ＨＩＰＳ

為了應對層出不窮的未知木馬和病毒，各種殺毒軟件2008版，紛紛推出了主動防御功能，作為被動查殺的補充方案。其實主動防御技術早已出現，有一類專門致力于主動防御木馬病毒的HIPS軟件，在防范未知木馬病毒方面非常有效。隨著主動防御技術的熱炒，HIPS也開始被越來越多的用戶關注……

HIPS與ProSecurilty

HIPS是英文“Host-based Intrusion PreventionSystem”的簡寫，翻譯成中文，即是“主機入侵防護系統”。HIPS是一類特殊的軟件，它是基于行為檢測技術的內核級安全防護軟件。HIPS通過對程序加載、跨進程操作、注冊表操作、網絡訪問、直接物理內存讀寫、安裝Windows鉤子、安裝系統服務／驅動、加載可執行模塊(DLL文件)、直接底層磁盤訪問等系統行為的攔截保護，從而拒絕惡意程序對系統的破壞、對自身的能力拓展及資料的竊取，實現了對系統的保護和對惡意程序的檢測。

國外的各種HIPS軟件比較多，但大多是英文界面的，因此易用性不高。而ProSecurity軟件提供了中文，是HIPS軟件中比較少見的一款，非常適合國內用戶。

安裝設置

下載并安裝“ProSecurity v1.40 Beta 2”成功后，右鍵點擊托盤區的圖標，在彈出菜單中選擇“OpenProSecurity”命令，打開軟件主界面。

界面語言設置：點擊左側邊欄中的“Local Host/Settings”選項，在右邊選擇“Others”選項頁，將其中的“Lanagues”改為“簡體中文”，確定后即可讓軟件使用簡體中文界面。在設置界面中，還可以設置軟件界面皮膚，設置“自動更新”選項等。

設置開啟保護功能：ProSecurity提供了全面的系統內核保護功能，可設置需要開啟的保護項目。在左側邊欄中點擊“程序規則／全局設置”項，右邊即可以設置需要進行監控保護的項目，包括監控新進程的產生，監控進程訪問內存、網絡、安裝操作服務、系統鉤子等(如圖1)。為了全面的保護系統，建議勾選所有的項目。

設置完監控項目后，右鍵點擊托盤區圖標，在彈出菜單中選擇“正常模式／啟用系統保護”項，并勾選其下的所有保護項目(如圖2)。

提示：

在開啟ProSecurlity的監控模式后，一定要關閉殺毒軟件的主動防御功能，否則有可能造成系統不穩定。

攔截系統內核操作

啟用ProSecurity的保護后，軟件對一切未設置規則的程序的運行都會攔截并彈出詢問窗口，由用戶選擇允許或拒絕。攔截的類型包括：應用程序運行、庫文件加載、驅動加載、物理內存訪問、物理磁盤訪問、遠程線程創建、修改其他進程內存、安裝全局鉤子、安裝服務或驅動等多種類型。在ProSecurity彈出攔截窗口時，會禁止其它一切操作以提醒用戶，表現形式非常像Windows Vista中的UAC權限控制攔截窗口。

在詢問窗口中，最上方顯示了攔截類型提示，提示用戶攔截了怎樣的操作，比如運行新的進程、加載驅動等。在窗口中間是詳細的進程信息，執行操作的進程及目標進程信息，在其中還有詳細的操作參數信息。在下方是用戶可選擇的操作類型，如果選擇為默認的“在這一次”，則表示僅這一次允許或拒絕，下次進行同樣操作依然會詢問。點擊“在這一次”按鈕，在下拉菜單中可選擇規則的有效性，比如永遠執行選擇的操作或在指定的時間內有效(如圖3)。

在“允許”或“拒絕”按鈕下拉菜單中，可以選擇將攔截的進程添加到信任或信任列表中。添加到列表中后，其實是將操作加入了規則文件。

提示

ProSecurity在剛安裝運行時，可能會經常彈出詢問窗口，這是正常的，隨著使用時間增加，將信任的程序都加入規則文件，那么詢問就會越來越少，只是在有陌生程序運行時才會詢問，這樣就能引起用戶高度重視，起到防范作用。

分析攔截信息

ProSecurity程序保護默認的詢問是非常有好處的，可以在木馬病毒等惡意程序運行時提醒我們。但是，如何才能從攔截對話窗口信息中，判斷運行究竟是木馬病毒還是正常的程序呢?

如果在彈出詢問窗口時，我們正在進行某種操作，首先可以查看詢問窗口的描述部分，看給出的路徑、文件和廠商、屬性等信息是否正在操作的程序。例如在上面的圖示窗口中，可看到描述信息為“PPS網絡電視”，說明這是正常的執行操作，就可以在“允許”下拉菜單中選擇“信任此程序”命令。如果不能確定是什么文件，或者沒有描述信息，那么可查看命令行部分的信息，結合上面的信息進行判斷。如果仍然不能確定，那么就要看攔截操作的類型了。

一般說來，如果是物理內存訪問、物理磁盤訪問、修改其他進程內存，這類操作通常是殺毒軟件或者其它的安全保護工具。通過進程部分信息，可以確定是否為安全工具，如果信息不明，則屬于可疑操作。此外，關閉／重啟系統、安裝全局鉤子、安裝服務或驅動等操作，一般只在安裝程序時會出現，如果平時出現，則可選擇拒絕。

如果彈出攔截窗口時并未進行任何操作，那么攔截到的操作就比較可疑了，可結合上面的方法判斷。不過要注意的是，許多程序在后臺運行時，也會彈出攔截窗口，比如殺毒軟件自動升級和定時掃描、系統補丁升級、常用軟件升級等，對于這類操作，通常可加入到信任列表。

防范未知木馬病毒實例

目前，網絡上最易感染木馬病毒的一種方式是網頁，這里先來看看如何簡單的用ProSecurity防范網頁木馬。

當打開某個木馬網頁時，網頁必須會通過IE調用木馬程序，因此在產生木馬進程時，會被ProSecurity攔截并彈出窗口。從窗口信息中可以看到IE啟動了一個新進程，此進程路徑位于IE臨時文件夾中(如圖4)。一般來說，如果不是通過IE窗口鼠標右鍵調用迅雷下載或其它網頁工具的話，是不會在瀏覽網頁過程中產生新進程的，碰到這種情況，百分之百肯定是木馬病毒，選擇“拒絕”按鈕即可。

上面舉了一個簡單的例子，下面再來看一個安裝過程軟件中防范流氓軟件的例子。從“華軍”網站下載的“Foxit PDF Text Viewer V3.0.1321漢化版”，此軟件在安裝過程中會安裝3721及網絡豬等流氓軟件。當開啟ProSecurity的保護后，在安裝過程中，會彈出插件安裝攔截窗口，顯示攔截到的新進程名稱“unpig.exe”，從圖標上就可以看出這是網絡豬。在3721安裝運行時，也會彈出攔截窗口，顯示攔截到進程描述為“3721”的程序安裝運行，只要在“拒絕”下拉菜單中選擇“拒絕并終止”命令，即可防止流氓軟件的安裝運行。

至于其它木馬病毒，在運行時也會被ProSecurity攔截，只要我們有基本的安全知識，就可以有效地識別出木馬病毒的隱藏運行。

其他功能

上面只簡單的提了一下在正常模式下的攔截保護，ProSecurity還提供了兩種運行模式。比如在正常安裝軟件時，如果使用正常模式的話，會頻繁彈出攔截窗口，此時可在托盤區彈出菜單中切換為“安裝模式”，使用“安全優先的模式”，自動阻止木馬病毒惡意程序的隨安裝軟件進入系統，同時不會彈出過多的攔截窗口。另外，ProSecurity還可以保護指定的注冊表、系統文件夾，用戶可以手工定義重要的文件夾，防止木馬病毒等竊取自己的機密資料等。

其實ProSecurity的功能非常的強大，使用它不僅可以完全地保護系統，同時還有助于用戶了解木馬病毒運行的機制，對系統安全內核有更深的了解。如果你希望對系統安全有更深入的了解，不妨好好研究一下這款軟件。