三种技术的不同理念
理念不同:
hips是通过对所有进程的可能有害行为的提示达到保护的目的的。
沙盘是通过隔离沙盘内进程与沙盘外进程,从而保证沙盘外进程及其它数据安全来达到防护目的的。
而影子则是重启后系统还原达到安全目的的。
首先假设这三种软件在防护上都不存在漏洞,并且不存在发送隐私数据的危险。那么这三种软件分别单独使用的安全程度是相同的,当然前提是使用者要会用。不要以为hips监控全局就安全,沙盘监视部分就不安全,因为沙盘的理念就是在干净系统上只要把住安全之门就可以了。可能的威胁与其它正常程序已被隔离,正常程序还有监控的必要吗?大家用hips+沙盘,主要原因不外乎:1.变态的安全心理2.不会正确使用沙盘3.怕沙盘有漏。第三种情况实际和我们同时使用两个hips或更多想法一样,都是基于各个hips在监控上各有所长或各有漏洞的考虑。
实际沙盘确有一点漏洞,即对沙盘内的进程不提供保护。这样沙盘内的病毒可能破坏沙盘内的进程,当然破坏了进程,不等于破坏程序,倒沙后程序照样复原。但沙盘内进程的密码极可能被沙盘内的恶意程序盗窃。不过这一点违背我的假设前提。这一点影子也是一样。所以如果说从防刺探考虑,沙盘和影子都要加个hips。
但实际三者最终的安全效果,很大部分与操作者有关。而对于操作者的依赖,hips为甚。如果操作不当,再强的hips也没有用。沙盘次之,影子最下。所以考虑人的因素,安全性最高的当属影子。注:沙盘的不当操作主要指一股脑地把很多程序都扔进沙盘。要不沙盘易用性略等于影子了。
另外也与操作者是否信任有关。影子与操作者是否信任一个程序无关,而沙盘全在乎信任与不信任,hips虽然表面上看来全部提示,但实际也取决于操作者是否信任。沙盘和hips信任错了,就可能无法挽回,比如加载驱动。但影子不受此限。
网友评论