Sunday, April 15, 2007
体验HIPS第二步曲之初级应用篇
2007年01月31日 星期三 01:49 A.M.
注:
1.本文评论不代表官方大众观点,完全是个人测试学习笔记,欢迎拍砖!
2.文中大部份软件下载地址只是为了自己学习方便引用,下载前请杀毒,一切有其它原因引起的问题,与本人无关!
作者:woodenfish (http://wu5yi1.blog.163.com))
日期:2007/01/26深夜 (转载请保留此申明)
前言:HIPS优秀的软件真在太多了,本人爱不释手,于是一边学习一边和大家分享我的心得体会,本文是我的学习笔记! 高手省略。。。欢迎大家拍砖,希望成为新手入门HIPS的另一个不错的学习教程.
一、 2006年度十大流行Hips软件大总结
(一)Tiny Firewall (网络防火墙),http://www.tinysoftware.com
功能:AD+RD+FD+网络防火墙,
优点:
1.AD+RD+FD齐全,自定义设置全面,并有一定的网络防火墙的功能,并有组管理的概念。对系统运行速度制约较小.
2.不拖系统,与SSM兼容性很好,是我用过的所有hips软件中兼容性和稳定性,及在功能上最好的.
缺点:
1.规则设置十分复杂,缺乏磁盘底层保护.
2.Tiny Personal Firewall v6.5.126 TINY的最终纪念版拉,官方不更新了,可惜还没有完整汉化.
国内下载地址:
1.Tiny Firewall 2005 v6.5.126
下载:http://www.crsky.com/soft/160.html
2.Tiny Personal Firewall v6.5.126
下载:http://www.crsky.com/soft/9024.html
(二)Safe'n'Sec (简称SNS或犀牛),http://www.safensoft.com/
功能:AD+FD+RD+反病毒,
优点:
1. 和反病毒软件和个人防火墙极好的兼容性,完全可以取代SSM、PG。绅博汉化了.
2. 具有全部3D配置。系统栏里小犀牛头图标会对危险等级显示警告。
缺点:
1.3D配置及其功能经纬不分明:FD功能在设置和AD+RD的规则混在一起,几百规则鱼龙混杂,分类不清,不易识别;
2.3D配置经纬不全面:FD自定义设置里只有”Creat"、“open”和“Delet”(即“创建”、“打开”和“删除“),而全面的设置应该是”Creat“、”Write"、 “Read”和“Delet";
3.所有预设规则都不能改动;缺乏应有的磁盘底层保护;
4.装后电脑启动速度受到制约,特别是装带反病毒的版本,启动速度更慢;
5.同SSM有冲突,CPU飙升至100%,装了咖啡企业版的朋友如果使用该软件,最好不选File System Activity.
下载地址:
带反病毒的下载地址
http://www.star-force.com/computer_security/download.php?url=safensecav_en_2.0.exe
无带反病毒的下载地址:
http://www.star-force.com/computer_security/download.php?url=safensec_en_2.0.exe
汉化包:绅博论坛有提供,为了安全大家最好去官方下载附件比较好点.
(三).System Safe Monitor (简称SSM), http://syssafety.com/
功能::AD+RD
优点:
1.AD+RD的防护十分全面。官方提供附带中文版本,商业版国内有破解.
2.测试了多款木马、键盘记录机等对自己的机器进行攻防实训,均被其成功截获,底层防御能力相当令人满意.
3.
•可控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;
•可控制“DLL注入”以及键盘记录机对特定系统函数的调用;
•可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);
•可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动;
•可阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
•可控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;
•可在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更改,而用户模式不能更改任何设定;
•可监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;
•可管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服务被添加时,会报警提示;
•可(实时)监视"启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般都是广告程序、间谍程序等LJ) ;
•可通过标题黑名单过滤器阻止打开指定的窗口或者网页;
•支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得到丰富的扩充;
•本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
缺点:
1.没有FD功能,没有危险等级提示.
2.System Safety Monitor是一款偏向高端的安全软件,提示框弹出过于频繁,只能完全凭使用者的经验判断.
国内下载地址:
System Safety Monitor v2.3.0.610
http://www.crsky.com/soft/5908.html
(四).SafeSystem 2006(简称ss),http://www.gemiscorp.com/
功能:FD
优点:
1. SS的规则自定义比较方便、而且很直观。
2.国内有汉化,破解掉了15天的试用,但还是试用版,只是无时间限制。(试用版和正式版唯一的区别仅在于设置管理员密码而已)
注:SafeSystem 2006的汉化包,直接解压到原安装目录覆盖原文件即可,必须在刚装完SafeSystem但没启动时才能覆盖,否则无法覆盖.
缺点:
1.SS的拦截机制“斩立即”,绝对不能在拦截时,修改提示你的询问操作。
2.运行不稳定,蓝屏、死机频频出现。
国内下载地址:
SafeSystem 2006 V2.0 汉化版
http://www.hanzify.org/?Go=Show::List&ID=11064
(五)Ghost Security Suite(简称GSS),http://www.ghostsecurity.com
功能:AD+RD
优点:
1.资源占用低且灵敏, 和SSM一样拥有AD和RD,兼容在HIPS软件中也是比较好的
2.对恶意软件的防范能力较强大
缺点:
1.没有FD,GSS拦截程序时有延迟,造成一种占内存假死的现象.
国内下载地址:
Ghost Security Suite v2.001 汉化版
http://www.crsky.com/soft/6883.html
(六)ProcessGuard(简称PG), http://www.diamondcs.com.au
功能:AD+RD
优点:
1.操作最简单,可以直接拦截程序钩子和Rootkit.
2.能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。
缺点:
1.与同类SSM,GSS软件相比,有人说PG防不住,可能功能上还有待加强吧!
国内下载地址:
ProcessGuard v3.410 汉化版
http://www.crsky.com/soft/7951.html
(七)Winpooch(简称看家狗),http://sourceforge.net/projects/winpooch
功能:FD+RD+AD
一条忠实的“看家狗”, 使用api hook技术,可以对几乎所有的可疑操作进行监控、报告或阻止 总结:不仅免费,而且开源
优点:
1.开源免费,任何人可以从其官方网站下载代码,自己编译,有中文语言选择 ,KI0aA * 。
2.winpooch的ad基本上是没有的.主要是FD,RD功能极强(需要自己设置)
3.占资源相当小,可以创建自己的过滤器,Winpooch具有强大的自定义功能。
缺点:
1.兼容性,稳定性一般, 运行不稳定.
2.听说winpooch有个bug,就是不支持中文路径.
3.调整规则工作量大,没有分类设置,对人的技术水平要求极高.
国内下载地址:
Winpooch Watchdog V0.6.4
http://green.crsky.com/soft/4370.html
(八)Parador File Protection PE,http://www.e-securion.com/
功能:FD
优点:
1.是一款优秀的文件监控软件,可以监视系统中各个软件对磁盘的读写。
缺点:
1.仅有FD,可以阻止程序创建文件,不能阻止程序修改已创建的文件, 制约系统运行速度
国内下载地址:
Parador File Protection PE +汉化外挂文件+注册破解
http://soft.mumayi.net/downinfo/3729.html
(九)EQSecure for System, http://www.eqsecure.com
功能: AD+FD+RD, 一款国产HIPS软件.
优点:
1.是国产免费系统防火墙. 目前包括应用程序控制、注册表控制和文件控制三个方面。
2.应用程序控制包括应用程序的执行、库文件加载、驱动程序加载、物理内存访问、物理磁盘访问、服务
安装等12个方面的控制, 可见控制非常细致;
3.注册表控制包括对注册表项及值的修改(新建)、删除的控制;
4.文件控制包括对文件及文件夹的创建、打开、修改、删除的控制,控制非常全面。
5.资源占用低.
缺点:
1.有朋友测试用格硬盘的病毒不能拦截.
2.规则稍多就太拖系统了.
国内下载地址:
EQSpyWatch 2006 V3.1
http://www.eqspywatch.com/download/EQSpyWatchSetup.exe
(十)ProSecurity,http://www.proactive-hips.com/
功能:AD+RD,作者是华人
优点:
1.占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。不亚于GSS,SSM的HIPS.
2.稳定也不错,对于AD控制采用了先进的SHA效验技术
3.提供了免费版本,比专业版本少了底层磁盘控制、程序钩子监视、物理内存保护和防盗取密码等功能.
4.功能界面组合的很好,比较容易上手。目前只有英语和中文简体两种语言.国内有破解版本了!
缺点:
1.兼容性一般,与卡吧不能共存,蓝屏,不知新版本作者有没有修复这个问题了.(与mcafee8.5i兼容性没问题)
下载地址:
ProSecurity 1.26破解版
破解补丁下载: http://www.crkcn.com/uploads/200701/18_144418_ruleeditor.rar
替换文件的方法如下:
使用UNLOCKER选择安装后的RuleEditor.exe文件,选择移动,将它移动到其他任意位置.
在用UNLOCKER选择破解文件,同样选择移动.移动到安装目录里面就可以了.
注意过程中要选择解锁.
原版下载: http://www.crkcn.com/uploads/200701/18_151742_pssetup.rar
1.本文评论不代表官方大众观点,完全是个人测试学习笔记,欢迎拍砖!
2.文中大部份软件下载地址只是为了自己学习方便引用,下载前请杀毒,一切有其它原因引起的问题,与本人无关!
作者:woodenfish (http://wu5yi1.blog.163.com))
日期:2007/01/26深夜 (转载请保留此申明)
前言:HIPS优秀的软件真在太多了,本人爱不释手,于是一边学习一边和大家分享我的心得体会,本文是我的学习笔记! 高手省略。。。欢迎大家拍砖,希望成为新手入门HIPS的另一个不错的学习教程.
一、 2006年度十大流行Hips软件大总结
(一)Tiny Firewall (网络防火墙),http://www.tinysoftware.com
功能:AD+RD+FD+网络防火墙,
优点:
1.AD+RD+FD齐全,自定义设置全面,并有一定的网络防火墙的功能,并有组管理的概念。对系统运行速度制约较小.
2.不拖系统,与SSM兼容性很好,是我用过的所有hips软件中兼容性和稳定性,及在功能上最好的.
缺点:
1.规则设置十分复杂,缺乏磁盘底层保护.
2.Tiny Personal Firewall v6.5.126 TINY的最终纪念版拉,官方不更新了,可惜还没有完整汉化.
国内下载地址:
1.Tiny Firewall 2005 v6.5.126
下载:http://www.crsky.com/soft/160.html
2.Tiny Personal Firewall v6.5.126
下载:http://www.crsky.com/soft/9024.html
(二)Safe'n'Sec (简称SNS或犀牛),http://www.safensoft.com/
功能:AD+FD+RD+反病毒,
优点:
1. 和反病毒软件和个人防火墙极好的兼容性,完全可以取代SSM、PG。绅博汉化了.
2. 具有全部3D配置。系统栏里小犀牛头图标会对危险等级显示警告。
缺点:
1.3D配置及其功能经纬不分明:FD功能在设置和AD+RD的规则混在一起,几百规则鱼龙混杂,分类不清,不易识别;
2.3D配置经纬不全面:FD自定义设置里只有”Creat"、“open”和“Delet”(即“创建”、“打开”和“删除“),而全面的设置应该是”Creat“、”Write"、 “Read”和“Delet";
3.所有预设规则都不能改动;缺乏应有的磁盘底层保护;
4.装后电脑启动速度受到制约,特别是装带反病毒的版本,启动速度更慢;
5.同SSM有冲突,CPU飙升至100%,装了咖啡企业版的朋友如果使用该软件,最好不选File System Activity.
下载地址:
带反病毒的下载地址
http://www.star-force.com/computer_security/download.php?url=safensecav_en_2.0.exe
无带反病毒的下载地址:
http://www.star-force.com/computer_security/download.php?url=safensec_en_2.0.exe
汉化包:绅博论坛有提供,为了安全大家最好去官方下载附件比较好点.
(三).System Safe Monitor (简称SSM), http://syssafety.com/
功能::AD+RD
优点:
1.AD+RD的防护十分全面。官方提供附带中文版本,商业版国内有破解.
2.测试了多款木马、键盘记录机等对自己的机器进行攻防实训,均被其成功截获,底层防御能力相当令人满意.
3.
•可控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示;
•可控制“DLL注入”以及键盘记录机对特定系统函数的调用;
•可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits);
•可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动;
•可阻止未经认可的代码注入,从而使任何程序都无法插入到合法的程序中以进行有害的活动;
•可控制哪些程序允许启动其它程序、哪些程序不允许被其它程序启动,如:您可以控制您的浏览器不被除Explorer.EXE以外的任何非可信程序启动;
•可在双模式中任选其一,用户模式或管理员模式:管理员模式可设定首选项并加以密码保护防止被更改,而用户模式不能更改任何设定;
•可监控安装新程序时注册表重要分支键的更改,受保护的注册表分支键被尝试更改时将阻止或报警;
•可管理自启动项目、当前进程等,另外提供了服务保护模块,用以监视已安装的系统服务,当新的服务被添加时,会报警提示;
•可(实时)监视"启动菜单"、"启动INI文件分支",以及IE设定等(包括BHO-所谓的浏览器辅助对象,一般都是广告程序、间谍程序等LJ) ;
•可通过标题黑名单过滤器阻止打开指定的窗口或者网页;
•支持外挂任一调试器、反病毒软件等,且该软件的扩展功能均采用外挂插件形式实现,因此极易得到丰富的扩充;
•本身作为服务加载,通过配置、修改可以实现隐秘的进程反杀能力。
缺点:
1.没有FD功能,没有危险等级提示.
2.System Safety Monitor是一款偏向高端的安全软件,提示框弹出过于频繁,只能完全凭使用者的经验判断.
国内下载地址:
System Safety Monitor v2.3.0.610
http://www.crsky.com/soft/5908.html
(四).SafeSystem 2006(简称ss),http://www.gemiscorp.com/
功能:FD
优点:
1. SS的规则自定义比较方便、而且很直观。
2.国内有汉化,破解掉了15天的试用,但还是试用版,只是无时间限制。(试用版和正式版唯一的区别仅在于设置管理员密码而已)
注:SafeSystem 2006的汉化包,直接解压到原安装目录覆盖原文件即可,必须在刚装完SafeSystem但没启动时才能覆盖,否则无法覆盖.
缺点:
1.SS的拦截机制“斩立即”,绝对不能在拦截时,修改提示你的询问操作。
2.运行不稳定,蓝屏、死机频频出现。
国内下载地址:
SafeSystem 2006 V2.0 汉化版
http://www.hanzify.org/?Go=Show::List&ID=11064
(五)Ghost Security Suite(简称GSS),http://www.ghostsecurity.com
功能:AD+RD
优点:
1.资源占用低且灵敏, 和SSM一样拥有AD和RD,兼容在HIPS软件中也是比较好的
2.对恶意软件的防范能力较强大
缺点:
1.没有FD,GSS拦截程序时有延迟,造成一种占内存假死的现象.
国内下载地址:
Ghost Security Suite v2.001 汉化版
http://www.crsky.com/soft/6883.html
(六)ProcessGuard(简称PG), http://www.diamondcs.com.au
功能:AD+RD
优点:
1.操作最简单,可以直接拦截程序钩子和Rootkit.
2.能够保护Windows进程免受其它进程,服务,驱动程序,以及系统上的其它形式的可执行代码的攻击。
缺点:
1.与同类SSM,GSS软件相比,有人说PG防不住,可能功能上还有待加强吧!
国内下载地址:
ProcessGuard v3.410 汉化版
http://www.crsky.com/soft/7951.html
(七)Winpooch(简称看家狗),http://sourceforge.net/projects/winpooch
功能:FD+RD+AD
一条忠实的“看家狗”, 使用api hook技术,可以对几乎所有的可疑操作进行监控、报告或阻止 总结:不仅免费,而且开源
优点:
1.开源免费,任何人可以从其官方网站下载代码,自己编译,有中文语言选择 ,KI0aA * 。
2.winpooch的ad基本上是没有的.主要是FD,RD功能极强(需要自己设置)
3.占资源相当小,可以创建自己的过滤器,Winpooch具有强大的自定义功能。
缺点:
1.兼容性,稳定性一般, 运行不稳定.
2.听说winpooch有个bug,就是不支持中文路径.
3.调整规则工作量大,没有分类设置,对人的技术水平要求极高.
国内下载地址:
Winpooch Watchdog V0.6.4
http://green.crsky.com/soft/4370.html
(八)Parador File Protection PE,http://www.e-securion.com/
功能:FD
优点:
1.是一款优秀的文件监控软件,可以监视系统中各个软件对磁盘的读写。
缺点:
1.仅有FD,可以阻止程序创建文件,不能阻止程序修改已创建的文件, 制约系统运行速度
国内下载地址:
Parador File Protection PE +汉化外挂文件+注册破解
http://soft.mumayi.net/downinfo/3729.html
(九)EQSecure for System, http://www.eqsecure.com
功能: AD+FD+RD, 一款国产HIPS软件.
优点:
1.是国产免费系统防火墙. 目前包括应用程序控制、注册表控制和文件控制三个方面。
2.应用程序控制包括应用程序的执行、库文件加载、驱动程序加载、物理内存访问、物理磁盘访问、服务
安装等12个方面的控制, 可见控制非常细致;
3.注册表控制包括对注册表项及值的修改(新建)、删除的控制;
4.文件控制包括对文件及文件夹的创建、打开、修改、删除的控制,控制非常全面。
5.资源占用低.
缺点:
1.有朋友测试用格硬盘的病毒不能拦截.
2.规则稍多就太拖系统了.
国内下载地址:
EQSpyWatch 2006 V3.1
http://www.eqspywatch.com/download/EQSpyWatchSetup.exe
(十)ProSecurity,http://www.proactive-hips.com/
功能:AD+RD,作者是华人
优点:
1.占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。不亚于GSS,SSM的HIPS.
2.稳定也不错,对于AD控制采用了先进的SHA效验技术
3.提供了免费版本,比专业版本少了底层磁盘控制、程序钩子监视、物理内存保护和防盗取密码等功能.
4.功能界面组合的很好,比较容易上手。目前只有英语和中文简体两种语言.国内有破解版本了!
缺点:
1.兼容性一般,与卡吧不能共存,蓝屏,不知新版本作者有没有修复这个问题了.(与mcafee8.5i兼容性没问题)
下载地址:
ProSecurity 1.26破解版
破解补丁下载: http://www.crkcn.com/uploads/200701/18_144418_ruleeditor.rar
替换文件的方法如下:
使用UNLOCKER选择安装后的RuleEditor.exe文件,选择移动,将它移动到其他任意位置.
在用UNLOCKER选择破解文件,同样选择移动.移动到安装目录里面就可以了.
注意过程中要选择解锁.
原版下载: http://www.crkcn.com/uploads/200701/18_151742_pssetup.rar
Labels: security software
