網上流傳很多破解2008主動防御的帖子,這其實不是因為08的HIPS在技術上有什麼大的漏洞而是因為瑞星考慮程序兼容的一些問題在主動防御默認規則中設置比較寬松,這就給一些軟件/方法結束08防御進程提供了機會,所以在這裡我特別對08的HIPS設置進行一下介紹:
我們可以通過2種方法進入主動防御的設置界面:
1是通過主界面菜單
2是通過系統托盤右鍵菜單
這就是主動防御的組界面在這裡我們就可以對主動防御(一下簡稱HIPS)所有的功能進行設置。
右下角的“主動防御白名單”,應該是大家在測試時期用的最多的一個功能了,但是大家往往都是在爛用這個功能了。因為只要2008的HIPS一出現提示用戶就不管三 七 二十一的全部都加入到了白名單中了,這十分危險和錯誤的。因為在白名單的文件/進程等都不在受HIPS功能的保護,所以在你100%確定你要添加的對象沒有危險之前請慎重使用該名單!
系統加固
系統加固模塊點擊“自定義級別”進入詳細設置!
1系統動作監控
默認設置中2008只選中最後的“修改內核內存數據”,我建議各位把“掛全局鉤子”(有很多測試都說2008對鉤子不是很理想,其實這完全十因為測試用戶設置的問題造成的)和“加載驅動程序”(要安裝或更新驅動請取暫時消該設置)也選擇。出發規則時我們選擇“提示”
在這裡我必須說明二點:
1瑞星2008HIPS的默認設置是最為寬松的設置,它在保護系統安全的最低前提下最大限度的減少HIPS的提示次數,如果用戶對2008提示“過敏”的話,我下面的內容就不要看,因為HIPS本身就是靠和用戶交互操作來達到系統安全的目的。如果你想要一個沒有提示絕對智能的HIPS的話SNS,SSM,EQ,S3和瑞星以及世界上任何一款HIPS都做不到。要真是這樣的話請放棄HIPS回歸Ghost和黑盒流吧!
2出發規則時之所以擇“提示”而不是拒絕,是因為用戶在安裝軟件或某些操作的時候可能會觸發規則直接“拒絕”用戶的操作就無法完成,所以我們選擇“提示”一旦觸發用戶決定下一步的行動。
2注冊表監控
全部選擇當然是安全性能最高的,但是提示數量也是用戶無法接受的,在這裡我只是給出一個我自己認為應該添加的內容,因為2008的說明非常詳細大家到時候可以根據自己的要求設置。
文件關聯:
“INI/文件默認打開方式”和“INI文件關聯”全部選擇,觸發動作:提示
系統配置:
“浏覽器輔助對象”和“引導執行”全部選擇,觸發動作:拒絕(“浏覽器輔助對象”後4個SHELL殼以及引導執行也可以選上,用戶酌情。拿步准又想要安全請把觸發動作設置為“提示”)
IE配置:
如果你使用IE為浏覽器而且又經常被惡意軟件劫持,你最好將IE配置全部選中!觸發動作:拒絕
3關鍵進程保護
系統進程保護:
“EXPLORER*.EXE”全部選擇,觸發動作:提示
4系統文件保護
系統關鍵目錄:
前4項腳本全部選擇,觸發動作:提示
後面的因為對於經常安裝/卸載軟件的用戶經常要寫入這些目錄所以,大家根據自己情況設置。
系統配置文件:
“用戶策略腳本文件”和計算機組策略腳本文件” 全部選擇,觸發動作:拒絕
“SYSTEM.INI文件”和“WIN.INI文件” 觸發動作:提示
應用程序保護
應用程序保護模塊這是對應用程序,尤其是和網絡相關的程序進行保護使用的模塊!這裡我們用QQ做例子這是對應用程序,尤其是和網絡相關的程序進行保護使用的模塊!這裡我們用QQ做例子
添加程序後出現設置界面,默認全是放過用戶要設置成“提示”或“拒絕”差別和上面介紹的一樣。前者有提示後者沒有直接拒絕。如保護的程序是聊天軟件或網絡游戲請把“防模擬發送消息”“防模擬安鍵”“防鍵盤監聽”選上。但是這個模塊還缺少廣泛的游戲驗證所以大家在測試的時候留意一下和自己的游戲是否沖突並上報給瑞星官方。