ＨＩＰＳ

為了應(yīng)對(duì)層出不窮的未知木馬和病毒，各種殺毒軟件2008版，紛紛推出了主動(dòng)防御功能，作為被動(dòng)查殺的補(bǔ)充方案。其實(shí)主動(dòng)防御技術(shù)早已出現(xiàn)，有一類(lèi)專(zhuān)門(mén)致力于主動(dòng)防御木馬病毒的HIPS軟件，在防范未知木馬病毒方面非常有效。隨著主動(dòng)防御技術(shù)的熱炒，HIPS也開(kāi)始被越來(lái)越多的用戶(hù)關(guān)注……

HIPS與ProSecurilty

HIPS是英文“Host-based Intrusion PreventionSystem”的簡(jiǎn)寫(xiě)，翻譯成中文，即是“主機(jī)入侵防護(hù)系統(tǒng)”。HIPS是一類(lèi)特殊的軟件，它是基于行為檢測(cè)技術(shù)的內(nèi)核級(jí)安全防護(hù)軟件。HIPS通過(guò)對(duì)程序加載、跨進(jìn)程操作、注冊(cè)表操作、網(wǎng)絡(luò)訪問(wèn)、直接物理內(nèi)存讀寫(xiě)、安裝Windows鉤子、安裝系統(tǒng)服務(wù)／驅(qū)動(dòng)、加載可執(zhí)行模塊(DLL文件)、直接底層磁盤(pán)訪問(wèn)等系統(tǒng)行為的攔截保護(hù)，從而拒絕惡意程序?qū)ο到y(tǒng)的破壞、對(duì)自身的能力拓展及資料的竊取，實(shí)現(xiàn)了對(duì)系統(tǒng)的保護(hù)和對(duì)惡意程序的檢測(cè)。

國(guó)外的各種HIPS軟件比較多，但大多是英文界面的，因此易用性不高。而ProSecurity軟件提供了中文，是HIPS軟件中比較少見(jiàn)的一款，非常適合國(guó)內(nèi)用戶(hù)。

安裝設(shè)置

下載并安裝“ProSecurity v1.40 Beta 2”成功后，右鍵點(diǎn)擊托盤(pán)區(qū)的圖標(biāo)，在彈出菜單中選擇“OpenProSecurity”命令，打開(kāi)軟件主界面。

界面語(yǔ)言設(shè)置：點(diǎn)擊左側(cè)邊欄中的“Local Host/Settings”選項(xiàng)，在右邊選擇“Others”選項(xiàng)頁(yè)，將其中的“Lanagues”改為“簡(jiǎn)體中文”，確定后即可讓軟件使用簡(jiǎn)體中文界面。在設(shè)置界面中，還可以設(shè)置軟件界面皮膚，設(shè)置“自動(dòng)更新”選項(xiàng)等。

設(shè)置開(kāi)啟保護(hù)功能：ProSecurity提供了全面的系統(tǒng)內(nèi)核保護(hù)功能，可設(shè)置需要開(kāi)啟的保護(hù)項(xiàng)目。在左側(cè)邊欄中點(diǎn)擊“程序規(guī)則／全局設(shè)置”項(xiàng)，右邊即可以設(shè)置需要進(jìn)行監(jiān)控保護(hù)的項(xiàng)目，包括監(jiān)控新進(jìn)程的產(chǎn)生，監(jiān)控進(jìn)程訪問(wèn)內(nèi)存、網(wǎng)絡(luò)、安裝操作服務(wù)、系統(tǒng)鉤子等(如圖1)。為了全面的保護(hù)系統(tǒng)，建議勾選所有的項(xiàng)目。

設(shè)置完監(jiān)控項(xiàng)目后，右鍵點(diǎn)擊托盤(pán)區(qū)圖標(biāo)，在彈出菜單中選擇“正常模式／啟用系統(tǒng)保護(hù)”項(xiàng)，并勾選其下的所有保護(hù)項(xiàng)目(如圖2)。

提示：

在開(kāi)啟ProSecurlity的監(jiān)控模式后，一定要關(guān)閉殺毒軟件的主動(dòng)防御功能，否則有可能造成系統(tǒng)不穩(wěn)定。

攔截系統(tǒng)內(nèi)核操作

啟用ProSecurity的保護(hù)后，軟件對(duì)一切未設(shè)置規(guī)則的程序的運(yùn)行都會(huì)攔截并彈出詢(xún)問(wèn)窗口，由用戶(hù)選擇允許或拒絕。攔截的類(lèi)型包括：應(yīng)用程序運(yùn)行、庫(kù)文件加載、驅(qū)動(dòng)加載、物理內(nèi)存訪問(wèn)、物理磁盤(pán)訪問(wèn)、遠(yuǎn)程線(xiàn)程創(chuàng)建、修改其他進(jìn)程內(nèi)存、安裝全局鉤子、安裝服務(wù)或驅(qū)動(dòng)等多種類(lèi)型。在ProSecurity彈出攔截窗口時(shí)，會(huì)禁止其它一切操作以提醒用戶(hù)，表現(xiàn)形式非常像Windows Vista中的UAC權(quán)限控制攔截窗口。

在詢(xún)問(wèn)窗口中，最上方顯示了攔截類(lèi)型提示，提示用戶(hù)攔截了怎樣的操作，比如運(yùn)行新的進(jìn)程、加載驅(qū)動(dòng)等。在窗口中間是詳細(xì)的進(jìn)程信息，執(zhí)行操作的進(jìn)程及目標(biāo)進(jìn)程信息，在其中還有詳細(xì)的操作參數(shù)信息。在下方是用戶(hù)可選擇的操作類(lèi)型，如果選擇為默認(rèn)的“在這一次”，則表示僅這一次允許或拒絕，下次進(jìn)行同樣操作依然會(huì)詢(xún)問(wèn)。點(diǎn)擊“在這一次”按鈕，在下拉菜單中可選擇規(guī)則的有效性，比如永遠(yuǎn)執(zhí)行選擇的操作或在指定的時(shí)間內(nèi)有效(如圖3)。

在“允許”或“拒絕”按鈕下拉菜單中，可以選擇將攔截的進(jìn)程添加到信任或信任列表中。添加到列表中后，其實(shí)是將操作加入了規(guī)則文件。

提示

ProSecurity在剛安裝運(yùn)行時(shí)，可能會(huì)經(jīng)常彈出詢(xún)問(wèn)窗口，這是正常的，隨著使用時(shí)間增加，將信任的程序都加入規(guī)則文件，那么詢(xún)問(wèn)就會(huì)越來(lái)越少，只是在有陌生程序運(yùn)行時(shí)才會(huì)詢(xún)問(wèn)，這樣就能引起用戶(hù)高度重視，起到防范作用。

分析攔截信息

ProSecurity程序保護(hù)默認(rèn)的詢(xún)問(wèn)是非常有好處的，可以在木馬病毒等惡意程序運(yùn)行時(shí)提醒我們。但是，如何才能從攔截對(duì)話(huà)窗口信息中，判斷運(yùn)行究竟是木馬病毒還是正常的程序呢?

如果在彈出詢(xún)問(wèn)窗口時(shí)，我們正在進(jìn)行某種操作，首先可以查看詢(xún)問(wèn)窗口的描述部分，看給出的路徑、文件和廠商、屬性等信息是否正在操作的程序。例如在上面的圖示窗口中，可看到描述信息為“PPS網(wǎng)絡(luò)電視”，說(shuō)明這是正常的執(zhí)行操作，就可以在“允許”下拉菜單中選擇“信任此程序”命令。如果不能確定是什么文件，或者沒(méi)有描述信息，那么可查看命令行部分的信息，結(jié)合上面的信息進(jìn)行判斷。如果仍然不能確定，那么就要看攔截操作的類(lèi)型了。

一般說(shuō)來(lái)，如果是物理內(nèi)存訪問(wèn)、物理磁盤(pán)訪問(wèn)、修改其他進(jìn)程內(nèi)存，這類(lèi)操作通常是殺毒軟件或者其它的安全保護(hù)工具。通過(guò)進(jìn)程部分信息，可以確定是否為安全工具，如果信息不明，則屬于可疑操作。此外，關(guān)閉／重啟系統(tǒng)、安裝全局鉤子、安裝服務(wù)或驅(qū)動(dòng)等操作，一般只在安裝程序時(shí)會(huì)出現(xiàn)，如果平時(shí)出現(xiàn)，則可選擇拒絕。

如果彈出攔截窗口時(shí)并未進(jìn)行任何操作，那么攔截到的操作就比較可疑了，可結(jié)合上面的方法判斷。不過(guò)要注意的是，許多程序在后臺(tái)運(yùn)行時(shí)，也會(huì)彈出攔截窗口，比如殺毒軟件自動(dòng)升級(jí)和定時(shí)掃描、系統(tǒng)補(bǔ)丁升級(jí)、常用軟件升級(jí)等，對(duì)于這類(lèi)操作，通?？杉尤氲叫湃瘟斜?。

防范未知木馬病毒實(shí)例

目前，網(wǎng)絡(luò)上最易感染木馬病毒的一種方式是網(wǎng)頁(yè)，這里先來(lái)看看如何簡(jiǎn)單的用ProSecurity防范網(wǎng)頁(yè)木馬。

當(dāng)打開(kāi)某個(gè)木馬網(wǎng)頁(yè)時(shí)，網(wǎng)頁(yè)必須會(huì)通過(guò)IE調(diào)用木馬程序，因此在產(chǎn)生木馬進(jìn)程時(shí)，會(huì)被ProSecurity攔截并彈出窗口。從窗口信息中可以看到IE啟動(dòng)了一個(gè)新進(jìn)程，此進(jìn)程路徑位于IE臨時(shí)文件夾中(如圖4)。一般來(lái)說(shuō)，如果不是通過(guò)IE窗口鼠標(biāo)右鍵調(diào)用迅雷下載或其它網(wǎng)頁(yè)工具的話(huà)，是不會(huì)在瀏覽網(wǎng)頁(yè)過(guò)程中產(chǎn)生新進(jìn)程的，碰到這種情況，百分之百肯定是木馬病毒，選擇“拒絕”按鈕即可。

上面舉了一個(gè)簡(jiǎn)單的例子，下面再來(lái)看一個(gè)安裝過(guò)程軟件中防范流氓軟件的例子。從“華軍”網(wǎng)站下載的“Foxit PDF Text Viewer V3.0.1321漢化版”，此軟件在安裝過(guò)程中會(huì)安裝3721及網(wǎng)絡(luò)豬等流氓軟件。當(dāng)開(kāi)啟ProSecurity的保護(hù)后，在安裝過(guò)程中，會(huì)彈出插件安裝攔截窗口，顯示攔截到的新進(jìn)程名稱(chēng)“unpig.exe”，從圖標(biāo)上就可以看出這是網(wǎng)絡(luò)豬。在3721安裝運(yùn)行時(shí)，也會(huì)彈出攔截窗口，顯示攔截到進(jìn)程描述為“3721”的程序安裝運(yùn)行，只要在“拒絕”下拉菜單中選擇“拒絕并終止”命令，即可防止流氓軟件的安裝運(yùn)行。

至于其它木馬病毒，在運(yùn)行時(shí)也會(huì)被ProSecurity攔截，只要我們有基本的安全知識(shí)，就可以有效地識(shí)別出木馬病毒的隱藏運(yùn)行。

其他功能

上面只簡(jiǎn)單的提了一下在正常模式下的攔截保護(hù)，ProSecurity還提供了兩種運(yùn)行模式。比如在正常安裝軟件時(shí)，如果使用正常模式的話(huà)，會(huì)頻繁彈出攔截窗口，此時(shí)可在托盤(pán)區(qū)彈出菜單中切換為“安裝模式”，使用“安全優(yōu)先的模式”，自動(dòng)阻止木馬病毒惡意程序的隨安裝軟件進(jìn)入系統(tǒng)，同時(shí)不會(huì)彈出過(guò)多的攔截窗口。另外，ProSecurity還可以保護(hù)指定的注冊(cè)表、系統(tǒng)文件夾，用戶(hù)可以手工定義重要的文件夾，防止木馬病毒等竊取自己的機(jī)密資料等。

其實(shí)ProSecurity的功能非常的強(qiáng)大，使用它不僅可以完全地保護(hù)系統(tǒng)，同時(shí)還有助于用戶(hù)了解木馬病毒運(yùn)行的機(jī)制，對(duì)系統(tǒng)安全內(nèi)核有更深的了解。如果你希望對(duì)系統(tǒng)安全有更深入的了解，不妨好好研究一下這款軟件。