TOM2000

在FD测试中实在令我抓狂，于是转到RD测试项目。其实测试非常简单主要使用xyzreg编写的BypassRegMon对2008的注册表监控进行测试，这个测试原理是先在资源中写好一个可供导入的注册表配置文件，调用regedit将hiv文件的内容转储到runkey的上层目录然后改回到真正的启动项去。但是瑞星似乎只能防御常规方法B...

做完这个测试之后，我突然想到一句禅语“顿悟之前，劈柴挑水；顿悟之后，挑水劈柴。”

我一直在说安全软件集成的HIPS和单体HIPS是不同的，但是我们的“测试”是否是在用“用户”的力量正在把瑞星2008推向HIPS误区中呢？

长期以来困扰安全软件的一个问题就是，病毒破坏安全软件本身进程和文件后达到感染的目的。HIPS的出现刚好解决安全软件面临的这个难题，所以很多安全厂商都在自己的产品中引入HIPS机制，但是HIPS本身的一些缺陷又成了安全厂商新的困扰。首先就是兼容性的问题，不用说其它软件但是微软操作系统中的内核保护以及VISTA中新的安全机制的引入这些对HIPS的兼容稳定性都构成巨大的挑战。再次就易用性的问题，编写思想在超前，内部规则在强大的HIPS在更多的时候还是要靠提示框跟用户进行交互操作来达到保护系统的目的。这就必须要求使用者对计算机知识有相当程度的了解，否则看不明白这些提示HIPS还是起不到效果。但是有多少用户能看懂这些提示？就算能能看懂在多如牛毛的提示中有几个人能避免非技术上误操作？所以在安装HIPS的用户中更多的人把HIPS设置成“学习模式”其实这样还不如卸载HIPS.....

但是安全软件要面对的就是最普通的用户，他们不会因为你一个什么HIPS而去深入的学习枯燥的计算机知识，所以安全厂商就必须在HIPS实用性上和易用性稳定行之间做取舍。最后妥协的办法就是安全软件集成的HIPS不会象单体HIPS那样对整个系统进行保护，而是在保护安全软件自身的情况下最大限度对系统关键部分进行保护。

但是即便是这样，对于用户来说HIPS还是“太复杂了”以往版本中的瑞星详细设置就没有多少用户可以根据自己的要求进行设置，而新HIPS引入则更让用户“望而兴叹”。而且从目前测试论坛反映的情况来看排除BUG和界面因素，更多用户表现出来还是对HIPS的不适应。

写这篇帖子我用了很长的时间，因为着之中有太多的矛盾。安全软件需要HIPS，但是HIPS不是一般用户“玩”，而安全软件又要面对最普通的一般用户...解决矛盾只有妥协，但是妥协的答案在“瑞星2008实战小浩病毒”一文中就有了,这不仅仅是瑞星的答案也是所有有HIPS功能的软件的答案！我唯一希望就是但愿瑞星2008能寻找到一个“完美”平衡点！





[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

【回复“博导”的帖子】
特征？DNA查杀？启发？而且我没有理解错，你说的产品使用的是黑盒技术而不是HIPS。

我给你说一个实际的例子，在今年早些时候我的亲身感受。当时我遇到一台2003服务器，安装的是mcafee8.5这款较早拥有HIPS功能的产品，在感染“帕虫”（当然当时这个是未知病毒）后HIPS机制启动，mcafee和关键进程被保护但是服务器还是挂掉......

用户，厂商都在追求，在“清净安全”的境界，但是在可以预见的相当长的时间内这都仅仅只是希望！

很简单反安全人士面对都是以知。以知的技术，以知的产品，以知的病毒库...要做的就是用各种方法去超越这些！而安全厂商面对则是未知，分分秒秒去应对未知，把老的未知变成新的以知，时刻应对新的未知。如此往复...这不是很像那句禅语吗？