在我瞭解病毒前,
機子裝的是 預裝版 的 Norton 2005
後來,過期了,
聽到有人建議,裝個免費的小紅傘,
這個期間還算不錯,
後來,我又聽到免費的卡巴斯基(Active Virus Shield),
這時,從 台灣的 台大PTT (黑色的BBS),得知了AVPCLUB,
開始在AVPCLUB,上測試樣本,
記得第一次,因為黃金數為0,不能下載附件,
所以,先灌水 引用:
你的黃金數不足,無法下載附件!
後來,就一直在樣本區,下載樣本,如果AVS掃不到,就趕快上報 卡巴,
並且,向新手一樣,貼 引用:
AVS 抓到了!
xxxxx報 xxxxxxx 木馬
而且,有時還笨笨的等卡巴回覆! 引用:
現在想起來,過去的我,有點笨,
又不是在替殺軟公司工作,為何要癡癡地守著電腦,
像一台殺軟公司買的機器人,
抓不到 -> 就上報
後來,聽到 PCZONE 論壇,有人說 AVS 配個 Cyberhawk 不錯,
就去下載個來裝,但是剛開始,還不熟悉,只用預設,沒有修改規則,
而且,非常吃 CPU ,不過我還是忍耐,因為覺得他能保護電腦的安全!
此時,我也在 AVPCLUB 的 HIPS區,發第一篇文章 引用:
Cyberhawk會擋Ad Muncher
http://www.avpclub.ddns.info/discuz/thread-1514-1-5.html
後來,裝久了,實在不喜歡 Cyberhawk 這麼會吃 CPU,
每次跳出詢問框,就一直按允許,感覺沒用!
歷經了 GSS,Arovax Shield...之後, 引用:
在這期間,為了保護電腦,我裝了超多東西的,
反間諜+反廣告+殺軟+(一堆)優化軟件
引用:
就這樣,過了約一個月,我去翻老帖,發現了 冢上野狐 發的帖子
http://www.avpclub.ddns.info/discuz/thread-1229-1-2.html
認真說起來,就是 沒註冊 發的這篇,
啟發我對HIPS 真正要深入瞭解的興趣,
我的HIPS底子,從此時開始打起
EQSecure v3.3 正式版 (3.4 還在 beta 中,不過每個禮拜,更新一次)
剛開始裝,先導入Happyday2版主的規則,先用學習模式,
學了一整天,每一個步驟,就算允許,也要紀錄日誌,因為,我想看看這些程序的行為!
過了幾天之後,開始習慣(當時的EQ 不穩定,容易藍屏),
過了幾個禮拜之後,開始在樣本區測試病毒, 引用:
同一時期,我也看了EQ官網,很多教程,
說實話,只看一兩次,瞭解的還不深,
我是從 問問題 和 實地操作,來學HIPS的!
剛開始測病毒,我還不知道有影子這種東西,就實機測試,
當時有映像,記得,最常出現的,就是改時間的病毒了!
每次測試,(當時病毒非常狠,把時間改到1980之前,所有安軟報廢),
後來上報官方,他們一些人測試,說可以攔截,只是日誌時間被改了,
我還重新測了好多次,EQ都無法攔到 ------> EQ RC3 誕生
改了超多的
以下是當時在論壇的留言 引用:
V3.4 RC1 繁中的穩定版
V3.4 RC2 只有簡體中文完全正常,另2個語言只有小部份BUG,但這影響我的方便性!
V3.4 RC2 (加強版) 不建議使用,在我的電腦不穩定,繁體中文有嚴重BUG!
後來,遇到了 pruba.exe ------------- EQSecure RC4 誕生
http://www.badongo.com/cn/file/3661018
----------------------------
以上都是我的過去,現在開始,
解決 初學者 使用 HIPS 的問題:
1.尋找 具有 較多 中文使用者 支持 的 軟體!
2.尋找 具有 學習模式 和 鎖定模式 的軟體!
3.尋找
有註解 的規則 導入!
4.瞭解 萬用字元(通配符) 的意義,
* 代表 多個字符
? 代表1個字符
----------------------------------------------------
現在開始用HIPS,
因為是剛開始使用,
1.先開啟學習模式,把常用的軟體之行為,給學起來!
在學習當中,遇到路徑差不多的,可以用 * 合成一個規則!
例如:
用msn作例子,msn不是會在他的資料夾下,動到很多資料嗎?
那就用 * 把他那些類似的規則,合成一個
C:\Program Files\Windows Live\Messenger\*
這樣msn就可以動到該資料夾下的所有檔案了!
2.學習的差不多了,開使用 非學習模式,
遇到攔截的pop-up,就到 日誌紀錄 那邊查看,
還可以依照需要,直接在日誌建立規則!
3.因為剛開始HIPS是用來輔助用的,遇到要安裝程式時,請關掉HIPS,
用 防毒軟體 監控!
4.習慣之後,可以使用 鎖定模式,讓其他人來使用這台電腦!
此模式下,所有 詢問的操作,自動改為 阻止,而且沒有 詢問框,
其他人也無法修改內部的規則!
PS:我就是用這個讓家人不知道HIPS的存在的|y11|
5.給個一項認知,你可以給 所有的程序 很大的權限,
只要能 防住 這些程序 被病毒控制 就可以了!
也就是,遇到 修改進程內存 時,代表 子程序 即將被 母程序控制,
只要阻止該操作,病毒母程序,就無法控制那些 系統正常子程序 了!
-------------------------------------------------------
以下給你一些 高等危險 的 AD項目:
1.加載驅動程序 訪問物理內存 直接操作系統內核
透過此操作,可以讓該程序進入系統內核,獲得最高權限!
也就是,和HIPS是同一等級的,除非是信任的程序,否則 請阻止該操作!
2.修改進程內存 和 建立遠程線程
透過此兩操作,母程序 可以獲得 完全控制 子程序 的 權利,
這也是一般木馬最愛用的手法,
例如,有些病毒會利用Explorer.EXE 和 IE 作壞事,最常見-> kavo taso 系列 的 木馬!
所以,除非是信任的程序,否則 請阻止該操作!
3.安裝全局鉤子
透過此操作,木馬可以獲得你的 私人資料(如:帳號,密碼....等),
再利用2的方法,把這些資料傳給別人,
給你一個訊息,防火牆就算跳出詢問框,一般不知情的人 一定點允許,
因為 在連接網路的是 正常程序|y09|
所以,除非是信任的程序,否則 請阻止該操作!
4.底層磁盤操作
一些破壞性的病毒,會透過此操作,格式化你的硬碟,或是直接破壞引導區,
讓你無法正常開機!
所以,除非是信任的程序,否則 請阻止該操作!
5.結束/掛起進程
通常,病毒會透過該操作,結束 防護軟體的進程,使電腦沒有受保護!
所以,除非是信任的程序,否則 請阻止該操作!
6.關畢/重啟系統
這個你應該知道,破壞性病毒 最愛用的!
所以,除非是信任的程序,否則 請阻止該操作!
7.修改系統時間
最常遇到,病毒利用此操作,讓卡巴退出保護!
所以,除非是信任的程序,否則 請阻止該操作!
8.鍵盤記錄
這個你應該知道,盜號木馬 最愛用的!
所以,除非是信任的程序,否則 請阻止該操作!
9.模擬鍵盤鼠標
後門程式,可以利用此操作,經由MSN,傳送 病毒壓縮檔 給別人!
所以,除非是信任的程序,否則 請阻止該操作!
