hips（主机入侵防御体系）入门必读（4）

劳资ぶ龍哥

若要卸载规则包，删除C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol   这个文件
再开始——运行——gpupdate /force，（/前有一个空格）
刷新一下策略即可。

11月8日，更新说明

去掉了对双扩展名限制的规则，各位在使用电脑时，养成一个好的习惯，设置显示扩展名，则不会被双扩展名欺骗。最近正在流行一个叫 *.xls.exe的病毒，请注意预防。需要限制双扩展名的请自行添加规则。
增加了几条规则，对一些目录的子目录进行了限制，更为严密了。
修改了几条规则，取消了对一些子目录的限制，转而限制父目录。

修正一个原理上的错误：
**\*.*（或者*?\*.*）   只能表示某个目录子目录中的可执行文件，而不包含子目录的子目录，若要进行多层级目录的限制，使用 **\**   即可，但这种语法也不包括父目录
例如： C:\**\**   即表示C盘中的所有可执行文件，但不包括C盘根目录
         C:\**\*.* 则表示C盘子目录下的可执行文件，也不包括C盘根目录
         C:\*.*   表示C盘根目录下所有可执行文件

此次更新的规则，仅对回收站和系统备份文件夹使用了 **\**   这样的通配符，其他均没有使用。**\**   过于严厉，慎用，确有需要的，请自行修改规则。

11月6日，一个说明

由于*.???.bat   *.???.exe   这两条规则的限制
致使DIY 1.6.exe无法运行，虽然表面看DIY 1.6.exe的命名并没有触犯上述两条规则，但DIY 1.6.exe是一个加壳打包的程序，运行时可能释放了其他exe及bat文件，并触犯上述规则。
解决方法很简单：
例如我的 DIY 1.6.exe所在路径为 D:\Program Files\雨林木风工具箱\优化设置\DIY_Y1.6.exe
那么我设置一条规则
D:\Program Files\雨林木风工具箱\优化设置\DIY_Y1.6.exe   不受限的
就OK了
这个原理利用了规则的优先级，绝对路径优先级高于通配符路径

考虑到易用性的问题，我还是将规则做了一些更新，以避免不能运行DIY1.6，更新内容如下：（附件有新的规则包）
删除   *.???.bat   *.???.exe   等5条规则，增加22条双扩展名限制，虽然规则条数增多，实际上没有原来的5条严密，只是为了通用和易用。有一定基础的可以参照我上面几段说的去修改，菜鸟就直接导入我的新规则吧
*.avi.*
*.bmp.*
*.doc.*
*.chm.*
*.hlp.*
*.gif.*
*.jpg.*
*.mp?.*
*.mpeg.*
*.png.*
*.rar.*
*.reg.*
*.rm.*
*.rmvb.*
*.swf.*
*.scr.*
*.torrent.*
*.txt.*
*.in?.*
*.wm?.*
*.xls.*
*.zip.*
网S3是一款4D齐全的主动防御个人安全产品。

　　(1)网络防护（Network Defense，简称ND）：基于miniport的Windows的状态检测包过滤防火墙；基于TDI的应用访问网络控制防火墙；基于MAC的链路层ARP防火墙；Anti-DDOS防火墙。
　　(2)应用防护(Application Defense，简称AD)：在Windows上增加系统自主访问控制和基于规则的强制访问控制；应用作为主体的权限控制；应用作为客体的完整性保护。
　　(3)文件防护(File Defense，简称FD)：文件作为客体的完整性保护。
　　(4)注册表防护(Registry Defense，简称RD)：注册表作为客体的完整性保护。

中网S3还是一块款大的4M系统监控工具。

　　(1)自动启动监控(Autoruns Monitor，简称AM)，监控对象包括：登录时运行的程序，资源管理器插件，IE浏览器插件，系统服务，驱动程序，计划任务，打印机监控，Winsock Providers ，LSA Providers ，Winlogon Notify，App Inits ，Known Dlls 等。
　　(2)运行进程实时监控(Process Monitor，简称PM)。
　　(3)网络状态实时监控(Netstat Monitor，简称NM)。
　　(4)日志实时审计监控(Log Monitor，简称LM)。


中网S3主机安全系统，可以解决网络攻击、网络入侵、僵尸网络、社会工程攻击、蠕虫病毒、间谍木马软件等系列安全问题。

如果你需要:
　　一款功能强大的Windows防火墙(FIREWALL)，
　　一款Windows主机入侵检测(HIDS)和防御系统(HIPS)，
　　一款Windows主机完整性保护软件(Integrity Protection)，
　　一款Windows蠕虫病毒免疫系统(Anti-WORM)，
　　一款积极防御的Windows的防间谍软件(Anti-SPYWARE)等，

中网S3主机安全系统可能是你合适的选择。
点击下载中网S3（2008）
HIPS软件不同于传统杀软

它是以拦截程序的API动作（不管程序是否正常），并交由使用者进行处理的一种软件。

在使用HIPS之前，你准备好了吗？


使用任何软件之前都应该对该软件进行足够的了解 你也不想出现当正常的程序给HIPS阻止后措手无策的情况吧   先学好基础理论，然后理论与实践齐头并进，我想，这才是最好的学习方式吧

下面的问题不求给出答案，只是给大家提供一个思路  

前面的问题都很简单，可以当成选择使用HIPS前的思考   后面的问题就涉及到软件使用、规则编制等实际的应用问题   再后面有一些就涉及到部分系统基础了……







1、HIPS软件有很多，每一款都有自己的特点，你选好了适合自己的一款了吗？

2、你知道你所选择的HIPS软件的官方支持论坛地址吗？

3、你理解的HIPS软件是怎么样起到防护作用的？

4、现在市面上也有很多宣传使用了HIPS（或者主动防御）功能的软件，你能区别真伪吗？

5、你是否相信某软件广告宣传里的强大防御功能（也许该软件只是具有运行程序提示的功能）？

6、你知道AD、RD、FD分别代表甚么意思吗？

7、你知道HIPS软件的工作原理吗？

8、你知道为什么使用HIPS会弹出很多询问框吗？

9、你知道为什么你的或者某程序的一些操作会被HIPS拦截或者阻止吗？

10、你知道对于一款HIPS软件来说最重要的是甚么吗？

11、你知道如果你在HIPS弹出的询问框上选择"允许"之后会发生甚么事情吗？

12、你知道就连系统自带的正常程序有时也会被HIPS软件阻止吗？

13、如果某程序的某动作被HIPS软件阻止以后，你知道该怎么办吗？

14、你知道你所选择的HIPS软件的规则作用流程吗？

15、你知道你所选择的HIPS软件对于通配符使用的定义吗？

16、你知道你所选择的HIPS软件都有哪些功能吗？

17、如果某软件的某个操作被阻止了，你知道是哪一个防护模块起到的作用吗，是AD?RD?还是FD?

18、你知道使用HIPS的一些常用术语的意思吗？比如API HOOK

19、你知道为什么HIPS软件能够防御病毒、木马的入侵吗？

20、你知道HIPS软件是通过什么原理或者思路来阻止病毒、木马进入电脑的吗？

21、你知道HIPS软件是通过甚么原理或者思路来阻止进入电脑里的病毒、木马运行吗？

22、你知道如何对你使用的HIPS软件编制规则吗？

23、你知道编制好的规则应该怎样搭配组合吗？

24、你知道如何对某软件编制规则吗？

25、你知道一个全局的规则会导致甚么后果吗？

26、如果某软件的操作被一个全局规则阻止，你知道如何为该软件添加合适的例外规则吗？

27、如果你从网络上下载一个程序被阻止了，你知道应该是那个防护模块的那个规则起作用的吗？

28、你知道一个正常软件在运行的时候通常会不会往%windir%目录创建.exe或者.sys文件吗？

29、你知道一个中毒的U盘里的病毒运行需要甚么条件吗？你知道怎么阻止U盘里的病毒运行吗？

30、你知道在盘符跟目录一般会不会有可执行程序（.exe）文件出现吗？

31、你知道那些文件对于系统的正常运行起到至关重要的作用？

32、你知道通过网络入侵的病毒（如网马）是如何进入系统的吗？你知道这些病毒是通过甚么方法激活的吗？你知道应该怎样阻止吗？

33、你知道一个正常程序和一个已经被病毒感染的程序，在运行时有甚么不一样吗？

34、你知道某一类程序在安装时大概会有甚么动作吗？哪一类程序安装时会向系统写入甚么文件？哪一类程序安装时会添加服务和驱动？哪一类程序安装时会向外连接并发送数据？

35、你知道何如利用选择的HIPS软件规则执行顺序来编制前后联贯、互为补充的规则吗？

36、你知道哪一类的规则对防御建立病毒文件起到作用吗？你知道哪一类规则对防御运行病毒文件起到作用吗？你知道这些防御病毒的规则会对正常程序的运行有多大的干扰吗？

37、如果你在使用过程中遇到了难题，你知道如何将你遇到的困难清晰明了的表述给其他网友吗？

38、你知道HIPS软件也会被病毒突破吗？

39、你知道使用者的安全意识是对电脑最好的防御吗？

40、你对上面提到的问题都能知道应该怎么思考吗？
更新....