前言-关于HIPS与组策略
HIPS,即Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
HIPS或许很多人都不熟悉,但是其实现在国产杀软中大肆宣扬炒作的“主动防御”概念都跟HIPS多少有点关系,也就是说目前很多杀软都举报了基本的HIPS的功能,但某些杀软主动防御的实力如何这里就不加以评述了。
其实,我们常见的软件中,也有不少产品真正的具备了比较完整HIPS功能的杀软,非常荣幸的是其中就包括中国的微点(Mirco Point)。另外一家则是McAfee。这一类杀软最大的特点是通过指定详细的规则来防御病毒入侵或者运行,而不是在入侵之后查杀。如果把传统杀软如卡巴,红伞,诺顿,金山等等比做外功刚猛的少林和尚,那么McAfee或者微点就好像是一个以柔克刚的太极高手。
Hips其实听起来很高深,但实际上我们用Windows系统自带的组策略软件就可以实现基本HIPS功能。所谓组策略(Group Policy),顾名思义,就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
组策略编辑器的命令行启动:点击开始菜单-运行-输入gpedit.msc。然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:WINNTSYSTEM32”中,文件名为“gpedit.msc”。)
Tags: 操作系统 · 系统优化 · 系统安全
系统安全系列博文之二
常有人问,什么是最好最安全的杀毒软件,答曰,自己
由于网络上各种陷阱实在是花样繁多,让人防不胜防,因此没有任何一种杀毒软件可以达到完美的防御,包括大名鼎鼎的卡巴,以及国内人气日盛的NOD32,还有俄罗斯军方杀软Dr.web。即使是这些神器级别的杀软,也挡不住菜鸟们一遍又一遍的点击“恭喜您获得中10QB”,“安装雅黑助手,XXXXXX”。因此只有做好自身修炼,才能气定神闲的面对未知的网络。
个人认为,以下10项习惯/素质是一个成熟的“裸奔”者所需要达到的。
1. 深入了解操作系统
必须的素质
你应该了解你系统的很多细节,包括特殊的文件与文件夹应该存在的位置,已经应该具有的属性等等。这样的话当你看见一个出现在windows目录的svchost.exe时,你不会觉得理所应当,当你看见有程序在你的Recycled文件夹里面运行时,你也不会无动于衷。
2. 经常查看系统进程和启动项
谨慎而安全的习惯
经常查看系统进程和启动项可以防止在你渐渐以为系统已经很安全的时候,让小偷悄悄溜进来。当你查看进程时,不妨也看看进程所包括的模块,看看有没有可疑的DLL被挂载在你的Svchost或者是Explorer里面。良好情况下,你应该知道所有的非微软模块的来源,以甄别正常与不正常的模块加载。至于查看模块的工具,请参考系统安全系列博文之一——《“裸奔”者必备的15种工具》
3. 使用“文件夹树”代替双击、右键来打开磁盘分区
无视当前所有U盘病毒的习惯,堵住入侵方式之一
现在的使用autorun.inf来实现自身运行的木马病毒都学乖了,在inf配置里面都加上了资源管理器的指向。这也就是说,网络上谬传已久的“右键-资源管理器”彻底变成了nonsense。正确的方法应该是,点击“文件夹”,在左边弹出的文件夹树,单击打开。多一步的操作,但是当你养成习惯时,你会发现一点也不麻烦,而且你换来的是你的爱机的长治久安。
4. 学会看懂Hijackthis的扫描日志
自己动手丰衣足食
当你立志要“裸奔”时,请做好心理准备,有可能出现的问题是如此之多,以至于上论坛问高手也是一样的低效而且浪费时间。那么,还是自己收拾烂摊子吧。我们需要一个完整的系统检测工具,那么请学会看懂Hijackthis的扫描日志,因为这个可能是你能找到的最全面的系统检测工具之一。
(more…)
Tags: 系统安全
系统安全系列博文之一
网络是天堂,这里有你想要的一切。
同理可证,
网络是地狱,这里有你不想要的一切。
通常情况下,作为一个受人敬仰的裸奔者,在自身技术过硬的情况下,还需要称心应手的工具,才能游刃有余的行走在天堂与地狱的边缘。因为真实情况往往是这样:你不仅要保证自己电脑在裸奔的情况下不受攻击,还要应付朋友亲戚的电脑出现的各种各样的离奇状况,更糟的是,有时还不能不同意别人玩弄你的爱机。
以下就是15件“裸奔”者的极品装备
1. Regedit.exe
注册表编辑器
我把这个大家都知道的东西放在首位正是为了突出这个工具的重要。注册表是系统的核心级的信息数据库,很多工具的功能都是基于注册表来实现的。在这里我们可以做的事情实在是太多了,在此无法一一列举。
2. gpedit.msc
组策略编辑器
这个工具是仅仅在XP的Professional版本中才有的,HOME版不包括此工具。
组策略把对系统的一些更改以更加容易理解记忆的方式提供给用户。对于“裸奔”者,我们可以在这里进行一些系统级的策略限制,限制某些可执行文件的运行。这也可以说是另外一种实现Hips的另类方法。关于用组策略实现简单的Hips,请参考DKMILAN™即将推出的《空手道:用组策略实现简单的Hips》
3. IceSword
冰刃!大名鼎鼎的冰刃!
在安全界IceSword的名气绝对不亚于卡巴,诺顿等杀毒软件。通过冰刃我们可以实现系统的进程,端口,内存模块,启动项,服务,驱动,文件,注册表,Hook,BHO。冰刃属于驱动级别的监视,基本上全部你想看到都能给你展现出来,病毒木马无处可逃。
IceSword最大的问题就是名气过大,导致现在遭到了诺顿一样的“礼遇”,很多病毒木马都会在发作时尝试破坏IceSword。
4. Syscheck
冰刃完美替身-强大而好用的Syscheck
基本可以认为是和IceSword一个重量级的优秀软件。同时由于名气不如IceSword,基本不存在树大招风的问题。而且在进程的内部模块查看上个人认为比IceSword做的更好。
(more…)
Tags: 系统优化 · 系统安全
