EQSecure(E盾)是系统安全防火墙,是一款国产的具有真正3D功能的HIPS。也就是我们所说的主机防御系统。那么关于主机防御系统(HIPS)再简单的给大家介绍一些:
所谓hips(主机入侵防御体系),也就是现在大家所说的系统防火墙,它有别于传统意义上的网络防火墙nips.二者虽然都是防火墙,但是在功能上其实还是有很大差别的:传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上,通过特定的tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端,在不联网的情况下是没有什么用处的;而hips系统防火墙就是限制诸如a进程调用b进程,或者禁止更改或者添加注册表文件--打个比方说,也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源,这个行为就会被hips检测到然后弹出警告询问用户是否允许运行,用户根据自己的经验来判断该行为是否正确安全,是则放行允许运行,否就不使之运行,一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行,这样对于个人用户来说,中毒插马的可能性就基本上很低很低了. 但是,只是装上个hips也不是最安全的,毕竟--用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的,所以,选用一款功能强大而小巧的防火墙也是很重要的--起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)! 上面是对hips和防火墙作个区别,因为杀软和这两类软件差别比较大,就不拿到这里来说了,
我们个人用的HIPS可以分为3D: AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
常用的HIPS软件有:国外的SNS(Safe'n'Sec Personal)--AD+FD+RD,SSM(System Safety Monitor),PG(ProcessGuard和Port Explorer)--AD+RD,GSS(Ghost Security Suite)--AD+RD,SS(SafeSystem 2006)--FD.
概括来讲,我们可以把个人平时使用的hips看做是一款监视文件、注册表、系统行为的软件。但个人认为hips不能叫做防火墙,充其量也只能作为系统防火墙。因为它没有办法阻挡来自网络上对个人电脑、主机的攻击。
下面进入正题开始进入EQSecure(E盾)介绍:
默认主界面清新简洁,分为系统保护和综合两部分。从主页面我们可以看到EQSecure(E盾)的三大基本功能,即3D:AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。另外还有一些辅助功能:模式切换(支持自定义模式,一会介绍)、查看日志(为懒人设计,可以直接到安装路径下的log文件夹内自己查看)、进程管理器。还有软件本身的设置。
1、软件的基本设置,这点不多说,自己研究去,都是傻瓜式的操作。除了在密码设置处、快捷键处需要自己设置外,其余的采用默认即可。(喜欢自己玩的朋友除外,不过一定要考虑安全因素)
2、系统保护
a、保护模式
EQSecure(E盾)的保护模式提供了自定义功能。也就是在程序所给出的保护类型中,可以自由定义各种操作。对于该功能我个人的意见是有点罗嗦,一般情况下,很少有人去改动程序对模式下保护类型去改动,通常都是用同一个模式一直下去,直到有一天发现自己的设置存在问题,才会修改。而不会去选择先设置好一套自己的模式留做备用,这都是使用的常识性问题,在这里并非说EQSecure(E盾)的该功能是无用。
b、应用程序保护——AD(Application Defend)--应用程序防御体系
应用程序保护,也就是AD(Application Defend)--应用程序防御体系,它的主要功能是监视应用程序的运行,阻止并询问,默认状态下的规则是询问并允许,大家如有需要,可以自行更改规则设置。我们先进入应用程序保护的设置,IE缓存的规则是允许了IE临时文件夹内所有文件的运行,这点是为了让我们正常上网,呵呵,如果禁止了,估计在浏览网页的时候,你所有的时间都会花在点击程序弹出的询问窗口上了。默认组内是所有经过询问并得到允许的程序。同时,我们还可以对默认组内的程序进行规则的再编辑。这个功能还是很不错的,傻瓜式的操作,很适合新手。同时,还可以自定义组和自由添加允许的程序和目录。对于文件保护功能就说这么多,其余的留给大家自己去研究吧。
c、注册表保护
EQSecure(E盾)的注册表保护功能是通过监视注册表的一些关键位置的写入操作来达到保护的目的的。在设置中,同样允许了用户自由的编辑规则。注册表中主要监视了系统自运行、winlogon、IE浏览器、系统设置、文件关联五项。系统自运行是监视注册表中比较常见的木马、病毒的“常驻”键位,如:*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run等等。winlogon则是监视了系统登陆的加载程序在注册表中的写入操作。IE浏览器则是监视了IE在注册表中的起始页、主页、加载项、默认搜索、隐藏搜索等等,具体键位就不写了,太麻烦,大家自己去看吧 系统设置在默认状态下同样是采用了监视系统中木马、病毒喜欢的位置来达到保护的目的,比如应用软件和系统的交流接口(winsock2)、TCP/IP协议、防火墙、系统升级程序等等,具体键位略过。 文件关联就不多说了,大家都知道木马、病毒修改了文件关联的后果是什么样的,呵呵~~随便打开某一程序,然后木马启动......
d、文件保护
该功能是针对规则中保护内容里文件的更改写入的监视。通过阻止、询问、允许的方式来达到保护的目的。
防止恶意修改来达到让用户访问某个url、IP的。
监视C:\WINDOWS下所有.exe文件的写入修改操作
监视所有盘下自运行病毒类的程序写入。
监视系统安装目录下的所有文件写入修改操作。
监视系统安装目录下system32文件夹内的所有.exe文件的写入修改操作。
在该功能下,同样提供给了用户很大的自由编辑规则的空间。
e、任务管理器
保护模式下的三大功能基本说完了,如果有什么遗缺还请大家补充。现在回头说下EQSecure(E盾)提供的任务管理器功能。该功能提供了比系统自带任务管理器更为直观便捷的操作界面和功能,同时还提供了查找模块和句柄的功能。来辅助进程分析。不过个人感觉这个功能相比起process explorer这款专业进程分析工具来说显的有些鸡肋了,用常识来说,一般的小菜不会用查找句柄这样的功能来分析进程,而会用这个功能分析进程的高手都通常会使用专业的工具。
建议:
1、EQSecure(E盾)自带任务管理器无法结束进程的bug修正(希望最好是个人电脑的问题:)
2、EQSecure(E盾)自带任务管理器的查找句柄和模块功能要么将其丰富要么将其去掉,不要给人一种鸡肋的感觉。
3、3D中的默认安装后的规则我就不做评价了,虽然有个别不太合理,但是我相信EQSecure(E盾)可以越做越好。
4、和vista系统的兼容性,因为我没有条件测试,官方网站也没有给出,所以这还是个疑问。
综述:
总体来说,EQSecure(E盾)还是一款比较优秀的hips软件。而且是国产的,更重要的是它免费哦。呵呵,hips的主要功能是“御敌于千里之外”。这和传统杀软是本质上的区别。有人说hips会取代杀软,我想这根本是两个概念,不可混淆一谈。一款hips的好坏在于它默认规则的设置,而一个人水平的高低则看他使用时候对规则的自定义。在这里对EQSecure(E盾)的自定义规则我没有一一进行设置,不过衷心的希望有高手可以把规则导出供大家借鉴参考。同时也希望国产软件越做越好。
【现有评论1条,我也说两句】
