瑞星卡卡安全论坛
tom2000 - 2007-5-28 17:53:00
TOM2000
熟悉猫叔的朋友都应该熟悉它的Tiny Firewall Pro因为它俨然成为猫叔标志性的病毒分析工具。从今天看来Tiny Firewall Pro可以说它是跨时代的作品,并不是“跟风”对Tiny的崇拜,而是它超前的用HIPS结合防火墙可以说开发者的眼光实在独特。今天Tiny已经不存在了(它被CA收购了),但是在今年下半年的时候各大主流安全厂商才会在自己的产品中集成HIPS。这时大家就会知道我什么这样评价Tiny了吧!
对HIPS不了解的朋友大家可以看看“2007安全配置手册”,其实CA的安全套装中还是有Tiny影子在其中文安全套装中有HIPS但是很可惜这个没有汉化,Tiny的FANS可以体验一下(但是不要抱太大希望,因为CA好想没有在HIPS放太多的精力)。
简述HIPS
其实HIPS最有名的应该是SSM这款产品也是猫叔早期用的,口碑最好的应该是SNS但是其3.0产品目前对中文支持还是有问题大家可以先尝试2.5而且2.5版有汉化。国产的HIPS最有名应该是EQ目前3.3正式版(测试版为3.4RC2)上手很简单功能强大,S3是中网公司出品的HIPS产品它更与其它HIPS不同是集成防火墙和杀毒功能(杀毒未开放)目前市面的应该是3.2公测版内部测试版已经是3.5B1,但是由于S3由于没有其它HIPS的学习模式所以开始用户上手会有些麻烦。
目前来看最新测试国产HIPS已经非常接近SSM和SNS了,而且SSM和SNS的完整版本都是付费软件而且国产的目前都是免费的,而且SSM(老版本)和SNS对2003不支持EQ和S3则没有这个问题。
从目前主流安全产品的公开的消息来看,今年下半年推出的新一代的安全产品进本都开始集成了HIPS。因为很简单HIPS带来的安全效果是非常明显,首先厂商如果内置不可修改的规则就可以通过HIPS功能对自己安全产品本身进行良好的保护,其次或是通过内部规则设定或是良好的提示只要用户合理的使用HIPS组件那将是对系统安全有一个质的飞跃。我打一个比方在合理运用HIPS在安装被捆绑的程序的时候,可以只安装原程序而阻止恶意捆绑插件的安装。
但是有好的方面,同时也有坏的方面。就是兼容的问题尤其对于纯HIPS来说这更是关系到生死存亡的问题,因为不同的HIPS都会在底层争权限直接导致系统问题或直接挂掉。遇到这样的问题时多数用户是在多个HIPS上进行相互认证设置还是直接卸掉一款HIPS产品呢?这个问题就不言而喻。而且作为只有HIPS的纯HIPS软件来说它们被首先卸载的风险是最大的。(我在测试EQ上因为巨大的兼容问题差点让我放弃了测试)从目前的情况来说除非你的安全产品全部来自同一厂商,否则你混装不同厂商的安全产品都可能面临巨大的兼容问题。比如你的杀软有HIPS功能在安全COMODO V3 的时候可能就要顾及两者兼容问题。这在设置上可以解决(只要软件开放规则编辑)但是关键是普通用户能否自行设置,答案应该是否定。
另外排除HIPS的学习模式,用户任何对AD,FD,RD的首次操作软件都是进行提示,用户盲目放行或拒绝都是问题。也就是说HIPS的成功将基本取决与其自身的规则编译的好坏,这厂商都应该有不同的应对方法。学习模式应该是最简单有效的解决方法,但是问题是用户如果老开学习模式那HIPS就是个 摆设了,要是关闭HIPS那能否看懂提示就成关键,但是不要说普通用户就是专搞安全业内人士,在没有思想准备的情况下也难免犯低级的点击错误。
总的看来HIPS的集成已经是趋势但是HIPS如何运用就是大问题,但是从MCAFEE经验来看除非厂商对自己的规则十分自信否则HIPS组件应该还是对自身的保护。大家是否作好准备迎接HIPS时代的到来呢?
流星陨落 - 2007-5-28 18:10:00
正在用
孤独更可靠 - 2007-5-28 18:11:00
前天下了个Tiny ,英文版的``
花屏了``` T T
天月来了 - 2007-5-28 18:14:00
是啊!!
这玩意现在最急需的还是先保护杀软自身。
现在太多杀软中毒就不能开了。
逍遥浪子45 - 2007-5-28 18:54:00
呵呵,楼主分析的太确切了,Tiny ,似乎只有英文版的,英文不好啊...
我最近又做了个简单的批处理工具,实现了DLL木马的完全查杀!~哈哈,实在是有趣,也没办法,或许许多人都不怎么欣赏我的作品,被认为是灌水或者是广告,而且认为学批处理实在是无聊的事情,但个人认为,只要自己认为有意义,并坚持下去,一定能给自己创造许多乐趣!~需要工具的朋友可以联系我QQ:422547345
loveperday - 2007-5-28 19:31:00
一直不懂TINY的学习模式的意思- -!
现在好像感觉开了以后,所做的设置改动都不保存?
tom版的意思是开了学习模式,只是提示,而实际并不执行规则?
我现在理解的HIPS就是,对于一个程序行为的双方(执行者和执行对象)进行控制。这样理解对么?
V天之骄子V - 2007-5-28 20:04:00
Hack.VB.nc 哪位高手知道 求助 !!!!!!!!!!!
玻璃钢耗子 - 2007-5-28 20:20:00
现在还在使用猫叔推荐的ssm。
baohe - 2007-5-28 20:51:00
| 引用: |
【tom2000的贴子】.....
但是从MCAFEE经验来看除非厂商对自己的规则十分自信否则HIPS组件应该还是对自身的保护。大家是否作好准备迎接HIPS时代的到来呢?
……………… |
国人有句俗话:打铁还需自身硬。
此言不缪!
用IceSword试过杀Tiny的amon.exe和ssm的syssafe进程。
前提:tiny的system previliges组中已经设置了“阻止进程强迫终止”。
但是IceSword还是能顺利杀死 amon和syssafe两个进程。
变化前提:再在ssm的程序规则的中加入amon的进程终止保护,并使ssm处于运行状态。
再用IceSword杀amon进程——————杀不死了(ssm的保护规则发挥作用);用IceSword杀syssafe进程——————syssafe进程被顺利杀掉!
看来:
1、Tiny的“阻止进程强迫终止”保护功能有限。如果没有SSM助一臂之力,Tiny进程的自身安全有问题。
2、SSM对自身进程的保护也有限(敌不住IceSword)。但是ssm过于自信了,syssafe的设置不许改动(至少,目前的2.4.0.618版还是如此)。
ssm的自身防护还有待改进。
另:tiny的“阻止强迫关机”功能还行。如果勾选了这个规则,用户自己不能软关机。
天月来了 - 2007-5-28 20:56:00
呵呵!!!
看来绝对意义上的强权HIPS还没真正出来。
哪天出个中文的HIPS,任凭电闪雷鸣,我自岿然不动,那才爽!!!!
loveperday - 2007-5-28 20:59:00
正想问呢,我在规则里禁止explorer.exe强迫终止,然后我打开记事本,再关掉
提示:
动作:禁止
应用程序:explorer.exe
访问:Forced process/thread termination
目标:SendNotifyMessageA(Message=WM_CLOSE,Handle=0xC03EC)
时间:2007-5-28 20:43:36
可是记事本还是被关掉了。。
但在AMON的进程列表里还有,这是怎么回事呢?
附件:
8750952007528205155.jpg
baohe - 2007-5-28 21:14:00
| 引用: |
【loveperday的贴子】正想问呢,我在规则里禁止explorer.exe强迫终止,然后我打开记事本,再关掉
提示:
动作:禁止
应用程序:explorer.exe
访问:Forced process/thread termination
目标:SendNotifyMessageA(Message=WM_CLOSE,Handle=0xC03EC)
时间:2007-5-28 20:43:36
可是记事本还是被关掉了。。
但在AMON的进程列表里还有,这是怎么回事呢?
……………… |
你这个不叫“强迫进程终止”吧。那叫“用户关闭程序”
你用WINDOWS任务管理结束一下notepad——————
附件:
1558472007528210446.jpg
hotboy - 2007-5-28 21:42:00
可惜tiny(包括ca)没有磁盘底层保护,防不住猪3等东东,像baobao说的,还需要ssm的协防,ssm的ad+tiny的rdfd。
说到冰刃,这家伙太凶了
sns破解难,eq这东东本身架构就有问题
baohe - 2007-5-28 21:43:00
| 引用: |
【hotboy的贴子】可惜tiny(包括ca)没有磁盘底层保护,防不住猪3等东东,像baobao说的,还需要ssm的协防,ssm的ad+tiny的rdfd。
说到冰刃,这家伙太凶了
……………… |
老大!
你玩儿“猪3”了?
没事吧?
hotboy - 2007-5-28 21:45:00
| 引用: |
【baohe的贴子】
老大!
你玩儿“猪3”了?
没事吧?
……………… |
还活着,有惊无险,差点你就要给我烧纸了
神圣复仇者 - 2007-5-28 21:47:00
用ssm一段时间了,感觉不错
loveperday - 2007-5-28 21:48:00
========Content========
其实猫叔,我的疑问是:
咱们平时启动程序,关闭程序,程序的执行者不都是explorer么?那么“用户关闭程序”不就是应该explorer结束程序么?
规则中的“强迫”应该如何理解呢?我们观察病毒时,病毒试图结束杀软进程,那他的执行者有可能是explorer么?
loveperday - 2007-5-28 21:49:00
嘛是猪3啊。。。。
baohe - 2007-5-28 21:50:00
| 引用: |
【hotboy的贴子】
还活着,有惊无险,差点你就要给我烧纸了
……………… |
烧纸?
不会。
那东东,即使实机运行了,也有办法。用Diskman重建分区表。
baohe - 2007-5-28 21:52:00
| 引用: |
【loveperday的贴子】========Content========
其实猫叔,我的疑问是:
咱们平时启动程序,关闭程序,程序的执行者不都是explorer么?那么“用户关闭程序”不就是应该explorer结束程序么?
规则中的“强迫”应该如何理解呢?我们观察病毒时,病毒试图结束杀软进程,那他的执行者有可能是explorer么?
……………… |
病毒杀死进程的手段————多了。俺也说不清(非专业啊!)
我遇到的有:病毒通过net.exe和net1.exe关闭杀软。
hotboy - 2007-5-28 21:52:00
| 引用: |
【baohe的贴子】
烧纸?
不会。
那东东,即使实机运行了,也有办法。用Taskman重建分区表。
……………… |
我是重启前修的mbr
baohe - 2007-5-28 21:56:00
| 引用: |
【loveperday的贴子】嘛是猪3啊。。。。
……………… |
一个破坏硬盘分区表的恶性病毒。
病毒本身不复杂,但造成的后果严重。
loveperday - 2007-5-28 21:58:00
http://forum.ikaka.com/topic.asp?board=33&artid=8295659
这篇文章挺好的,才发现。。嘿嘿
HIPS科普。。
loveperday - 2007-5-28 22:01:00
寒了,偶暂时不碰。。。。
刚开始把TINY想像的很完美,感觉他太强大了。现在听斑斑们一说,感觉他被收购是一个悲哀,因为他停止发展了。唉。。
hotboy - 2007-5-28 22:12:00
| 引用: |
【loveperday的贴子】寒了,偶暂时不碰。。。。
刚开始把TINY想像的很完美,感觉他太强大了。现在听斑斑们一说,感觉他被收购是一个悲哀,因为他停止发展了。唉。。
……………… |
因为ssm的fd夏天才能看见,不好评价,就现在来看,到未来1年内,用tiny是个不错的选择,世上没有完美的软件,所以需要协防,就跟打球一样
baohe - 2007-5-28 22:18:00
| 引用: |
【loveperday的贴子】寒了,偶暂时不碰。。。。
刚开始把TINY想像的很完美,感觉他太强大了。现在听斑斑们一说,感觉他被收购是一个悲哀,因为他停止发展了。唉。。
……………… |
怎么说呢?
我最遗憾的是:tiny被CA收购后,IDS rules(由snort rules转换来的) 就没法再更新了(虽然程序文件夹中还有那个SnortImp.dll,但缺少新版的SnortImp.exe)。据说是SnortImp.exe的死掉也与TINY被收购有关。
loveperday - 2007-5-28 22:31:00
其实我现在学习Tiny反而主要用做观察病毒了,嘿嘿~它的跟踪功能也许并不是独到,但对我来说,很新鲜也很吸引人!
IDS和INTERGRID GUARD方面还有待学习。。。
桃子CiCi - 2007-5-29 1:19:00
嗯
来卡卡跟猫叔学到了很多
开始跟着学就是用冰刃
后来发现XDELBOX那些可以直接批处理的要方便些
有段时间放弃了冰刃,在经历了一次和木马群殴的过程
从现在开始又捡回来了冰刃,以后都只认冰刃
hanghaigood - 2007-5-29 13:25:00
第一次接触HIPS,了解了很多关于"主动防御"的知识.继续学习中..
乐影依翼 - 2007-5-29 17:19:00
麻烦高手给我个SSM的下载地址吧?我下的SSM不能用 说是少点什么东西而不能用
© 2000 - 2026 Rising Corp. Ltd.