入门:了解魔法盾和HIPS主动防御
PCHome:好多网友可能对HIPS不熟悉,能给我们简单的讲讲HIPS的原理吗?
流氓兔:HIPS翻译过来就是主机入侵防御系统。一般操作系统中会提供大量的API(应用程序接口)供第三发开发使用,当然病毒木马也会使用API进行一些有危害的操作。
HIPS软件就是对这些可能会被病毒木马利用的API进行监视,然后根据规则或者用户的选项来确定是允许还是阻止。一般HIPS从功能上大致上可以分为四个:应用程序保护,注册表保护,文件保护以及网络保护等。
图2-魔法盾运行后自动开始三大保护功能
PCHome:和常见的杀软、防火墙相比,有什么区别和优势?
流氓兔:常见的杀软大部分都是基于特征码扫描。所谓特征码就是收集到病毒样本之后,由专业人员对样本进行分析,提取出该样本的唯一识别码。所以特征码存在滞后的问题。
而HIPS不存在这样的问题,一个病毒不管二进制如何变形,但操作都大同小异(调用的API)。和防火墙比区别也不大,现在大部分防火墙软件和HIPS软件功能差不多,只是侧重面不一样。
另外对于主动防御这个概念现在还没有明确的定义,如果只是从行为拦截这点来讲,现在有智能行为分析,手动HIPS,沙盘等。
PCHome:当初是怎么想到要开发魔法盾这一HIPS软件的?
流氓兔:其实魔法盾的原型是一款防恶意软件安装的防火墙,名叫EQSpyWatch,几年前恶意软件相当流行,虽然清理软件多,但治标不治本,清理后又会悄悄的安装。EQSpyWatch在这种情况下诞生了,当时有注册表以及文件拦截,通过内置恶意软件名单来达到拦截安装的目的。
后来恶意软件开始变形,通过内置名单的方式已经不能满足需要,只能从恶意软件的动作入手,也就是进程保护。EQSpyWatch最后一个版本就具有简单的进程保护功能,随着进程保护功能的不断增加。EQSpyWatch已经不仅仅用于拦截恶意软件,而是延伸到整个系统的保护,也就是HIPS。同时也为EQSpyWatch取了一个新名称:EQSecure,中文名也就是现在的魔法盾(原来的EQSpyWatch基本上已经停止开发)。
图3-当年EQSpyWatch主界面
网友评论