其他的回滚可以么,比如说SONAR和IDP
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,}
为了使『美冠塔』在&无痛治疗&领域卓尔不群,门诊引进了法国赛普敦公司出品的Aneaject无痛电子麻醉注射系统。赛普敦公司创立于1932年,是全球最大的口腔局麻制造商和销售商,是全球根管治疗产品的绝对领导者。
& & & &Aneaject无痛电子麻醉注射系统
是一种由计算机控制速度的麻醉技术,能保证缓慢而稳定的注射速度,使用的针头非常细小,基本可以做到注射时的无痛。
& & & &Aneaject无痛电子麻醉注射系统
& & & &已获得美国FDA、ADA认证,使用该系统麻醉效果更快,麻药用量更少,最大限度减轻了对心脏和大脑的负担,并减少了针头的偏转,使注射更为精确,减轻了患者的恐惧心理和疼痛感,此种无痛技术已列入美国部分医学院的教学课程。
& & & &电脑自动控制理想的注射速度
& & & &当选择自动模式时,注射速度会逐渐加快,直到达到选择的速度:低速、中速或高速。电脑自动控制速度以降低注射的疼痛。可在准确的部位注射适量的麻醉剂,不会引起疼痛。
& & & &当选择匀速模式时,在注射的过程中,速度保持不变。
& & & &触摸式按键避免了针尖的不稳定
& & & &用指尖轻触&开始/停止&键即可开始注射,松开即可停止。不需要用很大的力气而引起注射时的疼痛。
& & & &注射仪前方有个安全感应器,同时接触&开始/停止&键和安全感应器才能注射。
& & & &★美冠塔规定
& & & &『美冠塔』各门诊在注射麻药时,均需使用Aneaject无痛电子麻醉注射仪,并且不收任何费用,免费使用。
上一篇: 下一篇:
北京美冠塔口腔医院是我国第一家以中老年为主要服务人群的大型连锁口腔专科,在服务项目上以“中老年镶牙、种牙”为特色,致力于解决各种中老年口腔问题。在北京,美冠塔现已拥有4家大型分院——酒仙桥分院、安华桥分院、新兴桥分院和慈云寺分院,占地面积5200平米,共有60多间诊室、100多名医护人员,为广大中老年朋友提供舒适、优质的服务。
不是每一位牙科医生都能加入美冠塔医师团队。为打造最专业、最高效的医师团队,美冠塔绝不接收实习医生、助理医生和经验不足的进修医生。美冠塔医师团队现有专业口腔医师40余名,每位加入美冠塔医师团队的医生,首先必须是正规大学口腔医学系毕业并取得执业医师资格,还至少要有3-5年的一线诊断临床经验(尤其是附着体技术的临床)
北京美冠塔口腔 京ICP备号-1
免责申明:本网站部分图片或文章来源于互联网,如无意中对您的权益构成侵权,我们深表歉意,请来电告知,我们立即删除。请完成以下验证码
查看: 23725|回复: 58
揭开HIPS那看似神秘的面纱(16年8.31更新)
电脑发烧友
本帖最后由 电脑发烧友 于
21:17 编辑
增加卡巴对于论坛内两种写启动方式的应对规则。
经过权衡之后加入了对sys驱动文件操作的监控。
(174.04 KB, 下载次数: 90)
21:12 上传
点击文件名下载附件
目录(一)HIPS当前状况及发展趋势
(二)HIPS必备基础
(三)我们该做些什么
(四)触摸HIPS核心——规则
(五)深入规则核心——权限分配
(六)卡巴斯基应用程序控制(HIPS)简单配置
(七)火绒自定义模块(HIPS)简单配置
(八)ESET的HIPS简单配置
(九)COMODO中HIPS规则的详细配置
(十)写在最后
(十一)内容引用说明
这个帖子从8月15号开始写,到今天时间也不短了,期间多次调整思路,最坑的是很多截图论坛都显示不出来,必须丢到格式工厂里转换一下格式才行。如果有错误还请指出。
PS:HIPS老鸟请无视----
我新建了一个HIPS讨论群,欢迎新人老鸟加入,我知道这类群容易冷,所以我会尽力解答问题,但是本身学业繁重,在此希望有HIPS使用经验的人进群解决群友提问的问题,并负责群内的管理(管理员)
4.png (0 Bytes, 下载次数: 6)
22:10 上传
扫描二维码加群
本帖多数情况下会用图来代替文字性内容,因为太多的文字会让人没有耐心看下去,多使用图的话可以起到缓解的效果。
现在的手动HIPS进入了低谷期,但是HIPS本身却得到了发展,Kaspersky(卡巴斯基),ESET,360,McAfee等杀软都加入了HIPS来提高与病毒对抗的能力,说明HIPS本身还是没有没落,只是由于各项技术的发展,使得原来几乎不可能易用的HIPS功能变得更加的易用,智能而且具有较高的安全性。每当杀软的HIPS拦截到一个行为的时候,会检索数据库,就会得出这个程序是否应该有此行为,以做出更加合适的决定,国内的360应用的就是类似的判断策略,有些杀毒软件将HIPS晦涩难懂的提示简化为清晰易懂的文字,我们这里360为例,请看下图
QQ截图47.png (0 Bytes, 下载次数: 4)
22:16 上传
弹窗中给出的提示为“修改文档或图片”首先我们明白这是一个修改文档或图片的行为,但是这类提示在简化之前是这样的——A.EXE尝试修改一个受保护的文件,然后在列出路径——D:\工作目录\材料报表\总结.xlsx(打个比方),这种提示对于没有这方面基础的人也很难一眼看懂,但是360对其进行了简化,配合后面的提示,能够轻易的知道这很可能是一个恶意行为,而且在我们正常使用文档的时候并不会弹窗,这也是依赖于智能化的。试想,当我们碰到HIPS弹窗询问,首先,被修改的文件是干什么的?被修改之后会怎样?这个行为是不是恶意行为呢?没有足够的经验是很难做出判断的,但是杀软会结合数据库,之前的行为等数据辅助判断这是不是一个恶意行为,最终确定是否要弹窗拦截,这就是HIPS走向智能化的一个表现。
再次以360为例
QQ截图29.png (0 Bytes, 下载次数: 5)
22:25 上传
弹窗的文字提示内容为”风险脚本“,我们不难想到这很可能是一个恶意行为,但是这个行为在简化之前是这样的。HIPS弹窗询问某个程序尝试执行wacript.exe,这个弹窗所给的信息需要进一步处理才能得出这是在运行一个脚本,这对于缺乏基础的新人是一个难点,然后我们需要结合之前的行为找到脚本,如果没加密可以直接得出脚本是否存在问题,如果加密了则更麻烦。但是杀软可以根据之前的行为,数据库信息,以及脚本的安全等级来决定是否弹窗拦截,这是HIPS智能化的一个重要表现。
HIPS在如今都有什么用:
首先,杀毒软件可以通过加入HIPS功能来为用户提供更加可靠的安全保障。其次,用户可以使用合适的HIPS软件来对某个程序进行行为分析,有经验的用户还可以集合自己的经验和直觉做出更加详细的行为总结。同时,利用它们,可以基本做到对自己电脑的完全控制,安全性自不待言,这种完全控制的感觉更加能够让人获得心理上的满足和愉悦。只是,这类HIPS,在提供极致安全性和心理满足感的同时,也同时将准入的门槛抬高了不少,以至于很多新人只能在遥望美丽的空中楼阁的同时,站在高高的门槛前望而却步。
16年年度奖励
版区有你更性感: )
版区有你更精彩: )
版区有你更精彩: )
感谢提供分享
本帖被以下淘专辑推荐:
& |主题: 125, 订阅: 202
电脑发烧友
本帖最后由 电脑发烧友 于
10:47 编辑
一、HIPS必备基础
HIPS在干什么?为什么不停的有框弹出来?这些提示框都显示了什么信息?相信,刚刚步入HIPS大门的新手首先要面对的就是这样的困惑了!
正所谓“九层之台,起于垒土”,想要把HIPS玩好,一些基础的东西还是必须的。
第一条:HIPS。以下是百度百科的定义基于主机的入侵防御系统。HIPS是一种系统控制软件,它能监控电脑中文件的运行,对文件的调用,以及对注册表的修改。
比起官方式的解释,HIPS更像一个警察,“法律”上允许的事情,他不会管,“法律”上不允许的事情,他会不顾一切的阻止,而这位“警察”的“法律”就是HIPS的规则。
第二条:对象。学过编程的人应该对这个定义有所了解。现实生活中的“对象”就是人们常说的“东西”。对于系统来说,进程,程序,文件这些都是一个个的“东西”,也就是对象~!
第三条:AD,FD,RD的含义。以下是百度百科的内容AD(Application Defend)应用程序防御体系
RD(Registry Defend)注册表防御体系
FD(File Defend)文件防御体系
FD行为通俗的说就是操作文件的行为,包括对本地文件的“读取”“创建”“写入”“删除”,弹窗示例如下
FD——1.png (0 Bytes, 下载次数: 4)
23:06 上传
FD——2.png (0 Bytes, 下载次数: 4)
23:06 上传
RD行为通俗的说就是对注册表的操作,包括对注册表项的“读取”“创建”“写入”“删除”,弹窗示例如下
RD——1.png (0 Bytes, 下载次数: 5)
23:11 上传
AD行为我们可以简单的认为除了FD行为和RD以外的行为都是AD行为,常见的AD行为有
”加载驱动(设备驱动程序安装)“
”安装钩子“
”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“
”结束\挂起进程(进程终止)“
”修改其他进程内存(进程间内存写)“
”直接访问物理内存“
”直接访问底层磁盘“
”获得键盘的输入记录“
”获得屏幕内容“
”窗口消息“
”访问COM接口“
弹窗实例如下
AD——1.png (0 Bytes, 下载次数: 5)
23:25 上传
AD——2.png (0 Bytes, 下载次数: 5)
23:25 上传
AD——3.png (0 Bytes, 下载次数: 5)
23:25 上传
第四条:对象。学过编程的人应该对这个定义有所了解。现实生活中的“对象”就是人们常说的“东西”。对于系统来说,进程,程序,文件这些都是一个个的“东西”,也就是对象~!
第五条:规则。请见第一条。
第六条:通配符。
通配符*和?两者,。* 是比较常用的,可以代表任意字符,可以表示所有文件、注册表项目、COM接口。通过和\ 的组合,可以表示目录和注册表的层次。
? 一般代表单独的字符,用的比较少,?:可以用来表示盘符。
COMODO的通配符目前不支持单独的目录操作,目录也是文件。* 都是包括所有子目录的。
假设操作系统的安装目录为C:
%windir% = C:\Windows
%SystemRoot% = C:\Windows
%temp% = C:\Documents and Settings\用户名\Local Settings\Temp
%AllUsersProfile% = C:\Documents and Settings\All Users
%UserProfile% = C:\Documents and Settings\用户名
%AppData% = C:\Documents and Settings\用户名\Application Data
%ProgramFiles% = C:\Program Files
%CommonProgramFiles% = C:\Program Files\Common Files
C:\* 表示C盘下的所有文件
C:\*.exe 表示C盘下的所有exe文件
C:\*\* 表示C盘第一层目录下的所有文件
%windir%\system32\* 表示C:\Windows\System32 下的所有文件
C:\test\test1\*.* C:\test\test1 下所有带后缀名的文件和带. 的目录,对于test1目录操作不保护。
C:\test\test* C:\test 目录下的以test开头的文件和目录,保护目录操作,如不能重命名test1 目录
?:\autorun.inf 表示所有根目录下的autorun.inf
?:\* 表示所有文件,包括目录
?:\*.* 表示所有带后缀名的文件和带. 的目录
*.exe 表示全盘所有exe文件
*.dll 表示全盘的所有dll文件
?:\Documents and Settings\*\Cookies\*.txt 表示类似C:\Documents and Settings\All Users\Cookies 和C:\Documents and Settings\用户名\Cookies 下的所有txt文件
*\Software\Microsoft\Windows\CurrentVersion\Run*
表示HKLM | HKCU\Software\Microsoft\Windows\CurrentVersion\ 下 所有以Run 开头的键值和项,及项下面所有子项,子键。
第六条:优先级。当多条规则匹配到同一个程序的时候只有一个规则能生效,优先级决定是哪一条规则被生效。具体的优先级说明论坛中很多帖子都有说明,鉴于容易把人搞懵,我现在不会说,因为每一款HIPS的优先级设定很可能都不一样。
第七条:父进程\子进程。在某种情况下,才会有父进程和子进程之分。在一个进程创建另外一个进程的情况下,被创建的进程称为“子进程”,另一个进程称为“父进程”,即使这个“子进程”后来又创建了一个进程B,那么在它创建进程B的这个角度来看,进程B是“子进程”,而一开始一开始所提到的子进程就是“父进程”,如果是新人,看到这里你会想到什么?我来猜猜,请看下面从南边来了个喇嘛,提拉着五斤塔嘛。从北边来个哑吧,腰里别着个喇叭,提拉塔嘛的喇嘛,要拿塔嘛换别喇叭哑巴的喇叭,别喇叭的哑巴,不愿意拿喇叭换提拉塔嘛喇嘛的塔嘛。提拉塔嘛的喇嘛拿塔嘛打了别喇叭的哑巴一塔嘛,别喇叭的哑巴,拿喇叭打了提拉塔嘛的喇嘛一喇叭。也不知提拉塔嘛的喇嘛拿塔嘛打坏了别喇叭哑巴的喇叭。也不知别喇叭的哑巴拿喇巴打坏了提拉塔嘛喇嘛的塔嘛。提拉塔嘛的喇嘛敦塔嘛,别喇叭的哑巴吹喇叭。
是不是绕口令,如果你没有这种感觉,那么恭喜你,这一块你过关了,反之,请看下面两张图
TAN————1.png (0 Bytes, 下载次数: 4)
19:47 上传
TAN————2.png (0 Bytes, 下载次数: 5)
19:47 上传
不同的情况子\父进程的命名是不同的,也就是说,父进程\子进程的称呼永远是相对的,没有绝对的。
第八条:弹窗。弹窗中的选项都是啥意思?给我们提供了什么信息?请看下图
TAN——1.png (0 Bytes, 下载次数: 4)
20:12 上传
这个弹窗的文字说明为“explorer.exe”正试图执行&危险文件.exe&,这个意思大家很容易理解,这里就不解释了。那么这些选项都代表着什么?如果我们点击允许,那么表现为“explorer.exe”成功执行了&危险文件.exe&。
如果我们点击阻止,会出现一下几个选项
TAN——2.png (0 Bytes, 下载次数: 5)
20:09 上传
“仅阻止”——阻止&explorer.exe&执行&危险文件.exe&这个行为。
“阻止并终止”——阻止&explorer.exe&执行&危险文件.exe&这个行为后,结束“explorer.exe”这个进程。
“阻止.终止并恢复”——阻止&explorer.exe&执行&危险文件.exe&这个行为后,结束“explorer.exe”这个进程且还原explorer.exe这个进程的所有操作。
如果我们选择信任为,请看下图
TAN——3.png (0 Bytes, 下载次数: 5)
20:10 上传
那么点击其中一个项目之后,“explorer.exe”将使用提前设置好的某项规则。
到了这里,新人对基础名词的了解应该差不多可以了,如果没看懂,下面的内容估计就更看不懂了。
(0 Bytes, 下载次数: 22)
20:00 上传
越来越性感:)
版区有你更精彩: )
电脑发烧友
本帖最后由 电脑发烧友 于
09:50 编辑
二、我们该做些什么
了解了基础名词,读懂了提示框的信息,这仅仅是杯水车薪,新人们即将面对的是更加困难的选择,即使明白了到底发生了什么事件,可是事件本身到底是什么含义呢。究竟我们又该做些什么呢?
第一条:我们将会面对哪些行为。请看下图
QQ截图13.png (0 Bytes, 下载次数: 4)
20:31 上传
FD行为为:“修改受保护的文件\目录”
RD行为为:“修改受保护的注册表键”
AD行为为:
“进程间内存访问(进程间内存读\进程间内存写)”
“进程执行(运行一个可执行程序\创建一个进程等)”
“窗口或事件钩子(安装钩子\安装全局钩子)”
“设备驱动程序安装(加载驱动)”
“进程终止(结束进程\结束关键进程)”
“内存(直接访问物理内存)”“访问受保护的COM接口(访问关键COM接口)”
“底层磁盘访问(直接访问底层磁盘)”
“屏幕监视器(直接访问屏幕\获取屏幕内容)”
“键盘(直接访问键盘\键盘监听\记录键盘等)”
“DNS\RPC客户端服务(域名解析客户端服务)”
AD行为中,高度危险行为红色,风险行为为蓝色,其他行为为黑色
第二条:高危行为为什么高危?可疑行为为什么可疑?
设备驱动程序安装(加载驱动):通过加载驱动可以获得系统的最高权限,然后可以为所欲为,安全软件却束手无策。
内存(直接访问物理内存):Windows上的进程都运行在系统分配的虚拟内存空间中,一般情况下不会涉及到物理内存,操作物理内存的行为都是由系统完成的,程序只能发送请求,却不被允许直接操作。如果一个程序尝试绕过这种机制,直接去操作物理内存通常会有很高的系统特权会被认为是恶意行为。
底层磁盘访问(直接访问底层磁盘):系统的安全机制不允许程序直接去修改磁盘上的信息,而是需要向系统发送申请,由系统来派遣专门的程序来执行操作,这不仅方便了开发者,也提高的安全性。如果一个程序尝试绕过这种机制,直接修改磁盘上的信息通常被认为是恶意行为。
进程间内存写:通过修改某个进程的内存可以改变(控制)这个进程的行为,尽管这在日常使用中十分常见,但是恶意软件也很乐意与使用这种方式来控制某个进程,进而使这个进程变为“傀儡”来代替真正的恶意软件来执行恶意操作。
安装全局钩子:程序通过挂钩子的方式来截取某些消息,例如我的击键信息,鼠标的点击情况。广告屏蔽软件可以利用钩子来屏蔽广告,同时恶意软件也可以利用全局钩子来截取我们的敏感新,或者来拦截某些正常的操作\杀毒操作等。
键盘(直接访问键盘\键盘监听\记录键盘等):这个不难理解,无非就是知道我们在键盘上都按下了那个键。需要注意的是,在COMODO中,这个行为还意味着允许模拟的击键操作,所以需要额外注意。
第三条:FD行为和RD行为是不是不重要。
不一定,FD和RD的事件很简单,除了FD多出一个读取外,主要就是创建,修改和删除。那么FD和RD的危险等级实际上取决于FD和RD所指向的区域的危险等级。关于FD和RD究竟应该保护那些部分,下面会提到。
第四条:编写规则的最基本思路。
首先,需遵循高危行为全局阻止,可疑的行为弹窗询问,无关紧要的行为直接放行的原则,否则规则不是太严厉导致易用性极低,或者过于松导致防御能力不靠谱。
其次,以规则特点来确定我们需要哪类规则,一般分为两大类
类似白名单类:除了可信的程序其他的程序一律阻止或者给予其较低的权限,或者对信任的程序也给予一定的限制,防止其执行不需要的行为或者被恶意利用。
——多数规则为此类规则,易用性可以控制到合适的水平,而且安全性比较可靠。
类似黑名单类:我们可以理解为一系列被阻止的事件。比如,我们可以创建一个规则,允许任意程序向%WinDir%\system32\文件夹下写入任何文件,但是禁止写入spoclsv.exe(熊猫烧香的一个典型文件名)。这样,写入其它文件都不会有问题,而当病毒试图释放spoclsv.exe到system32目录的时候,规则就会阻止这个事件,从而保护了系统的安全。
——这种规则似乎很少见,因为虽然易用性很好,但是效率实在太低了,而且安全性低,如果仅仅用来防流氓的话,还是比较可靠。
规则,是HIPS的核心和灵魂。规则的强弱,好坏,直接影响着HIPS的工作效率和效果。关于创建HIPS规则的帖子有很多,技巧也有很多,我到后面会把能想到的写出来。
版区有你最精彩: ),你写这么多楼,都没.
版区有你更精彩: )
电脑发烧友
本帖最后由 电脑发烧友 于
20:46 编辑
三.触摸HIPS的核心——规则
第一条:规则基础。HIPS之所以能够发挥作用,规则可以说是它的核心。规则决定着HIPS拦截什么操作,不拦截什么操作,以至于决定电脑的命运。
当你刚开始使用某个HIPS时,你会发现干什么事情都有弹窗,而且很多都是重复的,以至于让新人很快的放弃了这款工具。遇到这种情况,就说明我们迫切得需要建立一些规则,从弹窗说起,请看下图
QQ截图56.png (0 Bytes, 下载次数: 4)
00:53 上传
当我们勾选“记住我的选择”并且对所提示的行为做出处理之后(允许.拦截),下次再次遇到相同的行为时,HIPS就会自动做出选择,而不是弹窗询问,原理就是HIPS创建了一条规则,这个规则仅允许了这个行为,所以我们不不需要做相同的决定,而不影响其他行为的拦截结果。
TAN——3.png (0 Bytes, 下载次数: 4)
00:56 上传
当我们点击“信任为”之后,下面会列出已经设置好的规则,选择后,动作发起者将会遵守这个规则,什么行为该拦截,什么行为该提示,什么行为该放行会完全遵守规则。
规则分类:
预定义规则:这类规则事先给出了一些行为的明确处理方式(阻止\允许),甚至于给出了这些处理方式适用的“源对象”(动作发起者)(其实就是弹窗左边的那个程序),一般情况下,这种规则会用于系统程序以及杀毒软件,有时候还包含常见的软件。
全局规则:对于预定义规则中没有列入的“源对象(动作发起者)(其实就是弹窗中左边的那个程序)”,或者没有给出明确处理方式(允许\阻止而非询问)的行为进行最后裁决,如果在全局规则中依旧没有找到明确的处理方式就弹窗询问用户,反之,按照规则给出的处理方式处理。
以上所说分类在实际的规则编写过程中毫无卵用,唯一有用的时候是在看帖子的时候不会看不懂名词。
第二条:如何写出高质量的规则。首先,你需要熟悉你所使用的HIPS(简单),然后,能够熟练的编写单条规则(简单),接着,你需要熟悉规则间的流程关系,并且能够把每一条的规则放到流程上合适的位置,最终形成一套规则(入门后极短时间内即可掌握),最重要的也是最重昂要的,需要用户了解系统安全方向的基础尝试,以及熟悉各类恶意软件的行为以及其可能造成的危害(时间,这个需要时间)。
第三条:恶意软件常见的行为。前面已经提到,想要写出好的规则对恶意软件的行为要有底,下面将会进行讲解。
从传播途径的角度来说,分为可移动设备传播\网络传播(包括QQ接收文件,下载等途径,我们这里讨论的是通过网页挂马的途径传播)这两种。
通过可移动设备传播的病毒,例如U盘病毒,最有效的方式就是禁止根目录的程序被运行(AD)并禁止读取存在于根目录的autorun,.inf文件(FD),因为U盘病毒通常会创建病毒文件到U盘根目录,同时在U盘根目录创建一个autorun,.inf驱动文件指向病毒,当用户双击U盘时在后台自动运行病毒。这里所提到的禁止运行没有想象的那么简单,阻止读取autorun,.inf的原因我现在也不说,后面会提到的。
通过网站挂马的方式传播,最有效的方式就是对创建可执行文件这个动作弹窗询问(FD)(如果直接阻止容易造成大量误杀),也可以加上当执行一个未知程序的之后弹窗询问(AD)。首先,网站上的挂马会被下载到本地上,行为上的表现为创建了一个可执行文件,然后程序需要启动,在行为上的表现为执行一个程序。所以对付网站挂马以上两条其中一条即可,但是也没有那么简单,至于原因,我后面也会提到。
从恶意软件的类型的角度来说,可分为感染类(这个容易理解吧)\恶意破坏类(以系统无法使用为目标)\木马类(以盗取信息和远程控制为目的)\恶意推广类(俗称的流氓软件)\勒索软件(锁屏\锁机[开机密码\MBR]\锁文件)【此类程序应该属于木马,鉴于目前较为流行故独立出来】
感染类程序通常会有以下行为:
1.通过写注册表的方式添加自启动项(RD)——方便重复感染
2.创建病毒文件到磁盘根目录(FD),同时在磁盘根目录创建一个autorun,.inf驱动文件指向病毒(FD),当用户双击磁盘时在后台自动运行病毒。——方便重复感染
3.感染目标文件(FD)或者控制傀儡进程(AD)执行操作,被感染的文件在被使用的时候会重复感染操作(FD)。——方便重复感染
4.其他降低安全性的操作(AD,FD,RD)——例如禁用windows defender(系统自带杀软),禁用任务管理器等行为
5.其他用于自启动的操作(FD)——例如篡改快捷方式等
6.母体自删除
恶意破坏类程序通常会有以下行为:
1.通过写注册表的方式添加自启动项(RD)——可能不会有这个行为,因为这类样本跑完之后系统基本就废了,重复启动意义不大。
2.大面积改写或者删除文件(FD)或者控制傀儡进程(AD)执行操作,导致系统无法正常使用。
3.在执行完破坏操作后关闭系统(AD)
4.其他降低安全性的操作(AD,FD,RD)——例如禁用windows defender(系统自带杀软),禁用任务管理器等行为
木马类程序通常都有一下行为
1.通过写注册表的方式来添加自启动项(RD)——为了长期驻留系统以窃取信息,一次性的马不会有这个行为。
2.在隐蔽位置释放衍生物(FD)并执行(AD)
3.通过各种方式窃取重要信息或者远程控制用户(AD,FD)或者控制傀儡进程(AD)执行操作——安装钩子,读取重要文件内容等
4.其他降低安全性的操作(AD,FD,RD)——添加windows防火墙例外列表等
5.其他用于自启动的操作(FD)——篡改快捷方式等
6.母体自删除
恶意推广类程序通常有以下行为
1.通过写注册表的方式添加自启动项(RD)
2.在指定目录释放指定的软件安装包(FD)并执行(AD)
3.被释放的安装包会执行正常的软件安装方式,少数安装包会有特殊安装方式来防止用户卸载(FD,AD,RD)
4.修改浏览器快捷方式来达到类似于锁定主页的效果,创建用于推广的快捷方式等(FD)
5.篡改浏览器主页(RD),少数样本会有修改收藏夹的动作(RD)
6.其他用于自启动的操作(FD)——向启动文件夹内写入文件等
7.其他降低安全性的操作(AD,FD,RD)——添加windows防火墙例外列表等
勒索程序通常具有以下行为
<font color="#.在指定位置释放衍生物并且执行(FD,AD)
<font color="#.由衍生物执行加密操作(FD)或者控制傀儡进程(AD)执行加密操作。
<font color="#.弹出勒索信息,并将勒索信息加入启动项。
当然还有一类恶意软件我们没有说,他可能隶属所有的类型,而且更可怕,那就是Rootkit,此类程序一般具有很高的隐蔽性和重生能力,具有和杀软进行对抗的能力,通常会有”提权“行为,要是正常提权倒是好说,如果附带个提权漏洞那基本就没得玩了。
说了这么多的恶意行为,大家可以看到在恶意软件整个从下载到运行并破坏系统的过程中,HIPS有多少机会可以阻止恶意软件的破坏。这也是手动HIPS安全性高的原因。因为一个程序(无论是正常还是非正常)的运行过程被HIPS完全分割开来,想要运行起来并产生破坏,就要经过多次的询问,这中间任何一个环节,用户选择了阻止,都能够有效的起到防护的作用。同时,假如单一的一个提示仍然无法得出准确结论的话(比如iexplorer.exe从temp文件夹启动了一个1.exe),那么后续的一系列高危险动作(释放衍生物文件到系统目录,注入dll到系统关键进程,添加自启动项……)就应该能够让用户可以很清楚的意识到,这是个恶意软件!!
第四条:规则需要拦截的行为。从上面的行为中,我们不难总结出几条编写规则的“万能公式“
1.对于添加自启动项的行为直接阻止或者弹窗询问
2.对于高危了AD行为直接阻止,加载驱动,直接访问底层磁盘等
3.对于修改敏感位置的文件的行为予以阻止或者询问
4.其他可疑行为\危险行为要询问或阻止
第五条:上手编写规则。以下的注册表\文件路径来自&&(有改动)
AD部分(推荐询问\拦截)
Automatic Startup 自动运行
*\Software\Microsoft\Windows\CurrentVersion\Run*
*\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run*
*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run*
*\Software\Microsoft\Command Processor\AutoRun
*\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
*\Software\Policies\Microsoft\Windows\System\Scripts\*
*\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell\*
*\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\NonWindowsApp\*
*\Software\Microsoft\Windows NT\CurrentVersion\WOW\standard\*
*\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\*
*\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*
*\Software\Policies\Microsoft\Windows\System\Scripts\Startup
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
*\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup
*\Software\Microsoft\Internet Explorer\URLSearchHooks\*
HKLM\System\ControlSet???\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Microsoft\Active Setup\Installed Components\*\StubPath
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SYSTEM\ControlSet???\Control\Session Manager\PendingFileRenameOperations
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
HKLM\SYSTEM\ControlSet???\Control\WOW\*
HKLM\SYSTEM\CurrentControlSet\Control\WOW\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\Shell\*
Important Keys 其它重要项
HKLM\SYSTEM\ControlSet???\Services\*
*\Software\Classes\?\shellex\ContextMenuHandlers\*
*\Software\Classes\*file\shell\*\command\*
*\Software\Classes\.exe\*
*\Software\Classes\.bat\*
*\Software\Classes\.com\*
*\Software\Classes\.cmd\*
*\Software\Classes\.reg\*
*\Software\Classes\.scr\*
*\Software\Classes\.vbs\*
*\Software\Classes\.vbe\*
*\Software\Classes\.pif\*
*\Software\Classes\.jar\*
*\Software\Classes\.js\*
*\Software\Classes\.pif\*
*\Software\Classes\.cpl\*
*\Software\Classes\.txt\*
*\Software\Classes\.ini\*
*\Software\Classes\.lnk\*
*\Software\Classes\.html\*
*\Software\Classes\.htm\*
*\Software\Classes\.doc\*
*\Software\Classes\.xls\*
*\Software\Classes\.ppt\*
*\Software\Classes\.rtf\*
*\Software\Classes\.hta\*
*\Software\Classes\.gif\*
*\Software\Classes\.jpg\*
*\Software\Classes\.png\*
*\Software\Classes\.mdb\*
*\Software\Classes\.eml\*
*\Software\Classes\.mp3\*
*\Software\Classes\.shs\*
*\Software\Classes\.wsh\*
*\Software\Classes\.rar\*
*\Software\Classes\.zip\*
*\Software\Classes\.jpeg\*
*\Software\Classes\.Folder\*
*\Software\Classes\Shell*
*\Software\Classes\Unknown\Shell*
*\Software\Classes\Folder\Shell*
*\Software\Classes\?\Shell\*
*\Software\Classes\mailto\shell\open\command\*
*\Software\Classes\*\ShellNew
*\Software\Classes\*\Shell\*\Command*
*\Software\Classes\Directory\Shell*
*\Software\Classes\*\NeverShowExt
*\Software\Classes\*\AlwaysShowExt
*\Software\Microsoft\Driver Signing\Policy
*\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\*
*\Software\Classes\CLSID\{7EFFAAFF-EA0A-1A3A-CBCD-F}\InProcServer32\*
*\Software\Policies\*
HKUS\*\Environment\Path
HKUS\*\Control Panel\Desktop\SCRNSAVE.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\*
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\*
HKLM\Software\Classes\Protocols\Filter\*
HKLM\Software\Classes\Protocols\Handler\*
System Drivers Services 系统设置驱动服务
HKLM\SYSTEM\ControlSet???\Services\*
HKLM\SYSTEM\CurrentControlSet\Services\*
HKLM\SYSTEM\ControlSet???\Control\SafeBoot\*
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\*
HKLM\System\ControlSet???\Control\BackupRestore\*
HKLM\System\CurrentControlSet\Control\BackupRestore\*
HKLM\System\ControlSet???\Control\ComputerName\*
HKLM\System\CurrentControlSet\Control\ComputerName\*
HKLM\SYSTEM\ControlSet???\Control\GroupOrderList\*
HKLM\SYSTEM\CurrentControlSet\Control\GroupOrderList\*
HKLM\SYSTEM\ControlSet???\Control\Lsa\*
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\*
HKLM\System\ControlSet???\Control\MprServices\*
HKLM\System\CurrentControlSet\Control\MprServices\*
HKLM\System\ControlSet???\Control\Print\Monitors\*
HKLM\System\CurrentControlSet\Control\Print\Monitors\*
HKLM\SYSTEM\ControlSet???\Control\ServiceGroupOrder\*
HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\*
HKLM\System\ControlSet???\Control\Class\{4D36E96B-E325-11CE-BFC1-0}\*
HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-0}\*
HKLM\Software\Microsoft\Ole*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\*
Internet Explorer Keys IE浏览器
*\Software\Microsoft\Internet Domains\*
*\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
*\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
*\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions
*\Software\Microsoft\Internet Explorer\Main\First Home Page
*\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
*\Software\Microsoft\Internet Explorer\Main\Local Page
*\Software\Microsoft\Internet Explorer\Main\Start Page
*\Software\Microsoft\Internet Explorer\Main\Start Page_bak
*\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL
*\Software\Microsoft\Internet Explorer\Main\Window Title
*\Software\Microsoft\Internet Explorer\Main\FeatureControl\*
*\Software\Microsoft\Internet Explorer\Main\Search*
*\Software\Microsoft\Internet Explorer\AboutURLs\*
*\Software\Microsoft\Internet Explorer\Activex Compatibility\*
*\Software\Microsoft\Internet Explorer\AdvancedOptions\*
*\Software\Microsoft\Internet Explorer\Desktop\Components\*
*\Software\Microsoft\Internet Explorer\Explorer Bars\*
*\Software\Microsoft\Internet Explorer\Extensions\*
*\Software\Microsoft\Internet Explorer\MenuExt\*
*\Software\Microsoft\Internet Explorer\Plugins\*
*\Software\Microsoft\Internet Explorer\Search\*
*\Software\Microsoft\Internet Explorer\SearchUrl*
*\Software\Microsoft\Internet Explorer\Styles\*
*\Software\Microsoft\Internet Explorer\Toolbar\*
*\Software\Microsoft\Internet Explorer\UrlSearchHooks\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigProxy
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Special Paths\Cookies\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MinLevel
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Security_RunActiveXControls
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Security_RunScripts
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Safety Warning Level
*\Software\Microsoft\Windows\Currentversion\Internet Settings\Trust Warning Level
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Security*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Warnon*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\User Agent\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\*
*\Software\Microsoft\Windows\CurrentVersion\Wintrust\Trust Providers\Software Publishing\*
*\Software\Clients\StartMenuInternet\*
*\Software\Microsoft\Windows\CurrentVersion\URL\*
*\Software\Classes\CLSID\{871C-1069-A2EA-D}\Shell\OpenHomePage\Command\*
HKLM\Software\Microsoft\Internet Explorer\Registration\ProductID
HKLM\Software\Microsoft\Code Store Database\Distribution Units\*
HKCR\Protocols\Handler\*
HKCR\Protocols\Filter\*
Special Registry 特殊项
*\Software\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\*
HKEY_CURRENT_USER\Control Panel\don't load\*
HKEY_CURRENT_USER\Environment\*
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Programs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayload*
HKLM\Software\Clients\Mail\*\Protocols\mailto*
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\don't load\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Extensions\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Imagefile Execution Options\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Secedit\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Defaultpassword
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ReportBootOk
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SFC*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\System\ControlSet???\Control\Session Manager\AllowProtectedRenames
HKLM\System\CurrentControlSet\Control\Session Manager\AllowProtectedRenames
HKLM\System\ControlSet???\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\ControlSet???\Control\Session Manager\Memory Management\EnforceWriteProtection
HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management\EnforceWriteProtection
HKLM\System\ControlSet???\Control\Session Manager\ExcludeFromKnownDlls
HKLM\System\CurrentControlSet\Control\Session Manager\ExcludeFromKnownDlls
HKLM\System\ControlSet???\Control\Session Manager\Environment\*
HKLM\System\CurrentControlSet\Control\Session Manager\Environment\*
HKLM\System\ControlSet???\Control\Session Manager\Execute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\System\ControlSet???\Control\Session Manager\KnownDlls*
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls*
HKLM\System\ControlSet???\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\ControlSet???\Control\Session Manager\SubSystems\*
HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems\*
HKLM\System\ControlSet???\Control\VirtualDeviceDrivers\VDD
HKLM\System\CurrentControlSet\Control\VirtualDeviceDrivers\VDD
HKLM\System\ControlSet???\Control\Wmi\Globallogger*
HKLM\System\CurrentControlSet\Control\Wmi\Globallogger*
HKLM\System\LastKnownGoodRecovery*
HKLM\System\MountedDevices\*
Security Policies 安全策略
HKEY_CURRENT_USER\Control Panel\Desktop\*
HKEY_CURRENT_USER\Software\Policies\Microsoft\*
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\EnforceShellExtensionSecurity
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hid*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\No*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Documents\HideMyDocsFolder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\IncludeSubFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Search*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\*
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Open
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\*
HKLM\Software\Microsoft\Windows\CurrentVersion\NetCache\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall\*
HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\WindowsUpdate\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKLM\Software\Policies\Microsoft\Windows\*
HKLM\System\ControlSet???\Services\Sharedaccess\Parameters\FirewallPolicy\*
HKLM\System\CurrentControlSet\Services\Sharedaccess\Parameters\FirewallPolicy\*
*\Software\Microsoft\Security Center\*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*
*\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*
*\Software\Microsoft\Windows\CurrentVersion\Policies\System\*
Terminal Server
HKLM\Software\Microsoft\Terminal Server Client\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\MCI32\Terminal Server\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\*
HKLM\SYSTEM\ControlSet???\Control\Terminal Server\*
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\*
File Associations 文件关联
HKCR\.bat\*
HKCR\.cmd\*
HKCR\.exe\*
HKCR\.txt\*
HKCR\.ini\*
HKCR\.lnk\*
HKCR\.pif\*
HKCR\.html\*
HKCR\.com\*
HKCR\.doc\*
HKCR\.htm\*
HKCR\.gif\*
HKCR\.hta\*
HKCR\.jpg\*
HKCR\.js\*
HKCR\.mdb\*
HKCR\.mp3\*
HKCR\.png\*
HKCR\.ppt\*
HKCR\.rtf\*
HKCR\.shs\*
HKCR\.vbs\*
HKCR\.vbe\*
HKCR\.wsh\*
HKCR\.xls\*
HKCR\.zip\*
HKCR\.eml\*
HKCR\.cpl\*
HKCR\.reg\*
HKCR\.jpeg\*
HKCR\.scr\*
HKCR\Shell*
HKCR\Unknown\Shell*
HKCR\Folder\Shell*
HKCR\?\Shell\*
HKCR\*\ShellNew
HKCR\*\Shell\*\Command*
HKCR\Directory\Shell*
HKCR\*\NeverShowExt
HKCR\*\AlwaysShowExt
HKCR\CLSID\{7EFFAAFF-EA0A-1A3A-CBCD-F}\InProcServer32\*
Networking 网络相关
HKLM\System\ControlSet???\Services\Winsock2\*
HKLM\System\CurrentControlSet\Services\Winsock2\*
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\*
HKLM\System\ControlSet???\Services\Tcpip\Parameters\DataBasePath
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath
HKLM\System\ControlSet???\Services\Tcpip\Parameters\Interfaces\*
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\*
HKLM\System\ControlSet???\Control\Session Manager\UserAgent
HKLM\System\CurrentControlSet\Control\Session Manager\UserAgent
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\*
HKLM\Software\Microsoft\Ras*
AV Keys 杀软自我保护(COMODO为例)
HKLM\System\Software\Comodo*
*\Software\Comodo*
Debug Keys 映像劫持
HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\*
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\*
Protocols 网络协议
HKLM\Software\Classes\Protocols\Filter\*
HKLM\Software\Classes\Protocols\Handler\*
Shell Icons 系统图标
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons*
*\Software\Classes\*file\DefaultIcon
*\Software\Classes\CLSID\*\DefaultIcon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\*\DefaultIcon
FD部分(推荐询问\阻止)
FD_WinDir FD_Windows目录
%windir%\*
FD_Important Files/Folders FD_重要的文件和目录
%windir%\system32\*
%windir%\system32\drivers\etc\*
%windir%\servicing\*
%windir%\system.ini
%windir%\win.ini
%windir%\wininit.ini
%windir%\winstart.bat
%windir%\Tasks\*
\Device\HarddiskVolume?
\Device\HarddiskVolume?\autoexec.bat
\Device\HarddiskVolume?\config.sys
\Device\HarddiskVolume?\boot.ini
\Device\HarddiskVolume?\bootfont.bin
\Device\HarddiskVolume?\ntdetect.com
\Device\HarddiskVolume?\ntldr
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\*
*\autorun.inf
%ProgramFiles%\DefenseWall\*
%ProgramFiles%\EQSysSecure\*
%ProgramFiles%\Filseclab\*
%ProgramFiles%\Internet Explorer\*
%ProgramFiles%\Returnil\*
%ProgramFiles%\Windows Media Player\*
FD_重要的文件和目录 这里可以加入ghost文件、杀软目录、autorun.inf、病毒通常建新文件的目录
FD_Application Data FD_AppData目录
?:\Documents and Settings\*\Application Data\*
?:\Documents and Settings\*\Local Settings\Application Data\*
FD_Program Files FD_程序目录
%programfiles%\*
D:\Program Files\*
FD_Startup Folders FD_开始菜单启动
?:\Documents and Settings\*\Start Menu\Programs\Startup\*
?:\Documents and Settings\*\「开始」菜单\程序\启动\*
?:\Documents and Settings\*\「開始」功能表\程式集\啟動\*
%windir%\system32\GroupPolicy\Machine\Scripts\Startup\*
%windir%\system32\GroupPolicy\User\Scripts\Logon\*
FD_AV Files/Folders FD_杀软安装目录(以COMODO为例)
C:\Program Files\COMODO\Firewall*
C:\Documents and Settings\All Users\Application Data\Comodo*
FD_3rd Party Protocol Drivers FD_第三方协议驱动
\Device\NPF_*
\Device\Ndisuio
\Device\NdisTapi
FD_Sysbackup FD_系统备份
FD_My Protected Files FD_私人文件
\Device\Harddisk0\DR0
\Device\Harddisk1\DR1
%programfiles%\cFosSpeed\*
%ProgramFiles%\WinRAR\*
FD_NamedPipe FD_命名管道
\Device\NamedPipe\lsass
\Device\NamedPipe\ntsvcs
\Device\NamedPipe\Win32Pipes
\Device\NamedPipe\Adobe LM Service
\Device\NamedPipe\pgpserv
\Device\NamedPipe\ROUTER
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
FD_Devices FD_设备驱动服务
\Device\Harddisk
\Device\CdRom
\Device\LanmanRedirector
\Device\USBFDO-0
\Device\USBFDO-1
\Device\Tcp
\Device\Udp
\Device\Ip
\Device\RawIp
\Device\Afd
\Device\PhysicalMemory
\Device\Harddisk0\DR0
\Device\Harddisk1\DR1
\Device\MountPointManager
除了测试,一般用不到,我也没有什么可以说的,占个位置而已。
COM部分(高危的拦截,其余的建议询问)
Internet Explorer/Windows Shell
InternetExplorer.Application.*
Outlook.Application.*
Microsoft.XMLHTTP
{A-11D0-A96B-00C04FD705A2}
{FBF23B40-E3F0-101B-3E56F8}
{9BA0-11CF-A442-00A0C90A8F39}
{-EF1F-11D0-DEACF9}
Windows Management
{D3A-11D0-891F-00AA004B2E24}
Pseudo COM Interfaces - Privileges(高危)
LocalSecurityAuthority.Backup
LocalSecurityAuthority.Restore
LocalSecurityAuthority.Debug
LocalSecurityAuthority.Shutdown
LocalSecurityAuthority.SystemEnvironment
LocalSecurityAuthority.SystemTime
Pseudo COM Interfaces - Important Ports
\RPC Control\ntsvcs
\RPC Control\wzcsvc
\RPC Control\spoolss
Miscellaneous Classes
{BE-4B48-836C-BC}
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{9BA05972- F6A8- 11CF- A442-00A0C90A8F39}
加载驱动——除系统程序和杀软外阻止
直接物理内存访问——除系统程序和杀软外阻止
直接底层磁盘访问——除系统程序和杀软外阻止
进程间内存访问——对于不认识的程序,修改Windows系统程序、explorer、杀软的内存的操作直接阻止,其余的询问。
直接访问键盘——询问,如果弹窗遇不认识的程序,直接阻止。防止键盘记录。
直接屏幕访问——对于需要访问屏幕的软件(截屏软件,录像软件等)其余的一律阻止
进程终止——由系统程序和杀软发出的结束进程的动作放行,其余的询问。
窗口消息——通常没啥用
运行一个可执行程序——如果平常只是查查资料,打游戏看网页啥的建议禁运以下程序。
AD_Blacklist Programs AD_黑名单程序
*\ntvdm.exe
*\attrib.exe
*\cscript.exe
*\wscript.exe
*\mshta.exe
*\ntoskrnl.exe
*\regedit.exe
*\regsvr32.exe
*\taskkill.exe
*\format.*
*\debug.exe
*\Cacls.exe
*\command.com
*\conime.exe
*\net1.exe
*\netsh.exe
*\netstat.exe
*\telnet.exe
*\tftp.exe
*\tasklist.exe
*\diskpart.exe
*\msconfig.exe
*\ntsd.exe
*\schtasks.exe
*\replace.exe
*\realsched.exe
*\TIMPlatform.exe
*\QQUpdateCenter.exe
AD_Blacklist folders I AD_黑名单目录 I
?:\RECYCLE?\*
?:\System Volume Information\*
*\Local Settings\Temp\*
*\Local Settings\Temporary Internet Files\*
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\*
C:\OperaCache\*
执行以下路径下的程序询问
AD_Blacklist folders II AD_可疑目录
%windir%\downloaded program files\*
%windir%\temp\
安装以下路径的钩子允许
%windir%\system32\*
第六条:如何判断弹窗行为是否需要拦截。这是问题实际上不是说说的事情,毕竟在身边没有可靠数据的情况下(多数情况)最靠谱的还是经验和来自于经验的直觉,新人只能靠时间来磨练,而不是一时半会的事情,以下是几个简单的判断方法
<font color="#.请检查“源对象”和“目标对象”的数字签名,如果有效,还是可以简单的认为是安全的行为,但是存在风险。
<font color="#.当弹窗提示添加启动项的时候请观察“源对象”是否需要自启动,一般需要自启动的程序是杀软和广告屏蔽软件,其余的建议阻止。
<font color="#.当弹窗询问是否执行“cmd.exe”的时候如果不是在安装东西还是建议阻止。
4.一般情况下常用的程序(不含杀软)在使用过程中是不会操作windows目录下的文件的,安装程序最多只会改动一点点,阻止了问题也不大(QQ,ADsafe除外),所以当你看到这种行为时,请不负责但是靠谱的认为他是个病毒。
5.好像不少,但是想不起来了。
对于HIPS提示做出正确的判断,是需要用户掌握一定的系统知识的,经验越丰富,判断起来得心应手。基本上,熟悉了HIPS的工作原理,能够读懂提示框的信息,并且能够根据经验和系统知识来对提示信息进行分析和判断,就已经算是迈进了HIPS这座花园了。随着经验的积累,越来越多的情况能够被正确的判断,HIPS的提示也会越来越少,用户对HIPS和系统的了解也会越来越深入。
电脑发烧友
本帖最后由 电脑发烧友 于
20:54 编辑
三.深入规则精华——权限分配
其实这部分才是一个HIPS规则的精华部分,一个程序应该干什么,不应该干什么,决定了我们应该给它分配怎样的权限。
试想如果一个浏览器被我们给了全部的权限,结果就是浏览器可以任意下载exe等可执行文件到任何地方,可以任意修改可执行文件,可以任意修改注册表,结果多恐怖!要是这样的程序被病毒感染或控制,突然发飙的话,后果不堪设想!——最简单的例子,比如它修改了QQ.exe,让QQ变成木马,又或者下载了一个自动运行的病毒放在磁盘根目录下,等我们双击磁盘时自动运行病毒……
那么如果一个浏览器被我们给了很低的权限,结果就是开启浏览器全是弹窗,或者根本无法运行......
那么当前的规则按照权限分配来说分为两类
全局阻止类(一棒子打死类):这类规则最明显的特点是如果要直接套用通常需要大量的加入各种路径,否则将无法正常使用各种程序。在授权上的原则是没有在规则内的程序一律阻止所有操作。
——此类规则在用户分辨软件好坏的能力不过关的情况下不管是易用性还是安全性都很难得到保证,易用性刚才已经说了,现在说说安全性,此类规则多数情况下对规则内的程序权限放的比较松,如果用户错误的将恶意软件加入规则中,那么将会是连锁反应。
第二类(不知道取什么名字):此类规则的特点是按照每个程序本身的特点进行权限的分配,对于规则内没有出现的程序将会按照提前配置好的规则分配权限,一般不会出现规则外程序无法使用的情况,容易在易用性和安全性方面取得不错的平衡
——此类规则对用户分辨软件好坏的能力要求不高,除了特殊组的权限以外,其他组的权限都有合理的限制,能够很好的降低错误分组所带来的损失。
第一条:按照什么原则进行授权。
系统程序给全权——通常情况下最方便就是给%windir%\*下所有程序全权,这种授权方式可以保证系统各项功能正常使用。杀毒软件给全权——这个就不用解释了吧
常用程序低限制——每个程序都有该干的和不该干的,比如浏览器不应该去修改QQ的文件。在这一块要予以限制。
未知程序高限制——基本上未知程序在高限制的状态运行会有较多弹窗,但是一些程序不会,比如一些临时用用的程序,这些程序一般用完即删,不需要经常使用,一般也不会有什么敏感的操作,所以可以正常使用,但是QQ,浏览器这类的程序在限制可能会无法使用。
第二条:具体授权。绿色为允许的操作,黄色为可询问可阻止的操作,红色为阻止的操作
全权:这个不用解释吧
运行自己的程序
访问自己的进程的内存
加载自己的钩子以及system32下的钩子
结束自己的进程
发送窗口消息
DNS\RPC客户端服务
直接键盘访问
操作自己的文件和注册表以及临时文件和注册表
运行非己的程序
访问非己的进程的内存
加载其他目录的钩子
结束非己的进程
操作非己的文件和注册表
直接屏幕访问
底层磁盘访问
直接访问物理内存
COM接口方面建议除了高危的接口其他的放行,否则弹窗对于新人来说有点繁琐。
操作临时文件和注册表
加载system32下的钩子
发送窗口消息
访问进程内存
直接屏幕访问
直接键盘访问
底层磁盘访问
直接访问物理内存
COM接口方面建议除了高危的接口其他的放行,否则弹窗对于新人来说有点繁琐。
作为精华规则的精华部分确实篇幅最少的部分,因为精华通常是通过实践得到的,这里的限制等级只是一个雏形,具体怎么做还是要靠自己来实践,说得太多不仅麻烦,而且无用。
电脑发烧友
本帖最后由 电脑发烧友 于
21:07 编辑
四.卡巴斯基应用程序控制(HIPS)简单配置
第一条.什么是应用程序控制。
应用程序控制是卡巴KIS以上版本自带的HIPS模块(不是主防!)。所谓HIPS,就是主机入侵防御系统的英文缩写,分注册表防护(RD),文件防护(FD),应用程序防护(AD)三块,在程序运行时拦截程序所有的行为并弹窗报告用户是否放行,一般可以通过预先设定规则来减少弹窗,增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。卡巴的应用程序控制,将AD单列为“管理应用程序”,将FD与RD合并为“管理资源”通过信誉云实时调整分组,配以直观的界面,大大简化了HIPS的使用难度。
在下文中,应用程序控制将缩写为AC(Application Control)
第二条.准备工作。
卡巴的官方帮助文档对通配符的解释
手动输入时,您可以使用掩码。\* 掩码允许您指定控制选定文件夹中所有文件或子文件夹的访问权限。\*&扩展名& 掩码允许您指定控制选定文件夹中所有带有指定扩展名的文件的访问权限。
默认情况下,AC直接放行大部分程序的行为,我们需要收紧AC的设置。
如果勾选自动执行推荐的操作,即使你在AC中设置询问也会放行,因此取消勾选。
KB——1.png (0 Bytes, 下载次数: 7)
22:35 上传
KB.png (0 Bytes, 下载次数: 7)
22:35 上传
在不勾选自动执行推荐的操作后,卡巴的弹窗数目会大幅提升,为减少不必要的打扰,如下设置。
KB——2.jpg (0 Bytes, 下载次数: 6)
22:36 上传
KB——3.jpg (0 Bytes, 下载次数: 5)
22:36 上传
KB——4.jpg (0 Bytes, 下载次数: 7)
22:36 上传
第三条:应用程序控制与传统HIPS的区别。
最大的亮点就是权限继承
权限继承:进程分父进程子进程之分,子进程是由父进程启动的,在AC中,子进程会使用父进程的规则,也就是说如果父进程在AC中使用低限制组的规则,那么被启动的子进程也将使用低限制组的规则,即使这个子进程是受信任的或者是被拉黑的。
在AC中我们会发现,explorer是一个受信任的程序,我们双击某个程序的时候实际上是由explorer执行的,但是被启动的程序并不会使用explorer的规则,也就是说,AC可以识别一些不需要“权限继承”的动作,可谓十分贴心。权限继承示例如下
QQ截图10.png (0 Bytes, 下载次数: 5)
23:10 上传
智能分组:从KSN中加载的受信任的程序信息是十分可靠的,也就是说,AC通过KSN的数据错误的将程序加入分组是几乎不可能的事情。对于在KSN中没有数据的程序默认情况下会通过启发式分析来确定程序应该属于什么组。
第四条:界面介绍。
KB——5.png (0 Bytes, 下载次数: 5)
23:12 上传
KB——6.png (0 Bytes, 下载次数: 5)
23:17 上传
那么如果我要添加一个资源“我的视频”怎么办?
KB——7.png (0 Bytes, 下载次数: 6)
23:19 上传
KB——8.png (0 Bytes, 下载次数: 4)
23:21 上传
KB——9.png (0 Bytes, 下载次数: 5)
23:24 上传
KB——10.png (0 Bytes, 下载次数: 5)
23:25 上传
KB——11.png (0 Bytes, 下载次数: 4)
23:25 上传
第五条:编写应用程序控制规则。
KB——12.png (0 Bytes, 下载次数: 4)
23:30 上传
KB——13.png (0 Bytes, 下载次数: 4)
23:34 上传
继承的意思就是沿用上一级资源的规则,例如“操作系统”的下一级是“启动设置”“系统文件”等。“操作系统”的规则是阻止,那么下一级继承的规则也是阻止。
KB——14.png (0 Bytes, 下载次数: 4)
23:47 上传
&操作系统&的话可以这样,&个人数据&的话就看你打算怎么用了
QQ截图23.png (0 Bytes, 下载次数: 5)
18:10 上传
增加了最新新发现的两种写启动的方式的防御,例如lnk写启动目录。
QQ截图33.png (0 Bytes, 下载次数: 5)
21:07 上传
鉴于源对象的系统程序,故修改权限配置
QQ截图44.png (0 Bytes, 下载次数: 4)
21:07 上传
&权限&部分可以使用以下设置
KB——16.jpg (0 Bytes, 下载次数: 4)
00:13 上传
KB——17.jpg (0 Bytes, 下载次数: 5)
00:14 上传
KB——18.jpg (0 Bytes, 下载次数: 4)
00:14 上传
第六条:如果你想折腾。
可以参照如下设置
KB——20.png (0 Bytes, 下载次数: 5)
00:29 上传
新建资源&文档\图片&并加入以下路径
常见办公文档后缀(用于预防敲诈勒索)
常见图片格式(用于预防敲诈勒索)
KB——20.png (0 Bytes, 下载次数: 5)
00:45 上传
对付加密勒索,这样设置足够。
提供示例规则下载
(174.04 KB, 下载次数: 56)
21:07 上传
点击文件名下载附件
感谢你对卡巴斯基的支持
电脑发烧友
本帖最后由 电脑发烧友 于
22:37 编辑
五.火绒自定义模块(HIPS)简单配置
第一条:准备工作。
火绒官方对火绒支持的通配符解释
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件,但不记得文件名其余部分,可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?,查找以love开头的一个字符结尾文件类型的文件,如lovey、lovei等。
& 替代所有字符直到遇到“\”。比如c:\a\&,那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。
第二条:认识界面。
HR——1.png (0 Bytes, 下载次数: 5)
21:23 上传
HR——2.png (0 Bytes, 下载次数: 6)
21:05 上传
HR——3.png (0 Bytes, 下载次数: 5)
21:07 上传
HR——4.png (0 Bytes, 下载次数: 9)
21:09 上传
HR——5.png (0 Bytes, 下载次数: 4)
21:10 上传
HR——6.png (0 Bytes, 下载次数: 5)
21:12 上传
HR——7.png (0 Bytes, 下载次数: 4)
21:13 上传
HR——8.png (0 Bytes, 下载次数: 4)
21:15 上传
HR——9.png (0 Bytes, 下载次数: 4)
21:15 上传
HR——10.png (0 Bytes, 下载次数: 5)
21:16 上传
HR——11.png (0 Bytes, 下载次数: 6)
21:17 上传
HR——12.png (0 Bytes, 下载次数: 5)
21:18 上传
HR——13.png (0 Bytes, 下载次数: 5)
21:19 上传
注意,“自动处理规则”仅仅在“自定义防护规则”起作用的情况下生效,其他情况下并不会生效。
第三条:示例规则。(这些规则都是我原来写的,稍作修改放了上来)
(4 KB, 下载次数: 63)
22:37 上传
点击文件名下载附件
部分规则的简要介绍
231821vrwvzwzlazcvuncl.png (0 Bytes, 下载次数: 4)
22:33 上传
注:示例规则出于易用性的考虑安全性降低了不少,请勿用于玩毒。
电脑发烧友
本帖最后由 电脑发烧友 于
23:14 编辑
六.ESET的HIPS简单配置
以下内容来自。
看懂以下内容的前提是看懂本帖上面的内容或者看懂 、
在规则编辑过程中,须知优先级:
自保规则-&自定义规则
路径规则-&通配符规则-&全局规则
阻止-&允许-&询问
由于ESET hips默认不保护启动文件夹、桌面文件夹、计划任务文件夹,因此楼主认为有必要添加相应规则
全局询问:强化文件夹保护
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\*.*
C:\Windows\System32\Tasks\*.*
C:\Users\你的用户名\Desktop\*.*
VSE默认规则中有一条非常重要的规则是防止从Temp系统临时文件夹运行文件,而这恰恰是ESET hips缺失的部份,楼主认为有必要移植过来
全局询问:防止所有程序从 Temp 文件夹运行文件
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\Default\AppData\Local\Temp\*.*
C:\Users\你的用户名\AppData\Local\Microsoft\Windows\Temporary Internet Files\*.*
C:\Users\你的用户名\Local Settings\Temp\*.*
C:\Users\你的用户名\AppData\Local\Temp\*.*
%windir%\temp\*
ESET hips防注入非常优秀,单独为其建立规则能够得到专门的通知和日志记录,便于测试和分析
全局询问:防注入
源及目标:所有
勾选“修改应用程序状态”
这里我要加一句,弹窗真的很多,特别是安装个程序。
基于某个朴素的认识,楼主从PCHunter和Autoruns提取了HIPS未保护的重要注册表键
全局询问:强化注册表保护
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\*
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_USERS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_USERS\*\Software\Microsoft\Internet Explorer\*
HKEY_USERS\*\Software\Policies\Microsoft\Internet Explorer\Control Panel\*
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ras\*
ESET的HIPS简单玩玩就行了,如果打算认真玩,还是算了,规则语法限制太多,而且本身还没有分组。
电脑发烧友
本帖最后由 电脑发烧友 于
17:15 编辑
七.COMODO中HIPS规则的详细配置。
第一条:准备工作。
5.jpg (0 Bytes, 下载次数: 5)
00:35 上传
6.jpg (0 Bytes, 下载次数: 4)
00:35 上传
7.jpg (0 Bytes, 下载次数: 4)
00:35 上传
8.jpg (0 Bytes, 下载次数: 4)
00:35 上传
1.png (0 Bytes, 下载次数: 5)
23:53 上传
2.png (0 Bytes, 下载次数: 4)
23:53 上传
3.png (0 Bytes, 下载次数: 4)
23:53 上传
4.png (0 Bytes, 下载次数: 4)
23:56 上传
第二条:认识界面以及含义。
10.png (0 Bytes, 下载次数: 4)
00:24 上传
访问设置:控制这个程序的行为,除了“运行一个可执行程序”以外,其余的行为都有三个选择“允许”“询问”“阻止”。处理方式右边的“排除”的意思就是不管是“允许”“询问”还是“阻止”,都会在此规则中生效的部分,可以认为是“例外允许”和“例外阻止”
保护设置:控制其他程序对这个程序的操作,分为“进程间内存访问”“窗口或事件钩子”“窗口消息”和“进程终止”,“激活”的意思就是启动该项的保护规则,“禁止”的意思就是不启动对该项的保护规则。右边的排除是在“激活”状态下例外允许对被保护程序进行操作的程序,优先级很高,应该是优先级最高的部分。
11.png (0 Bytes, 下载次数: 4)
00:24 上传
12.png (0 Bytes, 下载次数: 5)
00:32 上传
13.png (0 Bytes, 下载次数: 4)
00:32 上传
14.png (0 Bytes, 下载次数: 5)
11:51 上传
15.png (0 Bytes, 下载次数: 4)
11:53 上传
16.png (0 Bytes, 下载次数: 5)
11:54 上传
18.png (0 Bytes, 下载次数: 4)
11:57 上传
19.png (0 Bytes, 下载次数: 4)
11:57 上传
受保护的文件:这里存放着被列入监控范围的文件和目录,只有存在于这里的文件路径才会被HIPS所保护。当然也可以通过前面提到的例外规则来保护不在这里的路径。
被拦截的文件:存在于这里的文件禁止被读取,那么如果读权限被禁止,那么创建,写入,删除这三个权限也会同时被禁止。
注册表键值:也可叫“受保护的注册表键值”,这里存放着被列入监控范围的注册表键值,只有存在于这里的注册表键值才会被HIPS所保护,当然也可以通过前面提到的例外规则来保护不在这里的注册表键值。
COM接口:也可以叫“受保护的COM接口”,这里存放着被列入监控范围的COM接口,只有存在于这里的COM接口才会被HIPS所保护,当然也可以通过前面提到的例外规则来保护不在这里的COM接口。
数据保护目录:对于被毛豆沙盘限制运行或者虚拟化运行的程序,这里列出来的路径是不可见的,也就是说,这里的路径对于被毛豆沙盘限制或虚拟计划的程序是不存在的。
20.png (0 Bytes, 下载次数: 5)
15:04 上传
可以在这个界面的添加提前设置好的“组”,包括“文件组”“注册表组”“COM组”添加方式如下
21.png (0 Bytes, 下载次数: 4)
15:16 上传
如何添加一个文件组?
22.png (0 Bytes, 下载次数: 4)
15:26 上传
23.png (0 Bytes, 下载次数: 4)
15:26 上传
24.png (0 Bytes, 下载次数: 5)
15:27 上传
25.png (0 Bytes, 下载次数: 4)
15:27 上传
26.png (0 Bytes, 下载次数: 5)
15:27 上传
27.png (0 Bytes, 下载次数: 5)
15:27 上传
28.png (0 Bytes, 下载次数: 4)
15:27 上传
29.png (0 Bytes, 下载次数: 6)
15:27 上传
30.png (0 Bytes, 下载次数: 5)
15:27 上传
31.png (0 Bytes, 下载次数: 4)
15:27 上传
第三条:编写规则前所需的考虑。
我们编写规则是为了防御恶意软件,那么我们首先需要知道恶意软件通常都有哪些行为。
1.添加启动项便于重复发作,长期潜伏等目的。
2.创建恶意程序到回收站,还原点等目录并伺机运行。
3.创建衍生物到磁盘根目录,同时在磁盘根目录创建一个autorun,.inf驱动文件指向恶意程序,当用户双击磁盘时在后台自动运行恶意程序。
4.篡改重要的文件以实现某些目的,例如windows目录下的文件。在其他目录是释放衍生物并执行,例如windows目录和临时目录。
5.修改用户hosts文件,实现网址重定位,让杀毒软件等无法连接服务站点更新病毒库,把用户的访问劫持到病毒网站下载病毒。
6.通过修改、替换的方式感染系统目录下的可执行文件,甚至是整个磁盘上的可执行文件。
7.篡改关键注册表项来达到某些目的,例如创建服务,劫持程序等。
8.操纵其他进程,使其变成傀儡代替恶意程序执行恶意操作。
10.通过安装钩子来截取消息,中断消息传递或者经过篡改之后再呈现给用户或某些软件。例如用于Rootkit的文件隐藏技术。
11.通过底层操作来窃密或者执行破坏——底层屏幕访问可以截屏,底层键盘记录可以窃取用户帐号、密码,底层磁盘访问可以读取磁盘上存储的信息、文件,可以写入病毒文件或者格式化磁盘。
12.结束某个进程来达到某些目的,例如结束杀软进程来终止保护,三代粘虫会通过结束QQ的进程并弹出伪造窗口达到盗号的目的。
13.调用系统高危程序来达到某些目的,例如调用cmd.exe执行衍生物,调用rundll32.exe加载恶意DLL,调用net.exe修改账户密码,开启或者停用某些服务,调用shutdown.exe来重启电脑,
14.通过加载驱动来获得极高的权限来与杀软对抗或隐藏自身。
15.利用系统功能实现病毒目的。例如,访问COM接口使用系统组件;访问服务管理器来注册自身服务——比如在服务管理器(scm)里注册自身为通过svchost.exe加载的服务dll组件之一。
除了需要防御恶意软件的侵害,还需要保证我们日常使用的程序可以正常运行。这个就又要涉及到权限分配了。
权限太松,安全性太低,权限太紧,又无法正常使用,一般我们按照程序的分类来授权。
系统程序\杀软:最高权限,并且在“保护设置”里做相关保护。
日常使用的程序:QQ,浏览器,音乐,视频等日常软件,这类程序既要保证正常运行,又要保证其程序不要做出出格的事情。采用低限制
未知的:此类权限应该应用高限制类的权限,若无法正常使用,通常也可以通过日志来确定好坏,在进行权限的重新分配。
注:低限制和高限制具体的权限请看本帖5L
第四条:上手编写规则。
32.png (0 Bytes, 下载次数: 5)
16:23 上传
33.png (0 Bytes, 下载次数: 4)
16:23 上传
34.png (0 Bytes, 下载次数: 7)
16:23 上传
35.png (0 Bytes, 下载次数: 4)
16:23 上传
36.png (0 Bytes, 下载次数: 5)
16:23 上传
37.png (0 Bytes, 下载次数: 6)
16:23 上传
38.png (0 Bytes, 下载次数: 6)
16:23 上传
39.png (0 Bytes, 下载次数: 6)
16:23 上传
40.png (0 Bytes, 下载次数: 6)
16:23 上传
41.png (0 Bytes, 下载次数: 4)
17:12 上传
42.png (0 Bytes, 下载次数: 5)
17:12 上传
43.png (0 Bytes, 下载次数: 4)
17:12 上传
44.png (0 Bytes, 下载次数: 5)
17:12 上传
45.png (0 Bytes, 下载次数: 4)
17:12 上传
46.png (0 Bytes, 下载次数: 4)
17:12 上传
47.png (0 Bytes, 下载次数: 6)
17:12 上传
48.png (0 Bytes, 下载次数: 4)
17:12 上传
49.png (0 Bytes, 下载次数: 5)
17:12 上传
50.png (0 Bytes, 下载次数: 6)
17:12 上传
51.png (0 Bytes, 下载次数: 4)
17:12 上传
52.png (0 Bytes, 下载次数: 5)
17:12 上传
53.png (0 Bytes, 下载次数: 5)
17:12 上传
54.png (0 Bytes, 下载次数: 4)
17:12 上传
55.png (0 Bytes, 下载次数: 5)
17:12 上传
56.png (0 Bytes, 下载次数: 6)
17:12 上传
57.png (0 Bytes, 下载次数: 5)
17:12 上传
58.png (0 Bytes, 下载次数: 4)
17:12 上传
59.png (0 Bytes, 下载次数: 5)
17:12 上传
60.png (0 Bytes, 下载次数: 5)
17:12 上传
61.png (0 Bytes, 下载次数: 4)
17:12 上传
62.png (0 Bytes, 下载次数: 4)
17:12 上传
63.png (0 Bytes, 下载次数: 4)
17:12 上传
64.png (0 Bytes, 下载次数: 5)
17:12 上传
65.png (0 Bytes, 下载次数: 6)
17:12 上传
66.png (0 Bytes, 下载次数: 4)
17:12 上传
67.png (0 Bytes, 下载次数: 6)
17:12 上传
68.png (0 Bytes, 下载次数: 4)
17:12 上传
69.png (0 Bytes, 下载次数: 6)
17:12 上传
70.png (0 Bytes, 下载次数: 5)
17:12 上传
71.png (0 Bytes, 下载次数: 4)
17:12 上传
72.png (0 Bytes, 下载次数: 4)
17:12 上传
73.png (0 Bytes, 下载次数: 5)
17:12 上传
74.png (0 Bytes, 下载次数: 4)
17:12 上传
75.png (0 Bytes, 下载次数: 6)
17:12 上传
76.png (0 Bytes, 下载次数: 4)
17:12 上传
提供示例规则下载:
(17.85 KB, 下载次数: 30)
17:13 上传
点击文件名下载附件
注:示例规则适合用于新人学习,其易用性和安全性都偏低,请勿用此规则玩毒。
最后:毛豆的优先级
询问——第四优先级。 允许\阻止——第三优先级。 某个权限后的修改——第二优先级。
保护设置里的“激活”——第一优先级。&&保护设置里的“修改”——绝对优先。
绝对优先&第一优先级&第二优先级&第三优先级&第四优先级&。
多个相同等级的规则被匹配到的之后,排列最靠上的规则生效,其他不生效。
感谢你对毛豆的支持,辛苦了.
电脑发烧友
本帖最后由 电脑发烧友 于
21:46 编辑
八.写在最后
也许你会发现COMODO详细配置并不详细,因为过于详细只是浪费时间,对于HIPS重症患者来说,拿到一款新的HIPS在很短的时间内即可熟练使用,因为他们拥有规则思路以及扎实的基础,但是新人想要拥有这两样东西是需要时间的。
玩HIPS最重要的还是系统安全方向的基础部分。
通过网站挂马的方式传播,最有效的方式就是对创建可执行文件这个动作弹窗询问(FD)(如果直接阻止容易造成大量误杀),也可以加上当执行一个未知程序的之后弹窗询问(AD)。首先,网站上的挂马会被下载到本地上,行为上的表现为创建了一个可执行文件,然后程序需要启动,在行为上的表现为执行一个程序。所以对付网站挂马以上两条其中一条即可,但是也没有那么简单,至于原因,我后面也会提到。
我在这里说说,当挂马被下载下来的时候需要被某个程序执行起来,可能是浏览器,可能是系统程序,例如脚本下载者被下载下来的马就是被脚本宿主执行的,目前的HIPS除了毛豆对此做了识别以外,其他的HIPS在行为上的表现都是脚本宿主执行挂马,所以要编写好的规则这方面的只是不能少。
通过可移动设备传播的病毒,例如U盘病毒,最有效的方式就是禁止根目录的程序被运行(AD)并禁止读取存在于根目录的autorun,.inf文件(FD),因为U盘病毒通常会创建病毒文件到U盘根目录,同时在U盘根目录创建一个autorun.inf驱动文件指向病毒,当用户双击U盘时在后台自动运行病毒。这里所提到的禁止运行没有想象的那么简单,阻止读取autorun,.inf的原因我现在也不说,后面会提到的。
事实上,在插入带毒U盘的时候,会先由svchost和explorer读取autorun.inf内的内容,然后再由explorer写入注册表,之后就会出现双击盘符自定运行病毒,所以要杜绝这种情况需要对系统程序加以限制。
以最简单的例子来说明基础的重要性
这是一个关机bat,内容如下(修改了语法,防止被恶人利用[mw_shl_code=css,true]shutdownst
pause[/mw_shl_code])
这是火绒的HIPS的拦截情况
QQ截图43.png (0 Bytes, 下载次数: 4)
21:10 上传
QQ截图57.png (0 Bytes, 下载次数: 5)
21:10 上传
卡巴斯基的HIPS的拦截情况
QQ截图33.png (0 Bytes, 下载次数: 5)
21:11 上传
QQ截图52.png (0 Bytes, 下载次数: 6)
21:11 上传
COMODO的拦截情况
QQ截图43.png (0 Bytes, 下载次数: 4)
21:11 上传
QQ截图54.png (0 Bytes, 下载次数: 4)
21:12 上传
QQ截图06.png (0 Bytes, 下载次数: 5)
21:11 上传
我们发现不同的软件的拦截弹窗有所不同,事实上,这个关机bat的过程应该是explorer启动cmd,cmd启动shutdown,然后由shutdown执行关机操作,可以看出上述的三个软件都对此做了识别,并没有显示真实的执行过程,但是在规则方面,例如禁运bat卡巴和毛豆都直接在规则中禁运,但是火绒并没有做这个识别,想要禁运bat只能禁运cmd才行,所以编写规则的时候这些基础知识还是很重要的。
最后再加一句,如果你用HIPS分析程序行为的话,贴日志的时候一定要记得进行简化,否则没人想看那繁多的日志。
要想玩好HIPS,必备的基础还是不可缺少的,否则永远只能是模仿,而不是创造。
电脑发烧友
本帖最后由 电脑发烧友 于
19:40 编辑
九.内容引用说明
排版上照搬
& & 感谢@jpazy
本帖中有几句看起来很有文采的话,例如
对于HIPS提示做出正确的判断,是需要用户掌握一定的系统知识的,经验越丰富,判断起来得心应手。基本上,熟悉了HIPS的工作原理,能够读懂提示框的信息,并且能够根据经验和系统知识来对提示信息进行分析和判断,就已经算是迈进了HIPS这座花园了。随着经验的积累,越来越多的情况能够被正确的判断,HIPS的提示也会越来越少,用户对HIPS和系统的了解也会越来越深入。
2L的通配符信息和4L的路径来自:
&&感谢&&@ubuntu
6L的“第一条”以及“第二条”的少量文字以及几张截图来自:
&&感谢 @ccboxes
8L的ESET的配置照搬:
感谢 @qftest
9L的COMODO配置的少量思路来自:
&&感谢 @智琛
电脑发烧友
本帖最后由 popu111 于
13:33 编辑
很好,很有帮助的说
本帖最后由 renyifei 于
13:35 编辑
写的太好了,堪称卡饭关于HIPS最翔实的文章
我看了之后就和吃了东北大锅烩感觉一样一样的
虽然我认为手动HIPS的存在价值并不大,但本帖确实是精品,支持了。
电脑发烧友
虽然我认为手动HIPS的存在价值并不大,但本帖确实是精品,支持了。
确实不大,智能HIPS才是大势所趋,这方面国内的360做得不错,国外的话我认为卡巴斯基的HIPS做的也很好,配合KSN信誉智能度很高
确实不大,智能HIPS才是大势所趋,这方面国内的360做得不错,国外的话我认为卡巴斯基的HIPS ...
其实这两位并不是传统意义上的HIPS,他们是近似于行为拦截的,360是云单步行为拦截和多步行为控制,并不是HIPS因为不能自定义规则(规则在云和程序本身内置),不算HIPS范畴了。
电脑发烧友
其实这两位并不是传统意义上的HIPS,他们是近似于行为拦截的,360是云单步行为拦截和多步行为控制,并不 ...
感觉360就像一个拥有海量白名单的HIPS,,广义的HIPS
感觉如果想折腾的话,卡巴的手动味道还是比较浓的。
感觉360就像一个拥有海量白名单的HIPS,,广义的HIPS
感觉如果想折腾的话,卡巴的手动味道还是比较浓 ...
确实,云主防的白名单确实是海量,大数据级别的。
我始终一如既往喜欢智能型的行为分析主防,如诺顿SONAR 卡巴SW 趋势Aegis 比特梵德ATC 蜘蛛DPH等
电脑发烧友
确实,云主防的白名单确实是海量,大数据级别的。
我始终一如既往喜欢智能型的行为分析主防,如诺顿SO ...
卡巴的SW似乎很少发威,但是antiRansomware 似乎很厉害。ATC确实是大杀器。话说卡巴的回滚实测可以脱掉钩子,不知道其他的回滚可以么,比如说SONAR和IDP
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,}
我要回帖
更多关于 世敦孝友是什么意思 的文章
更多推荐
- ·已不拦截网页的浏览器了一个在该网页自动打开的应用,怎么关闭掉自带浏览器不拦截网页的浏览器功能?怎么取消掉自带浏览器不拦截网页的浏览器功能?
- ·服装电商怎么找货源经销挑选货源,如何规避著作权侵权?
- ·凤台最好的初中排名县精忠中学2024招生条件?
- ·百度知道如何升级百度最快?
- ·商用电磁炉整流桥通用吗,两个管子并联电路中,但老是击穿左边管子,把整流桥一起带走,右边管子总会没事的?
- ·绝地求生恶意击杀队友队友杀了我
- ·音速战机游戏中的赔付率怎么算散布图案是怎么算分的?
- ·每次玩东方梦符祭卡组玩着玩着突然弹出对游戏评价怎么解决?而且一局要弹出好几次
- ·龙雏怎样把妃子古言女主被打入冷宫宫
- ·古《古法易筋经十二导引》一: 金加洲,金锦应国际武术大赛邀请演示古法易筋经十二导引12式 完整视频如果正确发现金红包
- ·steam号被盗了,然后steam恢复次数上限限要怎么办,求大神帮助
- ·求大佬帮我远程安装上古卷轴黑暗之魂3人物美化modmod啊
- ·Dead or Alive5中训练模式ps怎么退出3d模式
- ·求三角洲特种部队秘籍之黑鹰坠落秘籍?
- ·手游创造与魔法攻略手游,我游戏角色10多级了为什么不能制造10级的武器?还用的原始武器。
- ·我我的电脑无法登录网银打LOL从来不卡,但是一登录游戏界面就卡很久,游戏结束出来也是加载界面超级慢!这是咋回事儿啊
- ·魔兽世界直升110级送的小号职业坐骑攻略
- ·起凡真三国乱舞太史慈怎么卡神装
- ·动物足球游戏中出现三个相同焊符号符号的概率是多少?
- ·放克猴宝贝桜歌词篮球游戏里面多少次免费转轴后会有一次红利游戏?
- ·敦塔嘛敦厚是什么意思么
- ·一级公安局零控是什么意思思
- ·英雄联盟屏蔽聊天幕保护程序有广告,怎么屏蔽
- ·怎么破解QQ对方空间设置权限破解的权限啊
- ·求dota 6.576.57娱乐版地图,记得里面输入-FUN,然后有魔法龙、堡垒等英雄。麻烦发一份给809527251@qq.com
- ·一拳一个拳打嘤嘤怪怪是什么意思?用简单的话来说。。
- ·请问300英雄左键改成lol鼠标右键改左键后点地板人不动有什么解决办法吗
- ·强劫西部银行倒闭理财赔付吗游戏中的赔付散布图案是怎么算分的?
- ·好想玩老版真三国无双8自创武将3呀,可以修改武将的那版,用小兵上战场,有的老板私聊570675212,或者油箱,谢谢啦
- ·这配置显卡和方舟8g内存中配置崩溃升级成1050ti,8g 吃鸡可以用中等画质吗?
- ·笔记本在西宁常年气温这边天气气温最高20度。然后电脑待机温度42-45度之间。如果跑到河南。河南那边的天气
- ·根据手机号码能查出一个人的手机通话记录能做假吗吗?
- ·gronee的手机怎样怎样让手机快速充电电
- ·小米8探索版京东什么时候出,小米商城和京东怎么都没有?
- ·推荐个50200左右游戏鼠标推荐的游戏本。
