網(wǎng)站首頁(yè)企業(yè)百科 產(chǎn)品百科 技術(shù)百科 人物百科
目錄
EQSysSecure軟件詳細(xì)
EQSysSecure
EQSecure 是一款Hips類型的軟件,此類軟件可以通過編制相應(yīng)的規(guī)則來實(shí)現(xiàn)對(duì)系統(tǒng)各類操作的自由控制,對(duì)經(jīng)過允許的程序和對(duì)計(jì)算機(jī)的各類操作方可執(zhí)行;對(duì)未經(jīng)允許的程序和對(duì)計(jì)算機(jī)的各類操作不能執(zhí)行,從而阻止各種有害程序的入侵和運(yùn)行,達(dá)到對(duì)計(jì)算機(jī)系統(tǒng)保護(hù)的目的。其與防毒程序的不同在于:防毒程序是通過對(duì)已知病毒的查殺來起到保護(hù)作用,對(duì)新出現(xiàn)的未知病毒沒有作用,具有滯后性;而Hips類軟件是通過對(duì)程序操作動(dòng)作的控制來實(shí)現(xiàn)防護(hù)作用,不依賴于病毒庫(kù),可以預(yù)防未知的病毒等各種有害程序。尤其在各種木馬程序、程序盛行的今天,傳統(tǒng)殺毒軟件顯得蒼白無力,Hips類軟件的防護(hù)作用就越來越突出。EQSysSecure軟件功能
EQSecure 正是這類軟件中功能突出的一款國(guó)產(chǎn)軟件。目前包括應(yīng)用程序控制、注冊(cè)表控制和文件控制三個(gè)方面。應(yīng)用程序控制包括應(yīng)用程序的執(zhí)行、庫(kù)文件加載、驅(qū)動(dòng)程序加載、物理內(nèi)存訪問、物理磁盤訪問、服務(wù)安裝等12個(gè)方面的控制,可見控制非常細(xì)致;注冊(cè)表控制包括對(duì)注冊(cè)表項(xiàng)及值的修改(新建)、刪除的控制;文件控制包括對(duì)文件及文件夾的創(chuàng)建、打開、修改、刪除的控制,控制非常全面。
一個(gè)病毒想要達(dá)到入侵并運(yùn)行的目的,首先要能將自身文件復(fù)制到計(jì)算機(jī)的硬盤上,其次要通過寫注冊(cè)表等方式實(shí)現(xiàn)自動(dòng)運(yùn)行,并且在運(yùn)行時(shí)不會(huì)受到攔截,其中只要有一個(gè)環(huán)節(jié)不成功,病毒就不能得逞。而EQSecure 的防護(hù)是三個(gè)環(huán)節(jié)同時(shí)進(jìn)行的,是三位一體的立體式防護(hù),從理論上講,只要規(guī)則設(shè)置得夠全面、嚴(yán)密,就可以防止一切已知或未知病毒的入侵。
不僅如此,EQSecure 還加入了沙盤的功能,通過開辟一塊兒虛擬空間,使可疑程序?qū)τ?jì)算機(jī)系統(tǒng)的操作只在虛擬的空間里進(jìn)行,保證程序正常運(yùn)行的同時(shí),避免實(shí)機(jī)系統(tǒng)受到病毒破壞。HIPS與沙盤的有機(jī)結(jié)合,使在安全性和易用性上都提升了一個(gè)臺(tái)階,這在世界上也是一個(gè)。
EQSysSecure軟件發(fā)展
EQSecure開始是免費(fèi)的HIPS,在推廣主動(dòng)防御軟件方面起到極其重要作用,可以說沒有eq堅(jiān)實(shí)的技術(shù)基礎(chǔ),就沒有智能hips的誕生。但在HIPS還沒有成熟到可以大規(guī)模商業(yè)化的地步,軟件制作方開始實(shí)行收費(fèi)政策,結(jié)果造成大量用戶流失,開發(fā)停滯不前。如今的EQSecure,bug解決不掉,WIN7也不支持,軟件作者已放棄升級(jí)開發(fā),這款純HIPS老軟件處境艱難。
EQSysSecure關(guān)于HIPS
HIPS,全稱是Host Intrusion Prevent System ,翻譯過來是主機(jī)入侵防御系統(tǒng)。
我們個(gè)人用的HIPS可以分為3D:AD(Application Defend)--應(yīng)用程序防御體系、RD(Registry Defend)注冊(cè)表防御體系、FD(File Defend)文件防御體系。
它和殺毒軟件,殺木馬軟件,殺軟件一樣,都是保護(hù)系統(tǒng)安全的。和其它軟件不同的是,它不是先中后殺,而是防患于未然。打個(gè)比方,其它安全軟件是藥物,HIPS就是疫苗。和人類使用的疫苗不同的是,它不針對(duì)某一種具體的疾病,而是免疫各種各樣的疾病。(要是有用于人體的這種疫苗就好了。)用好HIPS,基本上就和病毒(包括各種惡意軟件)說拜拜了。更難得的是,它對(duì)待病毒一視同仁,沒有已知未知之說。這一點(diǎn)是殺軟萬萬不及的。
在它的保護(hù)下,操作系統(tǒng)對(duì)你不再是個(gè)黑匣子,運(yùn)行的每一個(gè)程序,創(chuàng)建的每一個(gè)文件,你都是清清楚楚,明明白白的。都是你信任的。病毒的特點(diǎn)是什么?是它的隱蔽性。凡是罪惡的勾當(dāng),都是偷偷摸摸的。一旦暴露在光天化日之下,還能有什么戲唱?
再來個(gè)比喻吧:沒有裝HIPS的電腦,如同無人把守的院子,任何人都可以隨便出入(當(dāng)然壞蛋也不例外),安全也就談不上了。裝個(gè)HIPS,就像請(qǐng)了個(gè)盡職盡責(zé)的人給你看門,你告訴他,這是我老婆,這是我兒子,這是我朋友,你要放行,其余的一律報(bào)告或阻止。這樣,壞蛋想進(jìn)入你家就困難了。你也許會(huì)說,殺軟不是也有實(shí)時(shí)監(jiān)控嗎?不錯(cuò),殺軟是有實(shí)時(shí)監(jiān)控,但它只檢查進(jìn)來的人有沒有記錄。這顯然是不行的。即使有人帶著刀來殺你,它也不會(huì)管的,因?yàn)樗徽J(rèn)識(shí)。它的病毒庫(kù)里沒有。
EQSysSecure使用技巧
EQSecure制定規(guī)則靈活方便,只要掌握方法,任何人都能輕輕松松DIY各種各樣需要的規(guī)則。方法主要有4種:詢問框、日志、學(xué)習(xí)模式、手動(dòng)。學(xué)習(xí)模式方便,但會(huì)生成冗余規(guī)則,因?yàn)椴荒茏詣?dòng)添加通配符。詢問框、日志創(chuàng)建規(guī)則更有針對(duì)性。手動(dòng)最難但又是基本功,要想真正用好EQSecure,必須掌握,下面予以重點(diǎn)講解。
hips的工作原理
Hips中FD的作用就是監(jiān)控系統(tǒng)對(duì)任何文件的讀取,修改,創(chuàng)建,刪除操作;AD監(jiān)控程序運(yùn)行,加載,訪問物理內(nèi)存,操作底層磁盤,鍵盤記錄等等的關(guān)鍵操作;RD監(jiān)控對(duì)注冊(cè)表的操作。
假設(shè)毒入侵電腦:
1 病毒首先會(huì)在硬盤上建立病毒實(shí)體,這時(shí)候就會(huì)觸發(fā)FD的“創(chuàng)建”規(guī)則
2 接著讀取病毒體,觸發(fā)FD的“讀取”規(guī)則
3 接著運(yùn)行病毒體,觸發(fā)AD的各項(xiàng)規(guī)則
4 如果是感染型病毒,在運(yùn)行過程中還會(huì)修改硬盤的文件,例如感染exe文件,觸發(fā)FD的“修改”規(guī)則;如果是破壞型病毒,運(yùn)行過程中還會(huì)刪除硬盤的文件,例如刪除exe,gho等文件,觸發(fā)FD的“刪除”規(guī)則
5 接著病毒通常會(huì)修改注冊(cè)表來達(dá)到自啟動(dòng)或破壞的目的,此時(shí)會(huì)觸發(fā)RD規(guī)則;如果病毒連接網(wǎng)絡(luò)的話,就會(huì)觸發(fā)ND規(guī)則(也就是防火墻規(guī)則,這就在EQSecure范圍之外了)。
從上面可以看到,重要性由高到低的排列:FD的“創(chuàng)建”> FD的“讀取”> AD > FD的“修改,刪除”> ND > RD。前三項(xiàng)是重要的,因?yàn)殛P(guān)系到病毒能否成功運(yùn)行,后面的只是病毒運(yùn)行之后的補(bǔ)救措施而已。
每次觸發(fā)規(guī)則,hips就會(huì)從規(guī)則庫(kù)里面查找,如果里面已經(jīng)有對(duì)該操作的規(guī)則,就按規(guī)則辦;沒有的話,就會(huì)詢問使用者。從性能來講,觸發(fā)得越頻繁,匹配的規(guī)則越多,導(dǎo)致的性能越低下。對(duì)觸發(fā)頻繁程度由高到低的排列:FD的“讀取”> RD > FD的“修改”> AD > FD的“刪除”> FD的“創(chuàng)建” 。(本排列是在本機(jī)的eq上添加監(jiān)視規(guī)則,統(tǒng)計(jì)日志得出的。)
要寫出高效的規(guī)則,必先了解所用的hips對(duì)規(guī)則的處理方法。以EQSecure為例,它的規(guī)則分3個(gè)組。組間優(yōu)先級(jí)從高到低的排列:“黑名單”>“應(yīng)用程序規(guī)則”> “所有程序規(guī)則”。在“黑名單”和“所有程序規(guī)則”兩個(gè)組之中,同組的規(guī)則是優(yōu)先級(jí)是從上到下排列。“應(yīng)用程序規(guī)則”是按程序的進(jìn)程查找匹配,同組的規(guī)則沒有優(yōu)先級(jí)之分。
根據(jù)以上排列,我們就可以通過調(diào)整規(guī)則,達(dá)到安全性和性能的平衡。將對(duì)性能影響很大,但安全性影響不大的規(guī)則盡量簡(jiǎn)化;將對(duì)性能影響不大,但安全性影響很大的規(guī)則盡量詳細(xì)。
規(guī)則與進(jìn)程的定義
規(guī)則其實(shí)很簡(jiǎn)單,說穿了,一條規(guī)則就是一句話:誰能(不能)對(duì)誰怎么樣。用語言學(xué)術(shù)語說就是“主語+謂詞+賓語”,用EQSecure術(shù)語就是“父進(jìn)程+攔截操作+子進(jìn)程”。所以明白了什么是父子進(jìn)程以及怎樣添加父子進(jìn)程,規(guī)則就算掌握了大半。
雙擊某個(gè)圖標(biāo)或點(diǎn)擊某個(gè)按紐,程序就運(yùn)行了;用迅雷下載一個(gè)東西,硬盤上就多了一個(gè)文件。人們通常不去深究其中的奧秘。其實(shí),任何程序都不會(huì)自己運(yùn)行,文件也不會(huì)平空出現(xiàn),背后總有程序在操縱它。那個(gè)躲在幕后的神秘程序就是父進(jìn)程,能夠看到、感覺到的東西就是子進(jìn)程。當(dāng)手動(dòng)打開一個(gè)程序時(shí),由于一般是在資源管理器中操作,所以就是“資源管理器”(explorer.exe)運(yùn)行了“某一個(gè)程序”;在IE中右擊某個(gè)鏈接,再點(diǎn)“使用迅雷下載”,IE就會(huì)啟動(dòng)迅雷,這時(shí),IE就是父進(jìn)程,迅雷就是子進(jìn)程。
在RD中,如果某個(gè)程序操作了某個(gè)注冊(cè)表鍵值,則“某程序”就是父進(jìn)程,某“注冊(cè)表鍵值”就是子進(jìn)程。同理,在FD中某程序操作了某文件,則前者為父進(jìn)程,后者為子進(jìn)程。例如,用winrar解壓文件,winrar就是父進(jìn)程,解壓出的文件就是子進(jìn)程。
簡(jiǎn)言之,父進(jìn)程就是動(dòng)作的發(fā)出者,即操作者;子進(jìn)程就是動(dòng)作的接受者,即操作對(duì)象。A程序操作(運(yùn)行、終止、修改等)B程序,或A程序操作(創(chuàng)建、修改、刪除等)B文件,A就是父進(jìn)程,B就是子進(jìn)程。
在EQSecure的規(guī)則體系中,“所有程序規(guī)則”即對(duì)所有的程序都起作用的規(guī)則。比如你在這里添加一個(gè)程序,運(yùn)行設(shè)為“阻止”,那么所有的程序都無法運(yùn)行該程序;在這里設(shè)置一個(gè)文件禁止被刪除,那么所有的程序都無法刪除該文件;“應(yīng)用程序規(guī)則”就是為具體的應(yīng)用程序,如瀏覽器、工具、下載工具、看圖程序等等設(shè)置的規(guī)則,規(guī)定它們可以進(jìn)行哪些操作,不可以進(jìn)行哪些操作。“高優(yōu)先規(guī)則”和“所有程序規(guī)則”一樣,對(duì)所有的程序都起作用,但是優(yōu)先級(jí)(優(yōu)先級(jí)下面再說)。
分布如下:“所有程序規(guī)則”和“高優(yōu)先規(guī)則”里全部為子進(jìn)程(父進(jìn)程為任意程序) ,“應(yīng)用程序規(guī)則”中既有父進(jìn)程,又有子進(jìn)程(但是可以不設(shè)子進(jìn)程,此時(shí)子進(jìn)程為所有對(duì)象)。 父、子進(jìn)程在視覺上很容易區(qū)分:呈樹狀結(jié)構(gòu),父進(jìn)程比組名縮進(jìn)一格,子進(jìn)程比父進(jìn)程縮進(jìn)一格。
“所有程序規(guī)則”對(duì)任何程序都起作用,如果有些程序,我們不想讓“所有程序規(guī)則”對(duì)它起作用,有沒有辦法呢?只需在“其它設(shè)置”里面不選中“搜索所有程序規(guī)則”即可。這個(gè)選項(xiàng)的意思是把“所有程序規(guī)則”中的子進(jìn)程作為自己的子進(jìn)程。 為了保證“所有程序規(guī)則”名副其實(shí),這個(gè)地方默認(rèn)選中。所以,如果不作專門設(shè)置,一個(gè)父進(jìn)程的子進(jìn)程包括兩個(gè)部分:“應(yīng)用程序規(guī)則”中該父進(jìn)程下的子進(jìn)程和“所有程序規(guī)則”中的全部子進(jìn)程。
規(guī)則編寫
編寫規(guī)則大致存在以下兩種思路:1,允許所有“安全的”執(zhí)行,其余全部阻止。2,阻止所有“危險(xiǎn)的”執(zhí)行,其余全部放行。
這兩種思路代表不同的安全性和性能。基于正常電腦里面的文件“安全的”比“危險(xiǎn)的”要多這個(gè)理論。要允許所有“安全的”比 阻止所有“危險(xiǎn)的”所需要的規(guī)則多。"1"性能就自然低下,但也相對(duì)安全;"2"相反。
編寫規(guī)則的原則以下:
原則1:盡量把“允許”的規(guī)則寫在前,“拒絕”的規(guī)則寫在后。因?yàn)樵诖蟛糠謺r(shí)間都是運(yùn)行正常程序,這可以減少匹配時(shí)間。可能觸發(fā)的越頻繁的規(guī)則寫在前,冷門的規(guī)則在后。將系統(tǒng)進(jìn)程規(guī)則,殺毒軟件規(guī)則在前,普通應(yīng)用軟件規(guī)則在后。使用通配符會(huì)增加規(guī)則匹配的時(shí)間,但同時(shí)會(huì)減少規(guī)則的數(shù)目,是一把劍。
原則2:能在“應(yīng)用程序規(guī)則”寫的規(guī)則,盡量在這里寫。因?yàn)檫@里是直接匹配進(jìn)程的,效率較高。但過多也不好,能概括的盡量概括。建議不要選上“MD5校驗(yàn)程序文件”和“搜索所有程序”這兩個(gè)參數(shù)。
原則3:FD的“讀取”規(guī)則放在最前,而且規(guī)則數(shù)越少越好。因?yàn)镕D的“讀取”非常頻繁,對(duì)性能影響。雖然它對(duì)安全性影響很大,但很難用“讀取”規(guī)則區(qū)分正常程序和病毒。除了autorun型病毒是較容易區(qū)分的一種。
原則4:FD的“修改,刪除”規(guī)則是用來保護(hù)數(shù)據(jù)的。建議建立一個(gè)“保護(hù)文件夾”,里面放要保護(hù)的所有文件,用規(guī)則來防止里面的修改和刪除;再建立一個(gè)“臨時(shí)下載文件夾”,用來下載的,用規(guī)則允許對(duì)里面文件的操作。下載完成后再移到“保護(hù)文件夾”;另外,對(duì)系統(tǒng)頻繁操作的地方相對(duì)集中,就是臨時(shí)文件夾和ie緩存目錄,允許它們的操作;針對(duì)exe感染文件,還可以全盤保護(hù)exe;保護(hù)系統(tǒng)盤的dll,sys,保護(hù)ghost備份文件….。
原則5:FD的“創(chuàng)建”規(guī)則,所有規(guī)則的精華所在。因?yàn)樗鼘?duì)性能影響不多,盡量詳細(xì)吧!建議編寫的“創(chuàng)建”規(guī)則以文件后綴為主,路徑為輔,將危險(xiǎn)的后綴全部禁止創(chuàng)建。例如,bat,reg,vbs,scr……有一個(gè)特別就是*.js文件,允許它在臨時(shí)文件夾和ie緩存目錄創(chuàng)建,但在其他目錄創(chuàng)建的就一定要禁止。
原則6:AD規(guī)則,按照個(gè)人的使用習(xí)慣,把自己的軟件通通打開一遍,全部允許。再把某幾個(gè)危險(xiǎn)的程序禁止,例如,CMD.exe,format.exe等等。在AD規(guī)則中有一個(gè)特殊的地方就是“加載庫(kù)文件”,就是對(duì)應(yīng)用程序加載dll的監(jiān)控。它的觸發(fā)頻繁度占AD規(guī)則的觸發(fā)70%以上,但用它很難區(qū)分正常程序和病毒。EQ自己默認(rèn)就是“優(yōu)先級(jí)允許”的。“優(yōu)先級(jí)允許”的意思就是:當(dāng)一個(gè)“加載庫(kù)文件”事件觸發(fā)的時(shí)候,EQ會(huì)查找所有的規(guī)則,如果都找不到“加載庫(kù)文件”相關(guān)規(guī)則的話,就默認(rèn)允許“加載庫(kù)文件”。一個(gè)程序調(diào)用一堆dll,如果每個(gè)dll都經(jīng)過“優(yōu)先級(jí)允許”,那效率多低。干脆就在“黑名單”個(gè)規(guī)則寫上“允許加載所有庫(kù)文件”,變成“優(yōu)先級(jí)允許”。
原則7:RD規(guī)則,雞肋!作用又不大,又影響性能。盡量減少規(guī)則,保留最重要的,其他除去。或者干脆就把它關(guān)閉。
規(guī)則的優(yōu)先級(jí)與組合
即把規(guī)則組合起來,實(shí)現(xiàn)更為復(fù)雜的控制。比如想禁止任何程序運(yùn)行IE,但又能手動(dòng)運(yùn)行,該怎么做?這就需要兩條規(guī)則配合:禁止任何程序運(yùn)行IE;允許explorer運(yùn)行IE,然后讓后一條優(yōu)先執(zhí)行。這就是優(yōu)先級(jí)的問題,即幾條規(guī)則都能匹配的情況下,哪條規(guī)則先起作用。優(yōu)先級(jí)是高優(yōu)先規(guī)則>應(yīng)用程序規(guī)則>所有程序規(guī)則,同一類規(guī)則中,物理位置排在上面的規(guī)則優(yōu)先級(jí)大于排在下面的規(guī)則。 即優(yōu)先級(jí)從右到左,從上到下遞減。
作用流程如下:
當(dāng)EQSecure攔截到一個(gè)操作后,就會(huì)先確定父子進(jìn)程,然后依次在“高優(yōu)先規(guī)則”→“應(yīng)用程序規(guī)則”→“所有程序規(guī)則”中尋找相匹配的規(guī)則(在同一類別中又按從上到下的順序?qū)ふ遥谌魏我惶幷业剑锤鶕?jù)設(shè)定的參數(shù)進(jìn)行控制,不再向下尋找;找不到則繼續(xù)尋找。如果在三者中均找不到相匹配的規(guī)則,AD按全局規(guī)則,即“主界面→保護(hù)模式”處的規(guī)則執(zhí)行,RD、FD直接允許。
“高優(yōu)先規(guī)則”和“所有程序規(guī)則”中找的是子進(jìn)程(因?yàn)闆]有父進(jìn)程),“應(yīng)用程序規(guī)則”中則是先找父進(jìn)程,如果找到,再看其下是否有子進(jìn)程。如果有,應(yīng)用此規(guī)則控制;如果該父進(jìn)程下沒有子進(jìn)程,分兩種情況:如果“其它設(shè)置”處選中“搜索所有程序規(guī)則”,則在“所有程序規(guī)則”中尋找子進(jìn)程,還找不到則執(zhí)行父進(jìn)程的攔截操作;如果沒有選中,則不再理睬“所有程序規(guī)則”,直接執(zhí)行父進(jìn)程的攔截操作。
以上是說父子進(jìn)程俱全的情況,還有一種情況,就是在AD中,只有父進(jìn)程,沒有子進(jìn)程。比如底層磁盤操作、關(guān)閉/重啟系統(tǒng)、修改系統(tǒng)時(shí)間、直接操作系統(tǒng)內(nèi)核等,操作的是系統(tǒng)本身而不是某個(gè)對(duì)象。這就簡(jiǎn)單了,先在“應(yīng)用程序規(guī)則”中找父進(jìn)程,找到則應(yīng)用,找不到則按“主界面→保護(hù)模式”處的規(guī)則執(zhí)行。
了解規(guī)則優(yōu)先級(jí)是非常有用的。常見有人問,我寫了一條規(guī)則,怎么不起作用啊?這時(shí)候,不光要考慮規(guī)則本身是否正確,還要注意是否有優(yōu)先級(jí)更高的規(guī)則在起作用。比如,有人在“所有程序規(guī)則”中寫了一條規(guī)則:*.mp3,禁止刪除,但是還是可以手動(dòng)刪除。這是因?yàn)椋凇皯?yīng)用程序規(guī)則”中給explorer設(shè)了允許刪除的規(guī)則,而應(yīng)用程序規(guī)則的優(yōu)先級(jí)比較高,所以能夠刪除。再舉一例:在“所有程序規(guī)則”中禁止任何程序結(jié)束殺毒軟件的進(jìn)程,同時(shí)在“應(yīng)用程序規(guī)則”中允許任務(wù)管理器結(jié)束任何進(jìn)程,這樣用任務(wù)管理器可以結(jié)束殺毒軟件的進(jìn)程,其它程序則不能。如果在高優(yōu)先規(guī)則中設(shè)置禁止結(jié)束,則任何程序均不能結(jié)束。
參考資料
相關(guān)搜索relevant search
目錄