单步防御简介:
通过拦截系统的相关动作,基于拦截点进行上下文(比如:参数)匹配,针对可能对系统造成伤害的危险动作进行用户提示并予以阻断的规则化系统保护功能都属于单步防御范畴。
火绒2.0的《系统防护》功能也是基于单步HIPS防御思想的系统保护型功能。在通过对大量流氓软件、病毒、木马等恶意代码的测试分析总结后,2.0新版本的火绒系统防御从原有的27个保护点增加至41个,并在原有的注册表、文件、动作三个类别上增加:进程保护、病毒免疫两类。改进后的火绒单步防御系统将更大的提升系统抵御侵害的能力。
火绒2.0的单步防御系统分类介绍:
火绒内置了丰富的单步保护规则,通过这些规则的针对的保护类型我们可以划分成五类。
[attach]38[/attach]
1. 进程保护类(新):
通过对用户中的病毒、木马的大量分析可以发现,为了躲避现有的防御监控的拦截,很多恶意攻击最初是通过攻击、利用系统的关键进程来完成隐秘自己的目的的。为此新版本的系统防护功能增加了对这一攻击的防护措施。
图(阻止对系统进程的攻击动作):
[attach]50[/attach]
关闭火绒2.0的病毒监控我们在虚拟机中进行“攻击、防护”测试,可以发现,由于火绒系统防护功能的进程保护对系统的关键进程进行了隔离保护,病毒在试图对其进行攻击时被拦截了。而该样本由于没有成功的入侵到系统的进程中后续的攻击动作都没法实施,最终退出。
2. 病毒免疫类(新):
直接针对流行的病毒的活性特点,专门对其攻击动作进行自动灭活拦截免疫。
[attach]39[/attach]
如,一个被免杀病毒程序将自己复制到“字体”目录中,当病毒程序启动时自动被火绒防御系统阻止。该病毒免杀虽然逃避了病毒引擎的查杀,但本身被免疫,已经处于“死亡”状态不能攻击用户电脑了。
3. 文件系统类:
针对流氓、病毒等恶意软件会攻击系统文件的特点,专门对文件系统中的特定位置进行加固保护。
如,当有修改host文件时防御系统会提示如下:
火绒单步防御系统会自动根据保护项的危险级别与触发规则的程序特征自动推荐用户进行相应的确认:放过、阻止、结束进程。用户也可以根据自己的意愿进行加黑白操作。
