ＨＩＰＳ

為了應(yīng)對層出不窮的未知木馬和病毒，各種殺毒軟件2008版，紛紛推出了主動防御功能，作為被動查殺的補充方案。其實主動防御技術(shù)早已出現(xiàn)，有一類專門致力于主動防御木馬病毒的HIPS軟件，在防范未知木馬病毒方面非常有效。隨著主動防御技術(shù)的熱炒，HIPS也開始被越來越多的用戶關(guān)注……

HIPS與ProSecurilty

HIPS是英文“Host-based Intrusion PreventionSystem”的簡寫，翻譯成中文，即是“主機(jī)入侵防護(hù)系統(tǒng)”。HIPS是一類特殊的軟件，它是基于行為檢測技術(shù)的內(nèi)核級安全防護(hù)軟件。HIPS通過對程序加載、跨進(jìn)程操作、注冊表操作、網(wǎng)絡(luò)訪問、直接物理內(nèi)存讀寫、安裝Windows鉤子、安裝系統(tǒng)服務(wù)／驅(qū)動、加載可執(zhí)行模塊(DLL文件)、直接底層磁盤訪問等系統(tǒng)行為的攔截保護(hù)，從而拒絕惡意程序?qū)ο到y(tǒng)的破壞、對自身的能力拓展及資料的竊取，實現(xiàn)了對系統(tǒng)的保護(hù)和對惡意程序的檢測。

國外的各種HIPS軟件比較多，但大多是英文界面的，因此易用性不高。而ProSecurity軟件提供了中文，是HIPS軟件中比較少見的一款，非常適合國內(nèi)用戶。

安裝設(shè)置

下載并安裝“ProSecurity v1.40 Beta 2”成功后，右鍵點擊托盤區(qū)的圖標(biāo)，在彈出菜單中選擇“OpenProSecurity”命令，打開軟件主界面。

界面語言設(shè)置：點擊左側(cè)邊欄中的“Local Host/Settings”選項，在右邊選擇“Others”選項頁，將其中的“Lanagues”改為“簡體中文”，確定后即可讓軟件使用簡體中文界面。在設(shè)置界面中，還可以設(shè)置軟件界面皮膚，設(shè)置“自動更新”選項等。

設(shè)置開啟保護(hù)功能：ProSecurity提供了全面的系統(tǒng)內(nèi)核保護(hù)功能，可設(shè)置需要開啟的保護(hù)項目。在左側(cè)邊欄中點擊“程序規(guī)則／全局設(shè)置”項，右邊即可以設(shè)置需要進(jìn)行監(jiān)控保護(hù)的項目，包括監(jiān)控新進(jìn)程的產(chǎn)生，監(jiān)控進(jìn)程訪問內(nèi)存、網(wǎng)絡(luò)、安裝操作服務(wù)、系統(tǒng)鉤子等(如圖1)。為了全面的保護(hù)系統(tǒng)，建議勾選所有的項目。

設(shè)置完監(jiān)控項目后，右鍵點擊托盤區(qū)圖標(biāo)，在彈出菜單中選擇“正常模式／啟用系統(tǒng)保護(hù)”項，并勾選其下的所有保護(hù)項目(如圖2)。

提示：

在開啟ProSecurlity的監(jiān)控模式后，一定要關(guān)閉殺毒軟件的主動防御功能，否則有可能造成系統(tǒng)不穩(wěn)定。

攔截系統(tǒng)內(nèi)核操作

啟用ProSecurity的保護(hù)后，軟件對一切未設(shè)置規(guī)則的程序的運行都會攔截并彈出詢問窗口，由用戶選擇允許或拒絕。攔截的類型包括：應(yīng)用程序運行、庫文件加載、驅(qū)動加載、物理內(nèi)存訪問、物理磁盤訪問、遠(yuǎn)程線程創(chuàng)建、修改其他進(jìn)程內(nèi)存、安裝全局鉤子、安裝服務(wù)或驅(qū)動等多種類型。在ProSecurity彈出攔截窗口時，會禁止其它一切操作以提醒用戶，表現(xiàn)形式非常像Windows Vista中的UAC權(quán)限控制攔截窗口。

在詢問窗口中，最上方顯示了攔截類型提示，提示用戶攔截了怎樣的操作，比如運行新的進(jìn)程、加載驅(qū)動等。在窗口中間是詳細(xì)的進(jìn)程信息，執(zhí)行操作的進(jìn)程及目標(biāo)進(jìn)程信息，在其中還有詳細(xì)的操作參數(shù)信息。在下方是用戶可選擇的操作類型，如果選擇為默認(rèn)的“在這一次”，則表示僅這一次允許或拒絕，下次進(jìn)行同樣操作依然會詢問。點擊“在這一次”按鈕，在下拉菜單中可選擇規(guī)則的有效性，比如永遠(yuǎn)執(zhí)行選擇的操作或在指定的時間內(nèi)有效(如圖3)。

在“允許”或“拒絕”按鈕下拉菜單中，可以選擇將攔截的進(jìn)程添加到信任或信任列表中。添加到列表中后，其實是將操作加入了規(guī)則文件。

提示

ProSecurity在剛安裝運行時，可能會經(jīng)常彈出詢問窗口，這是正常的，隨著使用時間增加，將信任的程序都加入規(guī)則文件，那么詢問就會越來越少，只是在有陌生程序運行時才會詢問，這樣就能引起用戶高度重視，起到防范作用。

分析攔截信息

ProSecurity程序保護(hù)默認(rèn)的詢問是非常有好處的，可以在木馬病毒等惡意程序運行時提醒我們。但是，如何才能從攔截對話窗口信息中，判斷運行究竟是木馬病毒還是正常的程序呢?

如果在彈出詢問窗口時，我們正在進(jìn)行某種操作，首先可以查看詢問窗口的描述部分，看給出的路徑、文件和廠商、屬性等信息是否正在操作的程序。例如在上面的圖示窗口中，可看到描述信息為“PPS網(wǎng)絡(luò)電視”，說明這是正常的執(zhí)行操作，就可以在“允許”下拉菜單中選擇“信任此程序”命令。如果不能確定是什么文件，或者沒有描述信息，那么可查看命令行部分的信息，結(jié)合上面的信息進(jìn)行判斷。如果仍然不能確定，那么就要看攔截操作的類型了。

一般說來，如果是物理內(nèi)存訪問、物理磁盤訪問、修改其他進(jìn)程內(nèi)存，這類操作通常是殺毒軟件或者其它的安全保護(hù)工具。通過進(jìn)程部分信息，可以確定是否為安全工具，如果信息不明，則屬于可疑操作。此外，關(guān)閉／重啟系統(tǒng)、安裝全局鉤子、安裝服務(wù)或驅(qū)動等操作，一般只在安裝程序時會出現(xiàn)，如果平時出現(xiàn)，則可選擇拒絕。

如果彈出攔截窗口時并未進(jìn)行任何操作，那么攔截到的操作就比較可疑了，可結(jié)合上面的方法判斷。不過要注意的是，許多程序在后臺運行時，也會彈出攔截窗口，比如殺毒軟件自動升級和定時掃描、系統(tǒng)補丁升級、常用軟件升級等，對于這類操作，通常可加入到信任列表。

防范未知木馬病毒實例

目前，網(wǎng)絡(luò)上最易感染木馬病毒的一種方式是網(wǎng)頁，這里先來看看如何簡單的用ProSecurity防范網(wǎng)頁木馬。

當(dāng)打開某個木馬網(wǎng)頁時，網(wǎng)頁必須會通過IE調(diào)用木馬程序，因此在產(chǎn)生木馬進(jìn)程時，會被ProSecurity攔截并彈出窗口。從窗口信息中可以看到IE啟動了一個新進(jìn)程，此進(jìn)程路徑位于IE臨時文件夾中(如圖4)。一般來說，如果不是通過IE窗口鼠標(biāo)右鍵調(diào)用迅雷下載或其它網(wǎng)頁工具的話，是不會在瀏覽網(wǎng)頁過程中產(chǎn)生新進(jìn)程的，碰到這種情況，百分之百肯定是木馬病毒，選擇“拒絕”按鈕即可。

上面舉了一個簡單的例子，下面再來看一個安裝過程軟件中防范流氓軟件的例子。從“華軍”網(wǎng)站下載的“Foxit PDF Text Viewer V3.0.1321漢化版”，此軟件在安裝過程中會安裝3721及網(wǎng)絡(luò)豬等流氓軟件。當(dāng)開啟ProSecurity的保護(hù)后，在安裝過程中，會彈出插件安裝攔截窗口，顯示攔截到的新進(jìn)程名稱“unpig.exe”，從圖標(biāo)上就可以看出這是網(wǎng)絡(luò)豬。在3721安裝運行時，也會彈出攔截窗口，顯示攔截到進(jìn)程描述為“3721”的程序安裝運行，只要在“拒絕”下拉菜單中選擇“拒絕并終止”命令，即可防止流氓軟件的安裝運行。

至于其它木馬病毒，在運行時也會被ProSecurity攔截，只要我們有基本的安全知識，就可以有效地識別出木馬病毒的隱藏運行。

其他功能

上面只簡單的提了一下在正常模式下的攔截保護(hù)，ProSecurity還提供了兩種運行模式。比如在正常安裝軟件時，如果使用正常模式的話，會頻繁彈出攔截窗口，此時可在托盤區(qū)彈出菜單中切換為“安裝模式”，使用“安全優(yōu)先的模式”，自動阻止木馬病毒惡意程序的隨安裝軟件進(jìn)入系統(tǒng)，同時不會彈出過多的攔截窗口。另外，ProSecurity還可以保護(hù)指定的注冊表、系統(tǒng)文件夾，用戶可以手工定義重要的文件夾，防止木馬病毒等竊取自己的機(jī)密資料等。

其實ProSecurity的功能非常的強大，使用它不僅可以完全地保護(hù)系統(tǒng)，同時還有助于用戶了解木馬病毒運行的機(jī)制，對系統(tǒng)安全內(nèi)核有更深的了解。如果你希望對系統(tǒng)安全有更深入的了解，不妨好好研究一下這款軟件。