HIPS在干什么
一、HIPS在干什么?
HIPS在干什么?为什么不停的有框弹出来?这些提示框都显示了什么信息?相信,刚刚步入HIPS大门的菜鸟首先要面对的就是这样的困惑了!
那么,在了解HIPS以前,让我们先来熟悉几个概念。
第一,什么是HIPS~!版区里面有关于HIPS的概念的详细表述,相信大家也都看到了。不过相对于“主机入侵防御系统”这样的专业称呼,我更喜欢把HIPS称为“行为拦截工具”。试想一下,一个病毒样本,如果杀软的病毒库有对应的特征码,则无论这个样本有没有运行,杀软都会马上报警,然后隔离这个文件;而对于HIPS来说,如果你不运行,则HIPS永远不会有提示。可见,HIPS是拦截了用户在操作计算机过程中程序产生的行为,并提交给用户进行判断的工具。所以,叫它“行为拦截工具”虽然有点局限,却也还算恰当。
第二,对象。学过编程的人应该对这个定义有所了解。现实生活中的“对象”就是人们常说的“东西”。对于系统来说,进程,程序,文件这些都是一个个的“东西”,也就是对象~!
第三,事件。这也是编程中会涉及到的一个概念。对于不熟悉编程的人,其实也不难理解。这跟我们生活中的事情没什么不同,是一种加在对象上的“作用”。比如,用鼠标指针指向某个程序,并且双击,这个双击就是一个事件。
第四,规则。规则与现实中的法律类似,法律是人必须遵守的行为规范,而HIPS的规则则是程序必须遵守的规范。而且一旦设定了,只有可能被绕过,而不可能违反。
清楚了这几个概念,我们就可以来理解HIPS的工作方式了。
既然HIPS可以被叫做“行为拦截工具”,那么任何一个程序试图进行某种操作都相当于产生了一个事件。在这个事件中,有两个对象,一个源对象,一个目标对象,如果没有HIPS,我们当然不会知道这个事件是什么,而HIPS会拦截这个事件,并且提交给用户进行判断。
在这个提示窗口里面,HIPS给出了明确的信息,源对象是explorer.exe,目标对象是FlashFXP.exe,而事件就是:程序explorer.exe试图启动一个未注册(没有匹配规则的)程序(FlashFXP.exe)
(上面这个提示框,在HIPS上手初期最为常见,当用户双击桌面的图标试图运行一个程序的时候,HIPS就会提示explorer.exe试图运行XXX.exe进程。事实上,这就是我们双击的那个操作!)
根据上面的简单分析不难看出,在任何HIPS事件中,源对象都是正在运行的进程,而根据目标对象的不同,HIPS就分为了AD,RD,FD这3D。AD是源对象对Application(程序)或者源对象本身(源对象本身也是Application)产生的行为,FD是源对象对Files(文件)产生的行为,RD是源对象对REG(注册表文件)产生的行为。
HIPS拦截了一个事件,并且进行规则的匹配,如果有规则能够匹配,那么就按照规则进行相应的操作(放行这个事件或者阻止),如果没有对应的规则,则弹出对话框,提交给用户做出判断。这就是HIPS的工作方式了。
网友评论