HIPS,沙盒,影子系统,虚拟机有什么区别?谢谢你

1.

HIPS原理的讨论其实很麻烦,不是一两句话就能说清楚的。它HIPS了一种建立在系统驱动层的监控软件,不仅在修改文件时提示你,还包括三个主要模块:注册表保护(RD)、应用程序保护(AD)和文件保护(FD)。完善的3D防护,可以对Windows系统进行全方位的监控和拦截。一般情况下,如果一个程序被HIPS限制死了,那它根本什么都做不了~

但是,有一点需要去掉。HIPS需要用户手动添加规则——所谓的规则就是用户指定的一组规范:应该拦截什么样的行为,应该发布什么样的行为,应该询问什么样的行为。规则的细节让新手用户望而却步,好的规则有赖于规则制定者对Windows操作系统和常用程序底层运行原理的深入理解和掌握,并为每一个不同的系统环境量身定制(没有放之四海而皆准的规则)。这也是臀部高低的原因之一。

你担心的病毒绕过HIPS理论上是有可能的,但目前大多数所谓的“绕过HIPS的病毒”其实问题不在于病毒有多强,而在于被绕过HIPS的主人指定的规则不够好。即使规则已经明确禁止,但真正能绕过HIPS的病毒是非常少的(这里指的是相对知名的HIPS,个人编写的简单HIPS可能会因为漏洞和缺陷而被绕过)。

2.

你说的这些软件:

BufferZone抱歉我无知。我没听说过。我大概在网上扫了一眼。可能是兼具拦截功能和沙盒功能的东西,定位不明确。

DefenceWall是一个严重的臀部。不清楚是否有沙盒功能。我从来没用过。

安全空间和沙盒是纯粹的沙盒。

HIPS和沙盒没有隶属关系。如果有联系的话,那就是它们都是一种安全软件...

但是现在很多HIPS软件都加入了沙盒功能~这也是一个补充~毕竟HIPS是病毒运行后才能被拦截的,所以为了避免规则疏漏或者出于一种洁癖,加入了沙盒作为补充。

我知道的著名hip有COMODO,EQ,MalwareDefender,中网s3,还有上面说的DefenceWall。

3.

沙盒类似影子,但本质上不同于虚拟机。

在沙盒和影子中,所有的操作都是在本地系统中进行的,只不过沙盒和影子会记录所有的操作,在特定的时间点(沙盒是倒沙,影子是重启),这些操作都会被取消到之前记录的某个时间点。所以影子系统也叫多点恢复软件(对应的单点恢复软件包括著名的Ghost recovery)。沙盒和影子的实现,其实只是通过加载相关驱动,也就是说,一个驱动穿透沙盒和影子保护并不难。

虚拟机类似于计算机模拟器(虚拟机和模拟器是有区别的)。它实际上是通过软件手段在你的真实电脑系统中制造了一台假电脑。这台电脑有一个完美的硬件系统——中央处理器、内存、硬盘、显卡和声卡...真实电脑里的虚拟机里总有东西。而且它是如此真实,以至于你需要在虚拟机中安装另一个系统——而不是使用你真实的系统。就像如来的手掌。病毒再怎么折腾,底层再怎么折腾,你在这个虚拟的环境里也是在底层折腾,但是对于现实系统来说,你什么都不是~ ~

当然,这并不意味着虚拟机是绝对安全的。穿透虚拟机的病毒依然存在,但绝不比穿透影子或沙盒的病毒。穿透虚拟机所需的技术含量有了几何级的提升。

如果你看过《黑客帝国》这部电影,可以在这里思考一下(如果你没看过或者对这部电影不感兴趣,可以跳过这一段,但是《黑客帝国》确实是对虚拟机概念非常直观的诠释):其实不了解计算机尤其是虚拟机的人很难理解《黑客帝国》的核心东西。其实黑客帝国至少是一个四重世界(电影里只看到两个,另外两个是推断出来的)——最上层是男主角Neo可以满天飞的世界,谁都看得出来这是一个虚拟机,而Neo作为一个病毒,在虚拟系统里获得了特权(可以满天飞,贼可以打~)。运行这个虚拟机的是锡安,很多观众认为是“现实世界”。但从Neo杀死锡安“大章鱼”的能力来看,其实是在电脑里。这些虚拟机中的病毒穿透虚拟机,来到运行虚拟机的系统,再次获得权限。然而,三部《黑客帝国》电影的结局却出人意料。那个疑似“上帝”的家伙说,Neo已经不是第一次这么做了,大家都以为是“真实世界”的锡安已经被杀了好几次,每次都是用类似重做系统的方式还原的。我们知道,一个承担如此重任的计算机系统(安装下一个世界的系统...)不能随便重做。唯一的解释就是锡安不仅还在电脑里,而且还是个虚拟机!那么后两个世界就很容易推理了,需要一台真实的计算机来运行虚拟机Zion,并且在这台真实的计算机之外还有一个真实的“真实世界”。所以我强烈推荐,如果你有兴趣,可以用虚拟机的概念再看一遍《黑客帝国》。

比较常见的虚拟机有VMware(多平台支持,功能强大,但是占用资源多,收费高)、Virtual PC(功能好,物理机必须是Windows系统,所以虚拟机里装什么都是可选的)、Virtual Box(多平台支持,开源免费,占用资源少,运行频繁,但是功能不强)。

模拟器和虚拟机在设计思路上是相似的,但不同的是虚拟机采用了虚拟化技术(简而言之,虚拟机使用的一些硬件其实就是你的物理机的硬件,只是被虚拟机用一种特殊的技术手段进行了处理)。具体技术细节太深,我也不是很懂。)模拟器使用程序代码完整的编写所有硬件——所以纯软件模拟器的运行速度要慢很多,但是一些小型模拟器非常适合测试一些小型系统,Bochs就是一个很好的模拟器。

不知不觉说了这么多...刚想起来这么多~还有什么需要问的就说吧~ ~