浅而显的理解下HIPS
如果您经常关注安全方面的应用,我想应该对以下的情况不算陌生。N年前杀软商开始炒启发式,静态启发式、高级启发式。。。。。炒到最后的结果却依然是:该是谁的启发技术好就等同谁的实际效果好。这句话略显拗口,但我想说的是:在技术日益发展的现在,当你听到宣传说某个技术多好多NB的时候,往往就是其逐渐商业化乃至已经不再能称为先进的时代了,这一点,前辈们早有综述,判断产品最终的标准在于他能不能让你在现在而不是过去更安全,其他的很多噱头都是虚的。
主动防御其实也是一样,所谓的主动防御更是一样。记得当年曾有分关于“所谓的高启发”之说,便是有些带壳入库,有些根据IAT判断,非说自己是强虚拟机查API,是高级启发式,是神乎其神的技术,可是最终的效果说明了一切。实际上,这正是我们这个市场顾客过度商业化导致的企业过度商业化的结果,假如顾客不理性,那么企业自然乐得其成了,但往往很多原因出在我们顾客身上,但是下贱的手法,确是厂商自创。
关于主防,关于HIPS,最近的说法很多,无非是杀软的利益集团假口质疑,而一边则不置可否或者说是不屑一顾。看得我们急啊,到底哪个适合(注意是适合,而不是更好)我呢?然而这种状况不会持续多久,很快我们就会发现,原来振振有词大骂主动防御的,会摇身一变,满城尽是行为分析,尽是主动防御。这一趋势其实早已开始萌动,不少软件商在公布下一代产品的时候开始试探:“我们将加入HIPS元素”,只不过,受到了公司自身的技术限制——他们暂时确实拿不出一个像样的传统主动防御组件,或拿不出一个普及化的智能的方案,尤其是杀软厂商,那是他们没太接触过的领域。
第一部分:浅而显的理解下HIPS
主动防御中最有生气的HIPS,从理念产生至今其实并不年轻,早在win9X时期,就有一些与微软关系密切的厂商提出这一理念。为什么要和微软关系密切呢,我妄自揣测,这正是由于主机入侵防御要涉及内核技术、开发难度大,而在当时,貌似微软还没有公布那么多关于自身系统的东西。即使在今日,开发HIPS的难度较之杀软,普遍意义上也更有要求,当然,把两者做好都不容易,甚至HIPS的后期维护和更新压力也十分KB,通常产品测试期都要beta1、beta2.。。。beta3,RE.。即使B了那么多下,有时的结果也很难让普通用户满意。
网友评论