用不用EQ，看了这篇文章，我疑惑了，大家进来批批好吗？

下面为引用，该文被网友发在eq官网上，我在那里无法回贴。所以转过来。希望大家讨论一下，该文说的对不对，我是新手，说实话，看了该文，对用不用EQ产生了疑惑。



HIPS，英文“Host Intrusion Prevent System”的缩写，国内通常翻译为“基于主机的入侵防御系统”，翻译很拗口，其实HIPS通俗来说就是程序动作(API)拦截器，作用就是对程序运行中调用的危险API进行拦截，经用户自行判断确认后手工选择阻止或是放行。HIPS的防护一般分为三个防护体系：AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

　　正是因为HIPS对程序调用危险的API非常敏感，所以使用HIPS软件阻止程序调用危险API，可以起到一定程度的安全防护作用。关于行为控制在熊猫烧香肆虐时期的突出表现，就不用多说了，一战成名。

　　既然HIPS有这么多的优点，为什么只能在少数高端玩家手里把玩，而没有向全社会普及推广呢？很多朋友一谈到HIPS的缺点就归结到易用性上，其实呢，易用性只是表象。所谓HIPS配置复杂度较高，对用户要求较高，弹框数量较高的三高问题，核心在于HIPS的监控理念是有缺陷的。前面也提到，HIPS监控的对象是危险API，所以通过阻止危险API调用就可以保护系统安全。这个HIPS的核心理念，乍一听是很有道理的，但是如果深入推敲，则发现其核心思想是存在着严重逻辑混乱的。

　　Win32 API是微软公司公开提供的应用程序接口，供广大Windows用户开发应用程序与系统进行交互操作。所以从本质上讲，API并没有好坏之分，也没有善恶之别。而如果单以安全角度来论，乱用某些API可能会对系统安全造成隐患，所以HIPS将这些API定义为“危险API”加以监控并向用户报警。这里特别要注意弄清这些“危险API”的真正含义，大量的病毒木马经常使用这些危险API，但是使用这些API的程序并不见得就是病毒木马。危险API和病毒木马之间的逻辑关系，属于必要非充分条件，因为所有的API都是微软公开提供的，所有程序都可以正常的进行调用。

　　HIPS正是把危险API和病毒木马的逻辑关系搞反了，HIPS把所有危险API的调用一律报警，而正常程序也需要调用这些API，所以才造成了上面提到的配置复杂度较高，对用户要求较高，弹框数量较高的三高问题。

　　现在，有部分厂商为了提高HIPS的易用性，为了扩大软件的市场份额，居然用了一种非常极端的方法——为HIPS配置明文规则（白名单），这样表面上看起来会使得HIPS的弹框率大幅度下降，但是实际上则使用户处于非常危险的状况之下，黑客可以非常轻松地利用明文规则轻易突破HIPS的3D保护！

　　如果一个网马，运行后生成A.gho（实为可执行文件），由于规则中允许创建和运行.gho文件，那么HIPS的防护体系就被轻易突破了……

　　结论：HIPS本来是安全的，虽然存在着频繁虚警的问题，但是其对于每一个潜在危险API调用都进行报警拦截，所以整体安全性是很有保证的。但是，HIPS规则（白名单）的使用，则彻底将HIPS的安全基石毁于一旦，在HIPS严密的防护体系中硬生生割裂出一条黑客高速公路！

　　HIPS确实需要改进，但是并不是这种简单的单一程序动作规则。行为控制安全产品只有将各种程序动作进行综合监控，即监控一系列确有意义的程序行为，才能从根本上彻底扭转其易用性差的问题。不过，如果HIPS增加了复杂的各种动作之间的相关性复合逻辑规则，那就不再是HIPS了，变成了现在大家习惯于叫做主动防御型安全产品，比如微点主动防御软件、卡巴斯基主动防御模块等等。




如果一个网马，运行后生成A.gho（实为可执行文件），由于规则中允许创建和运行.gho文件，那么HIPS的防护体系就被轻易突破了……
---------------------------------------------------------
首先声明，我不知这种说法正确与否？
但是楼上几位的反驳的不当，因为楼主发的这篇文章是举例，并不是专指gho文件，文中的意思是，如果你充许gho文件可以运行，那么木马就可以钻这个gho的漏洞，
因为你在设置规则时，总会充许一些东西。所以有充许，就会有漏洞
说实话，这也正是我的疑惑。

所以如果文中说的不对，还请各位老师从技术上批驳一下，这样才能从心里上对eq有个正确的理解。
期待高手出来解惑。

HIPS不是万能 更不是全能的
安全软件的合理组合和正确设置才能达到比较理想的期望

[ 本帖最后由 ibw2008 于 2008-5-27 12:46 编辑 ]

楼上说的有道理
关键是要组合起来发挥最大的保护作用

HIPS的规则因为人易  不可能这么弱小滴  虽然也和杀软一样有缺陷
EQ自己添加规则可以有效防止这种

3D+扫描比较好

这个人是对hips 一知半解！


如果一个网马，运行后生成A.gho（实为可执行文件），由于规则中允许创建和运行gho文件，那么HIPS的防护体系就被轻易突破了……
_______________________
简直可笑！

这个网马是什么？不过也是一段程序代码，或是控制其他程序运行的配置文件！
当一个无毒的系统中，布上hips,让有可能产生病毒的文件都不能建立，那网马如何进来？！


或再举个极端的例子！我装好一个无毒的系统后，只有一个文件夹允许创建文件，其他地方不能创建文件，而这个能创建文件的地方，又不允许运行，我看病毒如何进来？进来如何发威？当然其他不能建立的文件地方，允许存在的程序运行。那些允许运行的程序,可在自已的数据文件区里建立自已的数据文件，强调，这个区域里的文件没有独立运行权限。这样，就算有一个如office 之类的程序的安全被突破，也不可能产生多大的危害，因为他根本就无法破坏坏系统文件

再退一步，把核心的文件，全部弄成不准修改、删除，包括ghost文件！这样系统崩溃了时，一ghost就正常了！

有这三种规则，系统已经高度安全了！

[ 本帖最后由 云海飞舞 于 2008-6-24 09:15 编辑 ]

归根结底一切还是要靠人来完成

说白了，不管杀软和HIPS就是一个工具。

觉得那个.gho的漏洞应该是不存在的。。。因为gho以后，总还是要生成其它文件的嘛。。。那其它规则又会阻挡了。。。

我正在用,就是开始有些麻烦