杀毒软件的工作方式
很多新手在初次使用EQ类HIPS软件时都会显得难以上手,感觉什么操作都被限制,正常软件也被拦截,提示询问框过多不知道怎么处理等。
其实这些问题的原因还是在于用户对于HIPS软件的工作特性不了解,还在以使用杀毒软件的思路在使用HIPS软件造成的。
在说HIPS之前,我们先来看看杀毒软件的工作方式
杀毒软件都有一个实时监控引擎,不停的扫描系统里被调用的文件,并将文件与病毒库对比。如果对比结果为病毒,那么,杀毒软件就会出现提示框,说明在某某地方发现某某病毒,并有删除、修复、隔离等选项可供操作。如果没有发现病毒,杀毒软件就会安静的在后台运行。
可见,使用杀毒软件,需要用户参与的操作少之又少。基本也就是发现病毒的时候是选择删除、修复还是隔离了。在这样的环境下,用户也就养成了安装杀毒软件后不去设置,不去管理的做法(当然这也是杀毒软件的设置目标之一:尽量减少用户参与的操作)。
下面来说说HIPS
HIPS并不是杀毒软件,虽然也有实时监控的能力,但这个监控并不是把被调用的文件与病毒库做对比,而是监控应用软件乃至操作系统的各种行为。如建立文件、删除文件、运行程序、键盘纪录、结束进程、修改注册表等等。
也就是说HIPS类软件不会告诉你某程序是病毒,而是告诉你某程序执行了某某操作,而这一点应该作何理解?
比如,一个完整的动作,应该有执行对象、被执行对象、执行动作,这3个要素
按照图示来说就是,A→B,这就是一个完整的动作行为,如:A程序(执行对象)运行(执行动作)B程序(被执行对象)。
网友评论