试论hips 沙盘和影子的区别
Tags:
hips 沙盘 影子
三种安全软件的理念不同:
hips是通过对所有进程的可能有害行为的提示达到保护的目的的。
沙盘是通过隔离沙盘内进程与沙盘外进程,从而保证沙盘外进程及其它数据安全来达到防护目的的。
而影子则是重启后系统还原达到安全目的的。
首先假设这三种软件在防护上都不存在漏洞,并且不存在发送隐私数据的危险。那么这三种软件分别单独使用的安全程度是相同的,当然前提是使用者要会用。不要以为hips监控全局就安全,沙盘监视部分就不安全,因为沙盘的理念就是在干净系统上只要把住安全之门就可以了。可能的威胁与其它正常程序已被隔离,正常程序还有监控的必要吗?大家用hips+沙盘,主要原因不外乎:1.变态的安全心理2.不会正确使用沙盘3.怕沙盘有漏。第三种情况实际和我们同时使用两个hips或更多想法一样,都是基于各个hips在监控上各有所长或各有漏洞的考虑。
实际沙盘确有一点漏洞,即对沙盘内的进程不提供保护。这样沙盘内的病毒可能破坏沙盘内的进程,当然破坏了进程,不等于破坏程序,倒沙后程序照样复原。但沙盘内进程的密码极可能被沙盘内的恶意程序盗窃。不过这一点违背我的假设前提。这一点影子也是一样。所以如果说从防刺探考虑,沙盘和影子都要加个hips。
但实际三者最终的安全效果,很大部分与操作者有关。而对于操作者的依赖,hips为甚。如果操作不当,再强的hips也没有用。沙盘次之,影子最下。所以考虑人的因素,安全性最高的当属影子。注:沙盘的不当操作主要指一股脑地把很多程序都扔进沙盘。要不沙盘易用性略等于影子了。
另外也与操作者是否信任有关。影子与操作者是否信任一个程序无关,而沙盘全在乎信任与不信任,hips虽然表面上看来全部提示,但实际也取决于操作者是否信任。沙盘和hips信任错了,就可能无法挽回,比如加载驱动。但影子不受此限。
说了半天,自己也晕。
梳理一下
防护理念:
hips 所有程序
沙盘 可能有害的程序
影子或虚拟机 所有数据
安全性:
hips 取决于人
沙盘 半取决于人
影子 不用人的干预
虚拟机 不用人的干预
打个不恰当地比方:
hips 是民警,社会上鱼龙混杂
沙盘 是狱警,监狱外全是良民
影子和虚拟机是天地轮回
不过影子是地神
而虚拟机是天神
地上的东西可能受地上东西的诱惑而腐化蜕变
天上的东西一般不会
补:窃取隐私是影子和沙盘的气门,但沙盘也正在想办法,比如加入键盘存取的询问,比如限制联网程序等。但估计都不能很好解决问题,因为恶意程序可能通过欺骗或篡改的手段,使沙盘内的其它程序窃取隐私发送数据
另补:eq沙盘不在此列,因为 一 它还未问世,具体细节还在实现之中;二 它的ad可以更细腻。
[ 本帖最后由 sxingbai 于 2008-2-22 11:13 编辑 ]
