HIPS (全称:Host-based Intrusion Prevention System) 是一款基于“主机”的入侵防御系统。其原理是利用驱动进行底层的HOOK。挂接系统函数,拦截自定义操作的一款软件。
火绒是一款在32/64位下都能正常兼容并且拦截的软件,所以这里使用火绒进行说明,也算是它的一个使用文档。首先看一下它自定义的一个HIPS拦截规则。[图为火绒3.0]
数字标注的含义如下:
1:源程序
2:自定义规则名称
3:目标程序
4:组织此次操作
5:允许此次操作
6:结束源程序
------------------------------------------------------
上述是一个很简单的拦截文件的操作,其中自定义规则的方法也很简单,首先下载最新的火绒。这里我已火绒3.0为例。启动界面如下。
选择【系统防护】--- 【自定义防护】
选择右下角的【新建规则包】,跳转的新窗口下选择【添加规则】
然后到达如下窗口。
选择操作下的【齿轮】,新窗口下选择【添加规则】
跳转到如下界面。
这里选择【文件规则】
然后选择【要监控的路径】和【要监控的操作】。
如果你是要监控U盘的话,就选择U盘的盘符,然后勾选【创建】操作就可以了。点击【确定】。然后会回到如下界面,选择右上角的开启按钮,变成如下状态时就可以了。
至此一个监控U盘创建文件的HIPS规则已经写好了。
------------------------------------------------------
如果你想要知道是谁不断的在U盘内写入同一个文件的话,你就把要监控的文件删除,然后等待HIPS的拦截就可以了。
------------------------------------------------------
根据如上方法可揪出未知文件的一些特定操作,但是并不绝对。希望大家能够自行解决一些问题,学习一些对付病毒木马的方式方法。
火绒是一款在32/64位下都能正常兼容并且拦截的软件,所以这里使用火绒进行说明,也算是它的一个使用文档。首先看一下它自定义的一个HIPS拦截规则。[图为火绒3.0]
数字标注的含义如下:
1:源程序
2:自定义规则名称
3:目标程序
4:组织此次操作
5:允许此次操作
6:结束源程序
------------------------------------------------------
上述是一个很简单的拦截文件的操作,其中自定义规则的方法也很简单,首先下载最新的火绒。这里我已火绒3.0为例。启动界面如下。
选择【系统防护】--- 【自定义防护】
选择右下角的【新建规则包】,跳转的新窗口下选择【添加规则】
然后到达如下窗口。
选择操作下的【齿轮】,新窗口下选择【添加规则】
跳转到如下界面。
这里选择【文件规则】
然后选择【要监控的路径】和【要监控的操作】。
如果你是要监控U盘的话,就选择U盘的盘符,然后勾选【创建】操作就可以了。点击【确定】。然后会回到如下界面,选择右上角的开启按钮,变成如下状态时就可以了。
至此一个监控U盘创建文件的HIPS规则已经写好了。
------------------------------------------------------
如果你想要知道是谁不断的在U盘内写入同一个文件的话,你就把要监控的文件删除,然后等待HIPS的拦截就可以了。
------------------------------------------------------
根据如上方法可揪出未知文件的一些特定操作,但是并不绝对。希望大家能够自行解决一些问题,学习一些对付病毒木马的方式方法。
