HIPS冰盾之高级模板使用教程

迅恒数据中心 2024-12-11

HIPS在很多时候有大用，不仅仅在于安全领域。
在单步主防早已落寞的年代竟然出现了冰盾，用后才知道它有多牛逼，不仅仅体现在它的拦截点，更多的是规则编写方式又强大又简单又专业，我称之为神级一点不为过。

冰盾这个软件内置了很多规则模板，可以很方便的添加规则，没有任何一个软件比它方便，这里只介绍它的高级模板功能，里面包含了它所有的监控点。

1、高级模板在哪里，如下图（没特殊需求不建议用内核模式，只拦截且不记录）

2、如下图，分别是进程防御、文件防御、注册表防御、网络防御、系统防御（也由进程防御开关控制）、增强防御的监控点。

3、以拦截加载驱动的规则举例（以前我也蛮喜欢卡巴的HIPS，但从x64系统开始，卡巴就没有拦截加驱的功能了，病毒加驱后无法无天）。
如下图，分别点击123便形成一条规则，代表D:\Test目录下面的所有exe文件加载驱动都会被拦截。
注意【操作者进程路径】和【实际操作者进程路径】的区别，编辑规则时通常用前者，因为像加载驱动的操作通常都是程序通过服务管理器加载，实际操作者是系统进程services.exe

4、程序员才清楚的&和||。
"&"代表条件同时成立规则才生效，如这条规则表示D:\Test目录下面的程序试图修改Windows目录下面的文件就会被拦截，但却可以修改其它地方的文件。

"||"代表条件成立其中一个就会生效，如这条规则表示Test或者Test2目录下的程序修改Windows目录下面的文件就会被拦截。

5、如果你非常了解API，那么可以设定详细的参数，如下图，表示程序跨进程发送了ID为10000的消息时就会被拦截，其它消息不会，强大得离谱。

上面就是原理，理解了就掌控得差不多了。

特殊说明：
1、除了增强防御以外，其它的都是内核层上的监控。增强防御是用户层Hook，它会在新程序启动的时候插入其进程中，所以如果某进程已经运行你再开增强防御，那么将对这个进程不起作用。

2、冰盾在进程保护上的设计是在打开别的进程(OpenProcess)和线程(OpenThread)的时候就拦截，这个理念比较好，以往的HIPS都是只拦截结束进程之类的，就会出现更多的恶意方式规避。

3、注册表监控点比别的软件多，比如很多HIPS无法拦截从hiv文件恢复注册表，冰盾虽然没有专门的这个保护点，但是它可以禁止打开注册表键(OpenRegKey)即阻止了此操作。

分类：安全公告百度收录必应收录

本文地址： http://www.piis.cn/anquan/2492.html

文章来源：网络小编D