标签 HIPS 下的文章

SSM新手教程


以下内容援引自卡饭论坛:http://bbs.kafan.cn/thread-108890-1-1.html
如何设置SSM?
一、安装好SSM后,打开新手模式
二、重启电脑(这个重要),再把常用的程序都运行一遍。SSM会通过新手模式自动为程序创建AD规则,然后把新手模式关掉
三、设置以下进程的“默认操作”:
svchost.exe - 子级,父级都询问
cmd.exe - 子级,父级都询问
iexplore.exe(或你所使用的浏览器)- 子级,父级都询问
wscript.exe - 子级,父级都询问
explorer.exe - 子级允许,父级询问
rundll32.exe - 子级允许,父级询问
ntvdm.exe - 子级允许,父级询问
services.exe - 子级允许,父级询问
winlogon.exe - 子级允许,父级询问
msiexec.exe - 子级允许,父级询问

补充:SSM如何处理父进程,子进程?
先说说什么是进程。打个比方说,我们有个文件名叫做a.exe的程序。执行这个程序后,就可以在任务管理器里看见一个a.exe,这个东西就是进程。进程是磁盘上的程序执行后被加载入内存的一些数据。 每一个可以执行的程序都可以产生自己的进程。
如果一个进程a.exe执行了另一个进程b.exe,那a.exe就是b.exe的父进程,b.exe是a.exe的子进程,父亲和儿子的关系。这是使用任何款式HIPS的AD模块的核心概念,SSM也不例外。在SSM 里的“规则”篇里双击任何一个应用程序规则后,便会出现如图的窗口。
这是显示explorer.exe进程的高级属性窗口,“子级”选项代表该进程是否能当explorer.exe的子进程,“父级”则代表是否能当explorer.exe的父进程。
换句话来说,SSM的高级属性让用户控制哪些进程有权限来执行哪些进程。如果IEXPLORE.EXE的“父级”是个空格子,如果IEXPLORE.EXE试图执行cmd.exe的话,会被SSM阻止;explorer.exe的“父级”是个打钩,如果explorer.exe试图执行cmd.exe的话,SSM会允许。

(图为新手模式下的情况)


四、设置以下进程的高级属性:
IEXPLORE.EXE - 禁止ntvdm.exe,cmd.exe,wscript.exe子级,允许explorer.exe父级
rundll32.exe - 允许svchost.exe,services.exe,explorer.exe父级
cmd.exe - 允许explorer.exe父级
msiexec.exe - 允许msiexec.exe,explorer.exe父级,允许msiexec.exe子级

五、如果运用程序规则里找不到一些以上的程序,例如msiexec.exe,那再打开新手模式,运行那些找不到的程序,关掉新手模式。SSM自动创建规则后,根据第3,4步骤动手设置。

至此SSM基本设置完毕,仅供参考。


HIPS简介


以下内容援引百度百科——http://baike.baidu.com/view/481057.htm
HIPS(Host-based Intrusion Prevention System ,基于主机的入侵防御系统)是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。   
一、HIPS的3D:
  AD(Application Defend)应用程序防御体系
  RD(Registry Defend)注册表防御体系
  FD(File Defend)文件防御体系
  它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
二、常用的HIPS软件有:
  SNS(Safe'n'Sec Personal)--AD+FD+RD,
  SSM(System Safety Monitor),--免费版AD+RD,商业注册版AD+FD+RD
  PG(ProcessGuard和Port Explorer)--AD+RD,
  GSS(Ghost Security Suite)--AD+RD,
  SS(SafeSystem 2006)--FD.
  EQSecure(国产的E盾)--AD+FD+RD
三、HIPS分类 
    (一)经典HIPS
  经典HIPS指需要手工制定完整的防御策略(规则)才能对系统实施保护的一类HIPS,较早出现的HIPS基本上都为这一类型。    CA HIPS & Tiny Firewall Pro(CA、Tiny)
   Comodo Firewall Pro V3(CFP、毛豆)
  CORE FORCE(CF)
  DriveSentry
  魔法盾EQSecure(E盾、EQ)
  Ghost Security Suite(GSS)
  Malware Defender(MD)
  ProSecurity(PS)
   Safe'n'Sec(犀牛、SNS)
  System Safety Monitor(SSM)
  中网S3
  (二)智能HIPS
  智能HIPS指不需要或者较少需要使用者手工制定的防御策略(规则)即可对系统实施保护的一类HIPS,通常这类HIPS内置了一定的判断方法和处理规则,因此能够根据程序行为的危险程度进行自动判断和处理,对于少量难以判断的程序行为才会提示使用者并由使用者判断处理。体现出一定的智能性。
  Dynamic Security Agent(DSA)
  GKR内核加固免疫系统
  Mamutu(马马屠)
  Norton AntiBot(NAB)
  Prevx
  Threatfire(TF)
  (三)沙盘HIPS
  沙盘:也叫沙箱,顾名思义可以看做是一种容器,里面所做的一切都可以推倒重来,军事上常用沙盘来进行一些战争区域的地形模拟,这个你见过吧?不用了可以把沙子推平重来。
  我们所说的沙盘是一种安全软件,可以将一个程序放入沙盘运行,这样它所创建修改删除的所有文件和注册表都会被虚拟化重定向,也就是说所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。另外现在沙盘一般都有部分或完整的类似HIPS的程序控制功能,程序的一些高危活动会被禁止,如安装驱动,底层磁盘操作等。目前沙盘主要有两大类,一是采用虚拟技术的传统沙盘,另一个就是采用策略限制的沙盘。
  BufferZone、Defensewall、Geswall、SafeSpace、Sandboxie、Software Virtualization Solution、VElite、WindowZones


SSM的永久密钥


当时为了给自己的老爷机装个安全软件费了不少周折,从无意间了解到HIPS(Host-based Intrusion Prevention System,基于主机的入侵防御系统),并接触了SSM(System Safety Monitor)已经快两年了。当时在卡饭(http://bbs.kafan.cn)HIPS是热门话题,还曾有人预言“HIPS是杀软的终结”。今天偶然心血来潮整理硬盘里的文件发现了SSM,遂想看看有没有新版本,结果听到了SSM作者放出永久密钥后“关门”的消息,很是惋惜。

下面是SSM2.4.622的永久注册密钥,下载后用记事本打开,直接复制内容即可。
ssmvaluedcustomer.rar(请右击该链接,选择“目标另存为”下载)