巴黎豆豆 2008-3-22 19:05
“先宽后严”——怎样编写HIPS规则?
——写给编写规则的同志
HIPS的特点就是规则,基础的好,用户自定义规则也好,实际归纳起来还是规则。具体规则如何编制,如何整理,去伪存真,这里就不讨论了,还是升华一下比较好。
HISP规则的编写者,试图达到一种100%或者99%的拦截病毒和流氓软件的效果,可能吗?未免也太脱离了现实和理想化了点。
众所周知,病毒和流氓软件之所以难防,其根本原因还是在于起基础行为特征,和正常软件并无二致。用个比喻的说法,“大家都是生物”。
而HIPS试图凭借简单化的原始级规则,就要严格地区分正常和非正常程序,那无疑是天方夜谭。最终结果是两个:要么必然是把大量繁琐的判断和询问交给了用户——comodo3就是走这条邪路:要么就是规则极度从严,把正常软件的工作给封杀或者导致功能不完善。
就大将军的规则看,
●打开规则编辑器,找到带感叹号的规则,设置[url=http://security.ctocio.com.cn/]安全[/url]软件和优化软件的规则(替换下路径就行了)。
——安全优化软件,路径要找,软件如有子程序就更麻烦
●如果日志中有阻止记录,一般不用管它,除非影响使用或经常出现。
——实际阻止的情况还是比较多,尤其是注册表的变动,明显是繁琐的
●如果有程序运行异常,则:日志——右键——允许该操作,记得首先去掉“添加规则时记录日志”前面的勾。如有必要,请加上通配符。或切换至学习模式运行一遍该程序,必要时重启一次系统(极少),基本没有解决不了的问题。
——未免太麻烦了点
实际效果看,应用规则的调整量远远超出了规则制定者的估计——这本是一种必然,因为HIPS并非是智能化的复杂集成规则,而是机械化的简单堆积规则。
建议:作为EQ等HIPS规则的编制,应该尽量从宽,不应去完成其难以完成的负荷。经过极其严格的验证,才能缓慢收严。这样反而可以推广它。因为EQ等还是有它的两大优势:
第一,资源占用极低
第二,放流氓软件的能力比其他防火墙强
防[url=http://whatis.ctocio.com.cn/searchwhatis/293/5949293.shtml]80[/url]%就行了,不要那么高调!
再配个低资源占用的[url=http://networking.ctocio.com.cn/]网络[/url]防火墙,直接允许所有联网程序通过,就完美结合了。
顺便告诉下大将军,EQ的主页、华军、绿软软件介绍等,也明显自我定位为防火墙,不要盲目去崇拜,自我提升过高。
证据如下:[url=http://www.eqsecure.com/][color=#2f5fa1]http://www.eqsecure.com/[/color][/url]
EQSecure E盾 是系统安全防火墙,可以保护计算机[url=http://whatis.ctocio.com.cn/searchwhatis/250/7333750.shtml]操作系统[/url],拦截危险操作,避免类似病毒和间谍软件的安全威胁.包括[url=http://whatis.ctocio.com.cn/searchwhatis/292/7333792.shtml]进程[/url],注册表以及文件.
背背佳 2008-9-2 14:19
规则设置麻烦在所难免,这是为了保证系统尽可能安全,太严的规则会影响应用,太过宽松又会让病毒木马钻空子,所以只能是看个人需求来了