论HIPS、沙盘和影子的区别 三种技术的不同理念 hips是通过对所有进程的可能有害行为的提示达到保护的目的。 沙盘是通过隔离沙盘内进程与沙盘外进程,从而保证沙盘外进程及其它数据安全来达到防护目的。 而影子则是重启后系统还原达到安全目的。 首先假设这三种软件在防护上都不存在漏洞,并且不存在发送隐私数据的危险。那么这三种软件分别单独使用的安全程度是相同的,当然前提是使用者要会用。不要以为hips监控全局就安全,沙盘监视部分就不安全,因为沙盘的理念就是在干净系统上只要把住安全之门就可以了。可能的威胁与其它正常程序已被隔离,正常程序还有监控的必要吗?大家用hips+沙盘,主要原因不外乎:1.变态的安全心理2.不会正确使用沙盘3.怕沙盘有漏。第三种情况实际和我们同时使用两个hips或更多想法一样,都是基于各个hips在监控上各有所长或各有漏洞的考虑。 实际沙盘确有一点漏洞,即对沙盘内的进程不提供保护。这样沙盘内的病毒可能破坏沙盘内的进程,当然破坏了进程,不等于破坏程序,倒沙后程序照样复原。但沙盘内进程的密码极可能被沙盘内的恶意程序盗窃。不过这一点违背我的假设前提。这一点影子也是一样。所以如果说从防刺探考虑,沙盘和影子都要加个hips。 但实际三者最终的安xx果,很大部分与操作者有关。而对于操作者的依赖,hips为甚。如果操作不当,再强的hips也没有用。沙盘次之,影子最下。所以考虑人的因素,安全性{zg}的当属影子。注:沙盘的不当操作主要指一股脑地把很多程序都扔进沙盘。要不沙盘易用性略等于影子了。 另外也与操作者是否信任有关。影子与操作者是否信任一个程序无关,而沙盘全在乎信任与不信任,hips虽然表面上看来全部提示,但实际也取决于操作者是否信任。沙盘和hips信任错了,就可能无法挽回,比如加载驱动。但影子不受此限。 梳理一下概念 说了半天,自己也晕。 梳理一下 防护理念: hips 所有程序 沙盘 可能有害的程序 影子或虚拟机 所有数据 安全性: hips 取决于人 沙盘 半取决于人 影子 不用人的干预 虚拟机 不用人的干预 打个不恰当地比方: hips 是民警,社会上鱼龙混杂 沙盘 是狱警,监狱外全是良民 影子和虚拟机是天地轮回 不过影子是地神 而虚拟机是天神 地上的东西可能受地上东西的诱惑而腐化蜕变 天上的东西一般不会 补:窃取隐私是影子和沙盘的气门,但沙盘也正在想办法,比如加入键盘存取的询问,比如限制联网程序等。但估计都不能很好解决问题,因为恶意程序可能通过欺骗或篡改的手段,使沙盘内的其它程序窃取隐私发送数据 另补:eq沙盘不在此列,因为 一、它还未问世,具体细节还在实现之中;二、它的ad可以更细腻。
本篇文章来源于 新世纪网安基地 () 原文出处: |