论文部分内容阅读
为了应对层出不穷的未知木马和病毒,各种杀毒软件2008版,纷纷推出了主动防御功能,作为被动查杀的补充方案。其实主动防御技术早已出现,有一类专门致力于主动防御木马病毒的HIPS软件,在防范未知木马病毒方面非常有效。随着主动防御技术的热炒,HIPS也开始被越来越多的用户关注……
HIPS与ProSecurilty
HIPS是英文“Host-based Intrusion PreventionSystem”的简写,翻译成中文,即是“主机入侵防护系统”。HIPS是一类特殊的软件,它是基于行为检测技术的内核级安全防护软件。HIPS通过对程序加载、跨进程操作、注册表操作、网络访问、直接物理内存读写、安装Windows钩子、安装系统服务/驱动、加载可执行模块(DLL文件)、直接底层磁盘访问等系统行为的拦截保护,从而拒绝恶意程序对系统的破坏、对自身的能力拓展及资料的窃取,实现了对系统的保护和对恶意程序的检测。
国外的各种HIPS软件比较多,但大多是英文界面的,因此易用性不高。而ProSecurity软件提供了中文,是HIPS软件中比较少见的一款,非常适合国内用户。
安装设置
下载并安装“ProSecurity v1.40 Beta 2”成功后,右键点击托盘区的图标,在弹出菜单中选择“OpenProSecurity”命令,打开软件主界面。
界面语言设置:点击左侧边栏中的“Local Host/Settings”选项,在右边选择“Others”选项页,将其中的“Lanagues”改为“简体中文”,确定后即可让软件使用简体中文界面。在设置界面中,还可以设置软件界面皮肤,设置“自动更新”选项等。
设置开启保护功能:ProSecurity提供了全面的系统内核保护功能,可设置需要开启的保护项目。在左侧边栏中点击“程序规则/全局设置”项,右边即可以设置需要进行监控保护的项目,包括监控新进程的产生,监控进程访问内存、网络、安装操作服务、系统钩子等(如图1)。为了全面的保护系统,建议勾选所有的项目。
设置完监控项目后,右键点击托盘区图标,在弹出菜单中选择“正常模式/启用系统保护”项,并勾选其下的所有保护项目(如图2)。
提示:
在开启ProSecurlity的监控模式后,一定要关闭杀毒软件的主动防御功能,否则有可能造成系统不稳定。
拦截系统内核操作
启用ProSecurity的保护后,软件对一切未设置规则的程序的运行都会拦截并弹出询问窗口,由用户选择允许或拒绝。拦截的类型包括:应用程序运行、库文件加载、驱动加载、物理内存访问、物理磁盘访问、远程线程创建、修改其他进程内存、安装全局钩子、安装服务或驱动等多种类型。在ProSecurity弹出拦截窗口时,会禁止其它一切操作以提醒用户,表现形式非常像Windows Vista中的UAC权限控制拦截窗口。
在询问窗口中,最上方显示了拦截类型提示,提示用户拦截了怎样的操作,比如运行新的进程、加载驱动等。在窗口中间是详细的进程信息,执行操作的进程及目标进程信息,在其中还有详细的操作参数信息。在下方是用户可选择的操作类型,如果选择为默认的“在这一次”,则表示仅这一次允许或拒绝,下次进行同样操作依然会询问。点击“在这一次”按钮,在下拉菜单中可选择规则的有效性,比如永远执行选择的操作或在指定的时间内有效(如图3)。
在“允许”或“拒绝”按钮下拉菜单中,可以选择将拦截的进程添加到信任或信任列表中。添加到列表中后,其实是将操作加入了规则文件。
提示
ProSecurity在刚安装运行时,可能会经常弹出询问窗口,这是正常的,随着使用时间增加,将信任的程序都加入规则文件,那么询问就会越来越少,只是在有陌生程序运行时才会询问,这样就能引起用户高度重视,起到防范作用。
分析拦截信息
ProSecurity程序保护默认的询问是非常有好处的,可以在木马病毒等恶意程序运行时提醒我们。但是,如何才能从拦截对话窗口信息中,判断运行究竟是木马病毒还是正常的程序呢?
如果在弹出询问窗口时,我们正在进行某种操作,首先可以查看询问窗口的描述部分,看给出的路径、文件和厂商、属性等信息是否正在操作的程序。例如在上面的图示窗口中,可看到描述信息为“PPS网络电视”,说明这是正常的执行操作,就可以在“允许”下拉菜单中选择“信任此程序”命令。如果不能确定是什么文件,或者没有描述信息,那么可查看命令行部分的信息,结合上面的信息进行判断。如果仍然不能确定,那么就要看拦截操作的类型了。
一般说来,如果是物理内存访问、物理磁盘访问、修改其他进程内存,这类操作通常是杀毒软件或者其它的安全保护工具。通过进程部分信息,可以确定是否为安全工具,如果信息不明,则属于可疑操作。此外,关闭/重启系统、安装全局钩子、安装服务或驱动等操作,一般只在安装程序时会出现,如果平时出现,则可选择拒绝。
如果弹出拦截窗口时并未进行任何操作,那么拦截到的操作就比较可疑了,可结合上面的方法判断。不过要注意的是,许多程序在后台运行时,也会弹出拦截窗口,比如杀毒软件自动升级和定时扫描、系统补丁升级、常用软件升级等,对于这类操作,通常可加入到信任列表。
防范未知木马病毒实例
目前,网络上最易感染木马病毒的一种方式是网页,这里先来看看如何简单的用ProSecurity防范网页木马。
当打开某个木马网页时,网页必须会通过IE调用木马程序,因此在产生木马进程时,会被ProSecurity拦截并弹出窗口。从窗口信息中可以看到IE启动了一个新进程,此进程路径位于IE临时文件夹中(如图4)。一般来说,如果不是通过IE窗口鼠标右键调用迅雷下载或其它网页工具的话,是不会在浏览网页过程中产生新进程的,碰到这种情况,百分之百肯定是木马病毒,选择“拒绝”按钮即可。
上面举了一个简单的例子,下面再来看一个安装过程软件中防范流氓软件的例子。从“华军”网站下载的“Foxit PDF Text Viewer V3.0.1321汉化版”,此软件在安装过程中会安装3721及网络猪等流氓软件。当开启ProSecurity的保护后,在安装过程中,会弹出插件安装拦截窗口,显示拦截到的新进程名称“unpig.exe”,从图标上就可以看出这是网络猪。在3721安装运行时,也会弹出拦截窗口,显示拦截到进程描述为“3721”的程序安装运行,只要在“拒绝”下拉菜单中选择“拒绝并终止”命令,即可防止流氓软件的安装运行。
至于其它木马病毒,在运行时也会被ProSecurity拦截,只要我们有基本的安全知识,就可以有效地识别出木马病毒的隐藏运行。
其他功能
上面只简单的提了一下在正常模式下的拦截保护,ProSecurity还提供了两种运行模式。比如在正常安装软件时,如果使用正常模式的话,会频繁弹出拦截窗口,此时可在托盘区弹出菜单中切换为“安装模式”,使用“安全优先的模式”,自动阻止木马病毒恶意程序的随安装软件进入系统,同时不会弹出过多的拦截窗口。另外,ProSecurity还可以保护指定的注册表、系统文件夹,用户可以手工定义重要的文件夹,防止木马病毒等窃取自己的机密资料等。
其实ProSecurity的功能非常的强大,使用它不仅可以完全地保护系统,同时还有助于用户了解木马病毒运行的机制,对系统安全内核有更深的了解。如果你希望对系统安全有更深入的了解,不妨好好研究一下这款软件。
HIPS与ProSecurilty
HIPS是英文“Host-based Intrusion PreventionSystem”的简写,翻译成中文,即是“主机入侵防护系统”。HIPS是一类特殊的软件,它是基于行为检测技术的内核级安全防护软件。HIPS通过对程序加载、跨进程操作、注册表操作、网络访问、直接物理内存读写、安装Windows钩子、安装系统服务/驱动、加载可执行模块(DLL文件)、直接底层磁盘访问等系统行为的拦截保护,从而拒绝恶意程序对系统的破坏、对自身的能力拓展及资料的窃取,实现了对系统的保护和对恶意程序的检测。
国外的各种HIPS软件比较多,但大多是英文界面的,因此易用性不高。而ProSecurity软件提供了中文,是HIPS软件中比较少见的一款,非常适合国内用户。
安装设置
下载并安装“ProSecurity v1.40 Beta 2”成功后,右键点击托盘区的图标,在弹出菜单中选择“OpenProSecurity”命令,打开软件主界面。
界面语言设置:点击左侧边栏中的“Local Host/Settings”选项,在右边选择“Others”选项页,将其中的“Lanagues”改为“简体中文”,确定后即可让软件使用简体中文界面。在设置界面中,还可以设置软件界面皮肤,设置“自动更新”选项等。
设置开启保护功能:ProSecurity提供了全面的系统内核保护功能,可设置需要开启的保护项目。在左侧边栏中点击“程序规则/全局设置”项,右边即可以设置需要进行监控保护的项目,包括监控新进程的产生,监控进程访问内存、网络、安装操作服务、系统钩子等(如图1)。为了全面的保护系统,建议勾选所有的项目。
设置完监控项目后,右键点击托盘区图标,在弹出菜单中选择“正常模式/启用系统保护”项,并勾选其下的所有保护项目(如图2)。
提示:
在开启ProSecurlity的监控模式后,一定要关闭杀毒软件的主动防御功能,否则有可能造成系统不稳定。
拦截系统内核操作
启用ProSecurity的保护后,软件对一切未设置规则的程序的运行都会拦截并弹出询问窗口,由用户选择允许或拒绝。拦截的类型包括:应用程序运行、库文件加载、驱动加载、物理内存访问、物理磁盘访问、远程线程创建、修改其他进程内存、安装全局钩子、安装服务或驱动等多种类型。在ProSecurity弹出拦截窗口时,会禁止其它一切操作以提醒用户,表现形式非常像Windows Vista中的UAC权限控制拦截窗口。
在询问窗口中,最上方显示了拦截类型提示,提示用户拦截了怎样的操作,比如运行新的进程、加载驱动等。在窗口中间是详细的进程信息,执行操作的进程及目标进程信息,在其中还有详细的操作参数信息。在下方是用户可选择的操作类型,如果选择为默认的“在这一次”,则表示仅这一次允许或拒绝,下次进行同样操作依然会询问。点击“在这一次”按钮,在下拉菜单中可选择规则的有效性,比如永远执行选择的操作或在指定的时间内有效(如图3)。
在“允许”或“拒绝”按钮下拉菜单中,可以选择将拦截的进程添加到信任或信任列表中。添加到列表中后,其实是将操作加入了规则文件。
提示
ProSecurity在刚安装运行时,可能会经常弹出询问窗口,这是正常的,随着使用时间增加,将信任的程序都加入规则文件,那么询问就会越来越少,只是在有陌生程序运行时才会询问,这样就能引起用户高度重视,起到防范作用。
分析拦截信息
ProSecurity程序保护默认的询问是非常有好处的,可以在木马病毒等恶意程序运行时提醒我们。但是,如何才能从拦截对话窗口信息中,判断运行究竟是木马病毒还是正常的程序呢?
如果在弹出询问窗口时,我们正在进行某种操作,首先可以查看询问窗口的描述部分,看给出的路径、文件和厂商、属性等信息是否正在操作的程序。例如在上面的图示窗口中,可看到描述信息为“PPS网络电视”,说明这是正常的执行操作,就可以在“允许”下拉菜单中选择“信任此程序”命令。如果不能确定是什么文件,或者没有描述信息,那么可查看命令行部分的信息,结合上面的信息进行判断。如果仍然不能确定,那么就要看拦截操作的类型了。
一般说来,如果是物理内存访问、物理磁盘访问、修改其他进程内存,这类操作通常是杀毒软件或者其它的安全保护工具。通过进程部分信息,可以确定是否为安全工具,如果信息不明,则属于可疑操作。此外,关闭/重启系统、安装全局钩子、安装服务或驱动等操作,一般只在安装程序时会出现,如果平时出现,则可选择拒绝。
如果弹出拦截窗口时并未进行任何操作,那么拦截到的操作就比较可疑了,可结合上面的方法判断。不过要注意的是,许多程序在后台运行时,也会弹出拦截窗口,比如杀毒软件自动升级和定时扫描、系统补丁升级、常用软件升级等,对于这类操作,通常可加入到信任列表。
防范未知木马病毒实例
目前,网络上最易感染木马病毒的一种方式是网页,这里先来看看如何简单的用ProSecurity防范网页木马。
当打开某个木马网页时,网页必须会通过IE调用木马程序,因此在产生木马进程时,会被ProSecurity拦截并弹出窗口。从窗口信息中可以看到IE启动了一个新进程,此进程路径位于IE临时文件夹中(如图4)。一般来说,如果不是通过IE窗口鼠标右键调用迅雷下载或其它网页工具的话,是不会在浏览网页过程中产生新进程的,碰到这种情况,百分之百肯定是木马病毒,选择“拒绝”按钮即可。
上面举了一个简单的例子,下面再来看一个安装过程软件中防范流氓软件的例子。从“华军”网站下载的“Foxit PDF Text Viewer V3.0.1321汉化版”,此软件在安装过程中会安装3721及网络猪等流氓软件。当开启ProSecurity的保护后,在安装过程中,会弹出插件安装拦截窗口,显示拦截到的新进程名称“unpig.exe”,从图标上就可以看出这是网络猪。在3721安装运行时,也会弹出拦截窗口,显示拦截到进程描述为“3721”的程序安装运行,只要在“拒绝”下拉菜单中选择“拒绝并终止”命令,即可防止流氓软件的安装运行。
至于其它木马病毒,在运行时也会被ProSecurity拦截,只要我们有基本的安全知识,就可以有效地识别出木马病毒的隐藏运行。
其他功能
上面只简单的提了一下在正常模式下的拦截保护,ProSecurity还提供了两种运行模式。比如在正常安装软件时,如果使用正常模式的话,会频繁弹出拦截窗口,此时可在托盘区弹出菜单中切换为“安装模式”,使用“安全优先的模式”,自动阻止木马病毒恶意程序的随安装软件进入系统,同时不会弹出过多的拦截窗口。另外,ProSecurity还可以保护指定的注册表、系统文件夹,用户可以手工定义重要的文件夹,防止木马病毒等窃取自己的机密资料等。
其实ProSecurity的功能非常的强大,使用它不仅可以完全地保护系统,同时还有助于用户了解木马病毒运行的机制,对系统安全内核有更深的了解。如果你希望对系统安全有更深入的了解,不妨好好研究一下这款软件。