单步防御简介: 通过拦截系统的相关动作,基于拦截点进行上下文(比如:参数)匹配,针对可能对系统造成伤害的危险动作进行用户提示并予以阻断的规则化系统保护功能都属于单步防御范畴。
火绒2.0的《系统防护》功能也是基于单步HIPS防御思想的系统保护型功能。在通过对大量流氓软件、病毒、木马等恶意代码的测试分析总结后,2.0新版本的火绒系统防御从原有的27个保护点增加至41个,并在原有的注册表、文件、动作三个类别上增加:进程保护、病毒免疫两类。改进后的火绒单步防御系统将更大的提升系统抵御侵害的能力。
火绒2.0的单步防御系统分类介绍: 火绒内置了丰富的单步保护规则,通过这些规则的针对的保护类型我们可以划分成五类。
1. 进程保护类(新): 通过对用户中的病毒、木马的大量分析可以发现,为了躲避现有的防御监控的拦截,很多恶意攻击最初是通过攻击、利用系统的关键进程来完成隐秘自己的目的的。为此新版本的系统防护功能增加了对这一攻击的防护措施。
图(阻止对系统进程的攻击动作):
关闭火绒2.0的病毒监控我们在虚拟机中进行“攻击、防护”测试,可以发现,由于火绒系统防护功能的进程保护对系统的关键进程进行了隔离保护,病毒在试图对其进行攻击时被拦截了。而该样本由于没有成功的入侵到系统的进程中后续的攻击动作都没法实施,最终退出。
2. 病毒免疫类(新): 直接针对流行的病毒的活性特点,专门对其攻击动作进行自动灭活拦截免疫。
如,一个被免杀病毒程序将自己复制到“字体”目录中,当病毒程序启动时自动被火绒防御系统阻止。该病毒免杀虽然逃避了病毒引擎的查杀,但本身被免疫,已经处于“死亡”状态不能攻击用户电脑了。
3. 文件系统类:
针对流氓、病毒等恶意软件会攻击系统文件的特点,专门对文件系统中的特定位置进行加固保护。 如,当有修改host文件时防御系统会提示如下:
火绒文件系统保护内置了大量保护项:
4. 注册表类: 针对流氓、病毒等恶意软件攻击注册表的特点,专门对特定注册表项进行加固保护。 如,当有修改注册表时会提示如下:
火绒注册表保护内置了大量保护项:
5. 动作类: 对有可能对电脑造成伤害的敏感动作进行拦截。
单步防御系统的黑、白名单(用户自动规则): 火绒单步防御系统会自动根据保护项的危险级别与触发规则的程序特征自动推荐用户进行相应的确认:放过、阻止、结束进程。用户也可以根据自己的意愿进行加黑白操作。
1.用户加黑、加白操作: 防御系统触发时,用户可以勾选记住操作来指导防御系统进行,永久的加黑/白。 图1:
2.已有自动规则的管理 当防御系统记住用户的加黑/白操作后,您可以通过自动规则处理列表查看、删除之前被记住的“黑、白”规则。 图1:
图2:
火绒系统防御的前三个保护分类是支持自由黑/白定义的,而病毒免疫与进程保护是针对病毒、恶意软件等的易攻击点,我们暂时不开放自由加白操作。
单步防御系统的规则自定义: 由于单步防御规则的自定义编写需要进阶系统知识的特定能力,我们出于提升HIPS系统对大众人群的可用性的考虑下,将单步HIPS规则自定义功能独立于高级工具内。请需要的用户参考火绒的“高级工具”功能。
更多:
| 
收藏
