[老帖新发]HIPS（主机未知防御系统）及其常见软件的介绍（图）

竹木刀 · 发表于 2007-3-24 18:02:00

主机未知防御系统(HIPS)软件介绍

HIPS：
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。
我们个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
目前在有些杀软或防火墙中，也含HIPS功能。

下面介绍几个常见的HIPS软件：
System Safety Monitor（SSM）这个够出名吧？
防护规则：RD+AD

System Safety Monitor简称SSM，是专门针对有害程序及间谍程序等的 Windows 防护软件范畴，却并非反病毒软件，它并不提供针对特定有害程序的查找及移除特性，也不提供系统遭有害程序破坏后的恢复特性，而是真正的“防患于未然”！我们平常所用的防火墙如天网，Windows自带的防火墙，它可监控网络流量并选择性地阻止某些程序对网络资源的存取，而 SSM 可调整程序性能并控制它们对本地资源的存取，在这层意义上我们可将 SSM 称为系统防火墙。
它是一款对系统进行全方位监测的防火墙工具，它不同于传统意义上的防火墙，是针对操作系统内部的存取管理，因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖，十分优秀！
更能得可贵的是，这么好的软件，它竟然是免费的，并且支持包括中文在内的多国语言！（从2.0开始分为免费和收费两个版本，基本没有区别）
【功能特性】
  □控制机器上哪些程序是允许执行的，当待运行程序被修改时，会报警提示；
  □针对合法的程序建立规则，不会每次提示；
  □通过CRC32或者MD5等校验所有可执行文件的变动，再也不怕系统文件被非法修改而不知；
  □控制“DLL注入”以及键盘记录机对特定系统函数的调用；
  □控制驱动程序的安装（包括非传统方式的驱动型漏洞－Rootkits）；
  □控制诸如存取"DevicePhysicalMemory"对象这类底层活动；
  □阻止未经认可的代码注入，从而使任何程序都无法插入到合法的程序中以进行有害的活动；
  □控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动，如：您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动；
  □在双模式中任选其一，用户模式或管理员模式：管理员模式可设定首选项并加以密码保护防止被更改，而用户模式不能更改任何设定；
  □监控安装新程序时注册表重要分支键的更改，受保护的注册表分支键被尝试更改时将阻止或报警；□
  管理自启动项目、当前进程等，另外提供了服务保护模块，用以监视已安装的系统服务，当新的服务被□添加时，会报警提示；
  □实时监视"启动菜单"、"启动INI文件分支"，以及IE设定等（包括BHO-所谓的浏览器辅助对象，一般都是广告程序、间谍程序等垃圾）；
  □通过标题黑名单过滤器阻止打开指定的窗口或者网页；
  □支持外挂任一调试器、反病毒软件等，且该软件的扩展功能均采用外挂插件形式实现，因此极易得到丰富的扩充；
  □本身作为服务加载，通过配置、修改可以实现隐秘的进程反杀能力。

Ghost Security Suite（GSS）
防护规则：RD+AD

Ghost Security Suite （以下简称 GSS）是一款功能非常专一的注册表防火墙，它是一个基于内核的注册表保护系统，其占用资源很低；安装以后会保护注册表的自启动项目和其他很多重要的键值，并且可以自定义被保护的项目。由于它仅仅当程序要访问注册表时活动，这就意味着当它保护你的系统时，你的系统资源几乎没有被占用多少，而不像其他保护注册表的程序那样以不间断地读取注册表来探测注册表的变化，而且那些保护程序仍然有可能使恶意程序改动注册表。
出于对注册表保护的研究目的，深山红叶对本程序进行了适当的修改以方便测试，同时进行了汉化地便检测其在双字节系统中的兼容情况——结果表明兼容性最佳非常优秀！本着除恶务尽的原则，深山红叶对注册表保护规则进行了大量的修改和补充，能够防范更多的自动加载入口，同时对国内多数流氓程序有良好的防范效果。
使用注意：
1、众多功能按钮中，最关键的只有“配置”这一个按钮。在此你可以添加、修改、删除、移动规则，也可以决定是否启用某些规则。
2、已经配置好的规则中，多数动作都是默认为“拦截”的，以免使用系统时频繁出现要求确认的对话框。如果你需要安装应用程序，并且这些程序将可能会在有关自动启动的注册表位置进行写入，则请临时关闭 GSS，或者在“配置”界面中临时禁用某些规则分组。
3、强烈建议不要选中规则中的“记录到磁盘”的选项。如果选择生成磁盘日志，则随着注册表访问量的增大，其对内存的耗用也越来越厉害，而这些日志文件并不是我们所必需的。
4、此程序放出时已经为最新版本，如果你希望在线升级，则请先备份主程序，否则本汉化及破解将失效而影响试用。
5、使用本程序是安全的，它仅仅只是防护注册表的读写操作。但汉化者仍然不对因使用、散发本程序而导致的一切后果负任何责任。
拒绝一切制作、推广流氓软件、灰色软件的人使用本汉化特别版！反击网络流氓，痛打流氓的走狗！

DefenseWall HIPS
防护规则：RD+FD+AD

DefenseWall可以保护注册表，自启动区域（包括注册表和文件系统），可执行文件，系统区域（驱动/服务安装/修改，物理内存，全局钩子，信任的进程等），被不信任的进程执行的潜在的危险动作。而且，所有的不信任的进程的产物也被认为是不信任的。

Process Guard（PG）
防护规则：FD

关于DiamondCS 公司，大家可能不熟悉，但如果说 TDS－3（Trojan Defense Suite，听说是世界排名第一的反木马软件）、Process Guard（保护你的进程不被非法结束）、Port Explorer，大家应该知道吧，就是该公司的产品。

该公司的产品几乎都是与安全相关的，这里就推荐这款极其强大的系统防护工具——Process Guard
ProcessGuard是一款系统安全程序，它能够保护Windows进程免受其它进程，服务，驱动程序，以及系统上的其它形式的可执行代码的攻击。ProcessGuard还能够停止未被用户许可的程序运行，停止在后台静静运行的恶意蠕虫和trojans，也包括许多其它攻击，ProcessGuard甚至可以停止击键记录程序和leak...

Process Guard 是工作在底层的安全保护系统，它可以保护你的系统和进程（如杀毒软件、防火墙等）不被其它程序（如病毒、木马等）、服务和其它可执行代码结束。功能异常前大，界面很友好。

以前经常有人碰上KV、天网、木马克星这些没有进程保护的安全软件被异常结束，无法进行扫描；而天网防火墙更是经常可以被木马杀掉。有了 Process Guard 的保护，就再也不用担心这些问题了！就算你用自带墙也可以一样拥有无比强大的防内能力啦。怎么样？高兴吧？

PG可以防止DLL木马注入正常进程，这个功能非常棒！用过国外防火墙的朋友应该经常会有这个苦恼，老是弹出好多的选择题给你选择，可以说烦死人啊。其中最多就是关于DLL的变动的，有几个人可以很熟悉的辨别那个DLL可以允许，那个需要禁止？多数人都会郁闷吧？就算会选择也难免有选择错误的时候。不是吗？PG只需要设置好就可以放心拉！

防止全局钩子也是防止键击记录的，比如某些记录键盘键击记录的木马。。。。。

下载后直接安装，安装后把学习模式改为非学习模式（即把主界面Learning Mode选项前的对勾去掉即可）

注意：在安装新软件和系统升级时先把PG关掉,升级完毕后打开PG并设为学习模式,然后再重新启动,重新启动后再把学习模式关闭即可

Safe'n'Sec Personal（SNS、犀牛）
防护规则：AD+RD+FD

俄罗斯星之盾公司是欧洲著名的软件加密、反黑客、安全发布厂商，该公司靠软件加密起步，曾被誉为正版的曙光，黑客的恶梦。Safe'n'sec是星之盾公司为保护个人电脑被免受未知病毒，计算机窃贼和计算机的脆弱点的侵害而研发的最新解决方案。目前的计算机保护解决方案绝大多数是根据已知病毒代码的比较而设计的，无法在恶意应用软件和动作破坏系统的完整性之前消灭病毒。而Safe'n'sec则建立在行为分析的基础上，有最先进的预先侦查系统，可以防止病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大突破。同时，快速安装，易于操作的界面，和反病毒软件和个人防火墙极好的兼容性，智能的决策技术，最强的保护和对系统运行的最小影响等特点更增加了Safe'n'sec的魅力。
Safe'n'sec＋antivirus个人版内置了BD杀毒引擎，在为系统提供全面有效防护同时还提供了一定的杀毒能力。
总结：该软件可以作为杀软、防火墙的有力补充，完全可以取代SSM、PG。
注意：同SSM有冲突，CPU飙升至100％，装了咖啡企业版的朋友如果使用该软件，最好不选Fiel System Activity.

Winpooch
防护规则：FD+RD

Winpooch是运行于Windows上的一个看门狗程序。它能够检测到特洛伊，间谍软件的安装，并通知用户。你可以为反间谍软件，反特洛伊，防火墙，防病毒（需要ClamWin的安装）设置自己的安全级别。

缺省配置下，Winpooch不会监控Windows的服务，但是，通过修改Use debug privilege能够启动该功能。
缺省规则下，允许其它程序修改敏感文件和注册表信息之前，Winpooch会询问用户。缺省规则非常多，你可以删除一些或者改变规则的缺省动作。
可以创建自己的过滤器，Winpooch具有强大的自定义功能。
EQSecure for System
防护规则： AD+FD+RD

系统安全防火墙,可以保护计算机操作系统,拦截危险操作,避免类似病毒和间谍软件的安全威胁.包括进程,注册表以及文件.
EQSecure for System 支持下列操作的拦截:
．运行程序
．加载库文件
．安装服务或者驱动程序
．物理磁盘操作
．加载驱动程序
．操作物理内存
．创建远程线程
．修改其它进程的内存
．安装全局钩子
．修改HOST文件
．修改IE浏览器设置
．结束或者挂起进程,线程
．检测隐藏进程
．注册表的修改和删除
．文件的创建,打开,修改,删除

Tiny Firewall
防护规则：AD+RD+FD

是由Tinysoftware （官方网站：http://www.tinysoftware.com）出品的超强软件；它的作用已远远不止防火墙那么简单；任何程序的运行都需要经过它的许可；是一个全面，却又简单易用的网络防黑软件，可以管理本机与网络的数据交换，通过设置不同的安全规则，阻挡任何未经认证的用户进入你的计算机，可以防止特洛依木马、间谍软件、网络蠕虫通过计算机窃取发送数据，支持md5签名认证，这样可以防止trojan使用计算机认可的应用程序来闯入计算机，还可以和不同的vpn技术如cisco、alcatel、nortel整合一起。该版本包括使用者管理，ids/ips 规则，trackn reverse engine 和简单的满足过滤。

Tiny Software 公司是一家面向中小型网络路由器和防火墙软件的开发商。Tiny Personal Firewall目的是为了妨止非法使用时的不安全性，保障计算机的安全。这一版本是基于通过ICSA认证的 WinRoute Pro安全保障技术，是WinRoute 的子集，只具备防火墙功能。该项技术已经获得成功。 Tiny Personal Firewall可以设置为手工启动，或者设置为一个服务器。其中包括一个桌面管理工具，可用于对本地或远程计算机上的安全引擎进行详细配置。用户的安全设置有高、中、低三级，通过它的包过滤特性（packet-filtering），每一级设置还可进行不同的配置，以满足特殊的需求。高级用户可以建立基于断口，应用，协议和目标的规则，每当遇到新的情况，立即提示，包括拒绝，接受或者建立处理未来动作的规则。其它的特性包括 MD5 签名支持，密码保护，日志功能和高可配置的报告功能，记录特殊的侵入动作。 Tiny Personal Firewall是一个全面，却又简单易用的网络防黑软件。他可以管理你的计算机与国际网络的数据交换，会阻挡任何未经认证的用户进入你的电脑。

1、windowsxp sp2自带的防火墙就是Tiny公司给OEM的；
2、Tiny Personal Firewall 是美国空军选用的防火墙，安装50万台电脑；
3、Tiny Personal Firewall 是微软公司推荐的防火墙之一，兼容性很好；
4、Tiny Personal Firewall 可防止一切进程注入式木马的穿透；
5、Tiny Personal Firewall 与kerio有血缘关系。

Safe System（SS）（图片暂缺）
防护规则：FD
图片暂缺
强大的系统保护软件，与其它类似软件不同的是，该软件提供了对系统重要文件的分级保护，即按文件的重要程度分别备份到不同的目录下，还特别对用户系统文件提供了双重保护，并能生成一个备份报告文件，用户可以通过查看这个报告了解有哪些文件被保护和备份，这对于文件恢复十分重要。还提供了WIN9x崩溃之后的安全恢复功能，同时还可以大大减少WIN9x中经常出现的"非法操作"之类的错误。另外软件操作相当简单，只需点几下按钮即可完成处理。

ProSecurity
防护规则：FD+RD

ProcessGuardPortExplorer（简称PG）的操作最简单，可以直接拦截程序钩子和Rootkit，更适合普通用户使用。目前的3.X版已经很稳定强大了，他也拥有同时AD功能。

GreenBorder Pro

GreenBorder Pro由美国加州一家公司开发的安全类工具软件,它采用反病毒厂商一直在使用的虚拟技术.在当前操作系统中搭建一个虚拟环境,所有恶意代码都可随意运行,但它们"接触不到真正的操作系统",当退出虚拟环境时,此前所有操作,设置都将化为乌有,看起来与VMware等虚拟软件相似?只不过,GreenBorder Pro占用系统资源更少,更易于上手

　　电脑犯罪分子通常利用社会工程学技术诱惑用户自己下载恶意软件。即使安装了该工具，IE用户仍然能够安装、运行来自Web 的软件━━前提条件是该软件不受虚拟环境的约束。GreenBorder Pro 还无法对付传统的钓鱼式攻击。
　　安全厂商Cybertrust公司的高级研究人员库珀说，GreenBorder Pro 无法保护大多数的攻击。绝大多数的恶意代码感染都是由用户下载、安装软件造成的。
　　在GreenBorder Pro 运行时，IE周围会显示一个绿色方框，PC速度会略有下降。GreenBorder Pro 可能面临微软的竞争，新版IE也将具有类似的功能。

Virtual Sandbox (详细资料暂缺)
计算机锁定软件。可以通过简单的步骤来锁定计算机，加密重要文件。可以看作是防止恶意和意外操作导致计算机灾难的小型解决方案。

Sandboxie

Sandboxie 允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹，也可用来还原收藏夹、主页、注册表等。即使在沙盘进程中下载的文件，也会随着沙盘的清空而删除。此软件在系统托盘中运行，如果想启动一个沙盘进程，请通过托盘图标（而不要用原方式）启动浏览器或相应程序。
Sandboxie是一个以预防为主的软件，其神奇之处在于，它能在系统和程序之间创建一个隔离层，当用户运行程序时，可以自动将程序调入该隔层中，此后，程序对系统所做的修改，都会被限制在这个隔离层中，而不会真正地去触及系统，所以，不管是病毒、木马、流氓软件还是IE恶意攻击和修改都无力对系统造成伤害，真正做到防患于未然。

winpatrol

WinPaTrol是一款Windows系统看门狗软件。能发现入侵计算机的蠕虫、广告、黑客、cookies、木马等恶意或色情程序，恢复你对计算机的完全控制，而且无须经常更新。它可以帮你更好地掌握计算机上正运行的程序，当有未获允许的程序出现时会发出告警，它的Scotty组件可以让你确认新安装的程序。

最后加上国人最骄傲的微点
东方微点主动防御系统（MP）
其实关于微点算不算HIPS还是存在争论的，先看一段简介：
hips不是行为分析　它是“行为拦截”。　比如ssm它是针对有害程序及间谍程序等的 Windows 防护软件重点是监控报警　频繁的询问需要用户纯手工选择并让用户自己来做出真确的判断

微点主动防御软件通过建立动态仿真反病毒专家系统，依据程序行为自主分析判断技术实时监控系统进程，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

如果非把HIPS软件定义为“主动防御”　那也是基于个人的主动防御。HIPS可以拦截或控制软件行为　但都需要使用者某种程度的输入；因此使用者也必须具备相当之能力。如果去下载安装一个软件，你自己该如何判断：这是正常程序还是恶意程序？　SSM能不能杀毒　一旦选择错误后果严重。

微点主动防御的行为分析监控是一套复杂的逻辑判断程序，不只是单一的动作的监控，所以不会每个动作都提示用户操作，只有在发现病毒行为时才会提示用户操作并及时作相应处理；现在杀毒软件判断病毒是靠工程师通过很多工具分析和判断，然后再确认，而微点软件对于这种人为判断病毒的方法变成了程序，所以说微点能够自动准确判断新病毒。安装了微点的机器相当于拥有了一套工程师判断病毒的系统。

hips行为拦截工具和微点主动防御不属于同一类型的产品。不管是病毒还是正常程序　hips软件都会拦截单一动作并询问使用者，让用户自己做出判断：放行此行为or阻止此行为

微点正常程序不询问；对于程序有病毒的行为　微点才会拦截并做相应的处理。

个人认为微点是一个3D的防护软件，它提供文件、应用程序和注册表的三重监控，行为分析优于SSM之类软件的地方就在于它的智能化，不会任何软件都报，而且有一点很重要，它有杀毒功能，以上HIPS软件只能组织病毒运行，不能杀毒，当他们出现判断错误或者使用者判断失误的时候就可能造成比较严重的后果，而微点对于病毒有监控和行为分析，对于已知病毒它直接干掉，未知病毒判断其行为后会提示是否阻止和清除，我认为这点非常重要，就算不运行，谁也不希望留个病毒在电脑上，以上是个人观点和经验，各个软件都有自己的长处，大家可以根据自己的需要选择。

最后做一点小小的总结，以上很多软件都是3D，但是其防护能力有待考验，就像犀牛和SSM，尽管SSM缺少FD，但是其RD和AD明显优于犀牛，而这两项对于一般用户是足够了的，主动防御还有一个缺点就是开始会什么都报，如果你习惯了点允许，那么你很可能放过一个病毒，而那个时候想挽回已经来不及了，所以为了你的系统安全还是不要放弃杀毒软件。还有就是尽管这些软件都称作防火墙，但是它与传统意义上的防火墙不一样，最多叫做系统防火墙，很多没有网络防护功能，就算有也做的不专业，TINY已经是做的不错的了，微点的网络防护在评测中也是比较出色，所以还是建议不要轻易放弃专业的防火墙。

由于这些软件版本比较混乱，网上的破解可能造成各种问题，原版使用又有限制，所以暂不提供下载地址，敬请谅解。

[此贴子已经被作者于2007-3-24 18:04:21编辑过]