浅谈NOD32与HIPS.docx
《浅谈NOD32与HIPS.docx》由会员分享,可在线阅读,更多相关《浅谈NOD32与HIPS.docx(7页珍藏版)》请在冰豆网上搜索。
浅谈NOD32与HIPS
浅谈NOD32与HIPS、防火墙的搭配
首先要说明,如果你是玩组策略或裸奔的高手的话,那你可以直接无视这篇文章了。
如果你是不是用KIS之类已经是4D的安全套装的话,那么至少应该配备1个AV、1个HIPS、1个防火墙。
如果你还用一些辅杀的(例如Dr.Web的CureIT和AVG7.5之类的)那就更好了。
EAV不完美。
EAV对Rookit技术不敏感,而且对国内的木马反应比较慢,而且检出率也不是很高。
另外,千万别用默认设置,不然有你受的。
故,要配备一些安防小软件。
建议使用360安全卫士(或超级兔子、优化大师、Windows清理助手)(杀流氓、补漏洞)、彩影ARP(如果你处在局域网的话)、SpywareDoctor(杀木马)。
但是要说明的是,360、超级巡警、卡卡之类的仅仅是安全工具,所谓的防护也只是监视很少一部分注册表而已,不要以为这些号称有“主动防御”功能的东西是HIPS。
这些东西你用起来感觉不错,但其实并不然。
别以为你能玩转360就是电脑安全高手,但实际上还差得远呢!
真正的安全高手是用组策略的!
很多人被枪手们意淫出来的东西灌输多了,就认为一个AV再加个360就无敌而又百毒不侵了。
只用一个360或其他的东西远远不够!
让枪手们去见鬼吧!
HIPS,要玩就玩真的!
像EQ、TF就是很正宗、很强悍的HIPS。
关于HIPS,HostIntrusionPreventSystem,主机入侵防御系统,通俗来说就是系统的防火墙。
和传统的网络防火墙不同,他是防止恶意的程序在你的系统里发生作用。
很多新手不明白HIPS有啥用,在此SUPERODD被老手批都要讲一下,HIPS非常重要,假设你的系统是一座城市,那么杀毒软件就是城内的公安,网络防火墙就是外围的边防武警。
而HIPS就是隐藏在高处监视城市,防止混水摸鱼进来的坏人作恶的狙击手。
很多新手说HIPS老是弹出对话框,烦,其实,这是你的狙击手在请示你是否击毙。
当然,狙击手只是一名小兵,他的判断能力不如你这个城市的市长强,所以才请示你,当然,你也需要一双金睛火眼,不然一不小心打死了个便衣警察或税务局的什么的就惨了...很多人嫌它麻烦,而且问一些看起来很高深的东西,所以很多新手干脆不用。
这是很危险的。
你嫌烦就用EQ+“安静得可怕”规则包吧。
其实平心而论,EAV真的已经很优秀了。
能够有效应对各种强悍的蠕虫、和大部分的木马以及部分恶意软件(特指3721之类的)。
但是貌似他对Rookit隐藏技术不甚敏感,这是致命伤之一。
不知为何,EAV的Web保护也有问题,是关于解压缩文件的,(具体偶不说了,问bdrdc版主去)这个也可能导致病毒的成功入侵。
在挂马网页猖狂的今天,没有很好的Web防护体系是一个很大的问题。
但是HIPS却能够起到一定的弥补,因为即使病毒成功进入了你的计算机,它也必须运行,一运行,就会暴露行踪,被HIPS发现。
现在的HIPS大多都不够智能化,还是需要用户具备比较强的知识。
当前智能化做得稍微好一些的是ThreatFire,现在已经有中文版了。
这也是SUPERODD在多种搭配中多次提到他的原因。
现在能够反HIPS的病毒还不多,(SUPERODD前些日子发现一些能够在关机前几十秒内毙掉EQ的木马,骇人啊!
)因此HIPS还是能比较有效地遏制病毒。
关于组策略,其实这个东西是最好的HIPS,而且是系统自带的,并且不占资源。
很多新手看到组策略里密密麻麻的一堆字就头昏脑胀了,(其实SUPERODD对组策略也没懂多少,嘻嘻)但是如果你认真去学习,去研究,其实,这个组策略是很优秀的。
它还甚至可以起到一些防火墙的作用呢!
还需要说明的就是NOD32的生存能力太弱,不能像喀吧那样可以直接安装到带毒的机子上,也不能象诺顿一般进程被结束后5分钟不到就“春风吹又生”。
两下子被病毒结束掉egui.exe和ekrn.exe两个进程然后基本上就等于扁掉NOD32了,接着再来个映象劫持什么的,然后另一台电脑前的黑客小朋友就笑了...(说实话,NOD32的egui.exe进程甚至可以用任务管理器直接结束掉,Orz)
大家还提到的恶意软件也是NOD32的一个死敌。
有时恶意软件也能杀AV不眨眼的。
而且而已软件大多很凶悍,NOD32又如此脆弱,Eset该向尤金大哥的卡巴斯基学习啊!
能杀病毒、木马不能杀恶意软件算啥啊?
国内诸如鸭壶助手、3721之类的流氓头两下子就进来了~如果你用IE7就还好一些,什么,你用IE6?
ORZ
因此,没有HIPS只用NOD32也是很危险的。
如果你认为单用一个AV也行,这就是大错特错了。
如果你与病毒的斗争经验够强的话你甚至可以只用扫描工具+HIPS+墙就行了,扫不出来的可以手工杀。
只有AV是远远不够的。
别以为没人会去对你的机子进行网络攻击,如果是这样,那些黑客天天都在喝三鹿啊?
那么多的端口扫描工具干嘛的?
找IP又为了啥?
玩?
只用HIPS+墙,可以;只用AV,不可以。
因为AV只能对本机病毒发生作用,而不能对网络攻击发生作用。
那么多肉鸡怎么来的?
很多人都是不用防火墙,然后自己的机子被入侵了还不知道,自己还沾沾自喜——“嘿,我的机子真快。
终究有一天,会有黑客找上门来的。
这里指的是网络防火墙。
只有EAV不足以抵挡来自网络的攻击。
这里SUPERODD要喊出偶们的国骂:
TMD!
中国的互联网这个鬼地方,像DNS、ARP、DDoS之类的网络攻击层出不穷,系统里没有一个防火墙是很危险的事。
且不说DDoS这么凶猛的攻击,要是没有防火墙,一个ARP欺骗就足够了。
在千禧年来临时,SUPERODD还是一个电脑盲。
当时只听说过病毒这邪门的东西很厉害,能让电脑坏掉(后来才知道这是CIH)。
可是,偶当时却不知道有一样东西和病毒一样可怕,那就是网络攻击。
当年第一个因为DDoS攻击而崩溃的就是雅虎,然后是亚马逊等知名网站......当时雅虎仅仅遭受50台计算机组成的“僵尸网络”的DDoS攻击就挂了。
今时今日,再想用几十台机子对某个知名网站发动DDoS攻击已经不可能了,可是对普通的家庭、办公用户来说却绰绰有余。
通常是找一些肉鸡,用ARP欺骗之类的方法入侵,远程植入木马,然后组成僵尸网络发动DDoS攻击。
中国是“肉鸡”大国,是世界上受“僵尸网络”影响最严重的国家。
而且很恐怖的是,在你看着这篇文章时,可能你的机子已经成了肉鸡,正在向某个“僵尸网络”集结,准备发动网络攻击。
中国内地960万(如果偶没记错的话)的肉鸡就是这样来的!
听到这里你可能已经对各种网络攻击毛骨悚然了。
“哇塞,会不会有人对我发动DDoS攻击啊?
”可能多数人会这么问,但答案是否定的。
虽然DDoS攻击威力巨大,一般防火墙难以防御(像冰盾之类的专业墙可以抗住DDoS),但是对一台机子发动DDoS不划算,万一只是网吧或一些手机营业厅只用来下载MP3的呢?
所以黑客不会这么蠢,对一台个人计算机发动DDoS攻击。
DNS攻击现在已经不怎么难防御了,而溢出攻击又难度太大,所以黑客们一般选择ARP攻击。
ARP欺骗是个很老的话题了,自从有了TCP/IP协议的那一刻起它就存在了。
曾起何时,ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已!
而现在利用ARP攻击方式盗取密码的事情数见不鲜!
由于ARP攻击导致频繁掉线的事情频频出现,让人很恼火。
国内已经有很多专门防ARP的墙,如360ARP、彩影、金山ARP之类的,但是要有效才好。
别听说XX墙很厉害,你就去用,其实还是那句——适合自己的才是最好的!
还有很多网友提到的良好的上网习惯也很重要。
其实这仅仅是一些看起来不起眼的身边小事。
比如说不上黄色站、不追看八卦新闻、不点一些看起来很有噱头的网页、上完网清理缓存、删除历史文件和Cookies等等。
这些都能让你受益匪浅。
别以为光有良好的上网习惯就好了,其实,AV+HIPS+墙+良好上网习惯才是最好的。
重点旨在HIPS和上网习惯。
习惯不好,再无敌也终有中招的一天(但不是说习惯好HIPS和墙就没用了)。
AV实际上是最次要的。
病毒哪里来?
网络。
抵御病毒最关键的就是HIPS和良好的上网习惯,至于应对网络攻击的防火墙又是另外一回事了(网络病毒入侵≠网络攻击)。
不要以为自己的AV或360不报毒就是安全,自己感觉好就是安全。
其实如果你换个别的AV或辅杀的查一下可能就又揪出一堆病毒来。
所以像Dr.Web的CureIT和卡巴斯基的AVPTools之类强劲的扫描工具就必不可少了。
危机感是必须的,但是不是让你患上AV强迫症。
经常注意升级病毒库,并偶尔做一次全盘扫描,这都是很有益的。
当遇到HIPS、防火墙或NOD32不能运行时时不要慌着重装系统,先看看他们的目录下是否有ws2_32.dll这个文件,有的话一定要用粉碎机碎掉。
这个东西会阻止他们运行。
再不行就下载Autoruns来看看是否被映像劫持了,注意用之前一定要将它的主程序改名(譬如改成Aut0runs.exe)。
如果这两招都不行的话就看看进程列表里是否有NOD32、HIPS、防火墙的进程,如果没有,那么就可能是病毒在不停地结束他们的进程。
这时你会非常地卡。
你不妨可以试一下
有人说NOD32或一些智能HIPS会报QQ工具栏之类的是危险程序,其实,他们并没有报错。
这些ActiveX插件、IM都不是安全的程序(譬如0day漏洞),他们可能成为黑客入侵的一扇门。
不要慌慌张张地喊“错杀”,排除不了再说也不晚。
新人切勿凭自己的主观意识去判断进程好坏,这是很危险的。
正常的程序一般会有图标,(譬如QQ会有企鹅的图标)而大部分病毒程序却是没有图标的,只有很少一部分“钓鱼型”病毒(骗你点击)会含有一些引诱性的图标。
新手要注意HIPS拦截的程序的程序名,大部分智能HIPS(规则类HIPS就什么都拦,新手不建议用)都能分辨出并放行系统进程(如svchost.exe、system、SystemIdleProcess等),当他们拦截到类似“rundl132.exe”的程序时就要当心了。
新手往往容易以为“system.exe”这类的伪装者是正常的系统进程(系统的system进程是没有“.exe”后缀的),所以请睁大你的眼睛。
关于2.7版的NOD32,SUPERODD觉得如果不是电脑古董到连512M内存都没有(要是你的电脑连256M内存都没有的话请问你怎么上来卡饭的?
),应该尽量用3.0的。
2.7也有2.7的好,譬如说资源占用小、引擎成熟、扫描高效等。
但是相比起3.0,2.7还是有它的缺陷所在,譬如对国内的木马还是不太感冒。
2007年熊猫烧香袭来时,2.5版的NOD32还是扛住了,但是面对2008的“毒王”磁碟机和“老二”机器狗,2.7还是没有3.0来的高效。
偶还发现NOD32可以和一些特定的杀毒软件共存。
譬如装了EAV再装avast的话avast的监控会被废掉,变成纯绿色的扫描杀毒软件。
佐罗昨天半夜冒了个险,在EAV+嗑毛豆3的情况下尝试装小红伞(以前试过小红伞+嗑毛豆3),一切搞的心惊胆颤,但还是成功了。
唯一的遗憾就是偶的机子太差了,至今未完成任何一次扫描...囧
虽然不是说杀毒软件装得越多越好,但是多出的杀毒软件可以作为你防御的第二把手,并肩作战。
如果机子没有1G内存以上建议不要玩这样的“杀毒软件的SLI*”。
*注:
SLI的全称是ScalableLinkInterface(可升级连接界面),它是通过一种特殊的接口连接方式,在一块支持双PCIExpressX16插槽(注意这里只是插槽而不一定都具有16条PCIExpressLanes)的主板上,同时使用两块同型号的PCIExpress显卡,以增强系统图形处理能力。
搭配有3个原则:
1.适用性
这世界上没有绝对的安全组合。
如果是例如一些企业的财务部之类安全性要求高的电脑,但是却单用EAV,那无疑自取灭亡。
但又如果是一些配置相当古董的机子却要用EAV+OP+TF,那也是自作孽。
要选择适合自己的,如果不满意,还可以多换着用试试。
反正精睿里的资源一大堆,又是免费的,不用白不用。
可是不要只是换着玩,一天重装几次系统,那可是在慢性地杀害你的硬盘。
2.兼容性
例如KAV8.0和ZA7.0就会有严重的冲突,甚至可能导致蓝屏。
当发现兼容性不行时,应立即卸载。
假若兼容性问题太严重(像蓝屏、无法进系统之类),如果有Ghost就Ghost,或者用WINPE来卸掉不兼容的,实在不行就BIOS引导光盘重装系统。
千万不要用ESS等有防火墙的安全套装再另外搭配防火墙或安全套装!
例如ESS和OP或ZA搭配就会有严重的冲突。
切记!
3.安全性
假如只用EAV的话,碰上局域网的ARP很容易就挂掉了。
假如只用ESS的话一个免杀就可以把它毙掉了。
所以,我们不能只追求流畅和兼容性,还要注意安全性(用X星的网友们注意了哈)。
偶们需要的,是在安全、兼容与流畅间取得一个平衡。
好了,废话不多说,往下看吧!
1.ESS单独。
(适合电脑盲,电脑配置差)
至少也能挡住多数病毒。
虽然迟早得中毒身亡,但有比没好。
关于ESS的弊端可以看这里。
用ESS的同志一定要勤看顶置和高亮的帖,多学习组策略。
2.ESS+SSM。
(适合有点安全知识,电脑配置差)
引用某高人的话说,ESS的墙很差,但不是很弱。
ESS貌似没有应用程序防护和注册表防护的,所以要拉上SSM小朋友。
正好也补上了SSM小朋友文件防护的不足。
3.EAV+嗑毛豆3.0(适合安全知识较强,英语好,电脑配置一般)
免费的嗑毛豆3.0内置了HIPS,还是很强悍的。
加上EAV如此优秀的杀毒软件比较安全。
当然,如果你不是看到进程之类的东西就头晕的话。
嗑毛豆无论从哪一方面都是不容置疑的。
4.EAV+PCTools(Look'nStop)+EQSecure或ThreatFire(适合有一定安全知识,电脑配置一般)
EQ乃国内一相当出色的HIPS,相当厉害。
免费的PCTools墙很好,很优秀。
LNS内核相当强劲,但是它是免费的且很易用,尽管不能跟嗑毛豆、ZoneAlarm和OutPost平起平坐。
PCTools和EQ更是一对完美的搭档。
5.EAV+OutPost或ZoneAlarm+ThreatFire(或EQ)(适合安全高手,电脑配置好)
不用说了,都是相当杰出的产品。
注意!
WindowsXPSP3下千万别同时用ThreatFire和OutPost,会造成键盘和鼠标无法使用!
6.EAV+微点(适合有一定安全知识,电脑配置一般)
相辅相成,EAV弥补了微点不能扫描的缺点,微点弥补了EAV没有墙和主动防御能力不足的缺点。
这个组合就算你不是高手也能较轻松地玩转。
7.EAV+风云+ThreatFire(适合安全知识较强,电脑配置一般)
风云墙乃国内崛起的新星,搭配TF不错。
8.ESS+EQSecure+安静得可怕规则包(适合电脑盲,电脑配置较差)
这个估计是最省心的了,新手用这个,摆脱HIPS的“对话框综合症”吧。
9.EAV+EQSecure(或ThreatFire)+嗑毛豆2.4(适合安全知识较强,电脑配置一般)
嗑毛豆2.4是中文版的,英语不行的网友不用发愁了,她和3.0也一样强大,只是没有HIPS而已。
所以要用EQ或TF。
无论是EQ还是TF都是相当出类拔萃而又强悍的HIPS。
10.EAV+Sandboxie沙盘+嗑毛豆2.4(适合安全知识较强,电脑配置一般)
不知道沙盘是什么东西的网友赶紧到HIPS资源整合索引这里恶补吧。
嗑毛豆2.4免费且高效,是网络防护的不二选择。
11.EAV+沙盘+OutPost(适合有安全知识较强,电脑配置一般)
OP是一款强而有力的防火墙,Matousec成绩相当优异,很强悍,很专业,加上沙盘,拒毒于门外。
12.EAV+ThreatFire或EQSecure+PCTools(适合有一定安全知识,电脑配置一般)
同样出自PCTools的TF和PCTools防火墙都是HIPS和防火墙领域的佼佼者。
EAV的监控相比2.7有利一定的进步。
13.NOD322.7+Sandboxie沙盘+PCTools(适合安全知识较强,电脑配置较差)
2.7版的NOD32还是老当益壮的,用沙盘来对付网络的各种威胁,2.7作扫描,PCTools防火墙,不失为一种不错的选择。
14.NOD322.7+嗑毛豆3(适合安全知识较强,电脑配置较差)
用这个组合需要很强的知识,因为2.7的防御体系有一定的缺陷,导致防御重任落在嗑毛豆3的Defense+上了。
Defense+成熟,稳定。
15.NOD322.7+ThreatFire或EQSecure+PCTools(适合有安全知识较强,电脑配置很差)
智能化程度较高的TF,可以比较有效地弥补2.7版NOD32的缺陷,LNS内核的PCTools和同出名门的TF可是一对“黄金搭档”。
16.NOD322.7+Returnil+PCTools(适合安全知识较强,古董电脑)
Returnil的作用与影子系统相似,用粉碎机把PCT、NOD32和系统文件等统统“杀清光”,重启后又恢复正常。
此组合在一定程度上损伤硬盘(因为Returnil和影子系统之类的还原软件会让硬盘重复读取一个扇区,导致该扇区寿命变短)。
17.NOD322.7+微点(适合有一定安全知识,电脑配置较差)
微点其实就是类似嗑毛豆3之类的HIPS+防火墙安全套装。
微点没有扫描功能,这是个遗憾。
NOD322.7的正好补上。
18.NOD322.7+SSM+嗑毛豆2.4(适合安全知识较强,电脑配置较差)
2.7版的NOD32和3.0版一样都没有注册表防护以及完善的应用程序防护,而SSM正好弥补了。
相对于很多HIPS,来自俄罗斯的SSM在资源占用方面还是做得不错的。
嗑毛豆2.4也完全可以承担防护网络攻击的重任。
19.ESS+ThreatFire或EQSecure(适合有一定的安全知识,电脑配置一般)
TF和EQ是当代智能HIPS中最杰出的代表。
无论如何,TF和EQ都当之无愧。
与ESS搭配时需要注意排除。
另外ESS的墙需要根据自身状况好好设置一番。
20.ESS+Sandboxie沙盘(适合有一定的安全知识,电脑配置较差)
沙盘是另类的HIPS,是主动御敌于门外。
ESS只承担杀毒和防网络攻击而已。
21.单用EAV或NOD322.7
很危险。
除非你是玩组策略、沙盘、冰刃之类的高手。
不是所有的人都会玩这些东西的,很多新手听到说“我也单用EAV,感觉不错”之类的屁话就傻乎乎地单用EAV了,然后自己的机子成了毒窝还浑然不知!
本文中所要用到的资源以及相关知识:
精睿ESS&EAV【中文商业特别版+纯净版-官方升级】
防火墙知识、资源、帮助及教程汇总索引
HIPS资源整合索引
PCTools的产品下载
魔法盾EQSecure网站
东方微点网站
病毒加壳技术与脱壳技术
Windows映像劫持技术(IFEO)介绍以及常用解决方案
精睿HIPS安全防护套餐第一期
术语表:
EAV=EsetNOD32Antivirus(3.0)
ESS=EsetSmartSecurity(3.0)
嗑毛豆=COMODO
EQ=EQSecure
SSM=SystemSafetyMonitor
PCT=PCToolsFirewall
TF=ThreatFire
OP=OutPost
ZA=ZoneAlarm
与NOD32相兼容的杀毒软件列表(不定期更新):
PCToolsAntivirus
AviraAntivirFreeAntivirus
avast!
HomeEdition
Dr.WebCureIt
AVGAntispyware7.5
升级会员 