HIPS被干掉的几率大吗?
大家都知道杀毒软件容易被病毒干掉,那HIPS会不会也有同样的问题?
这里讨论的是在正常系统中中毒的情况,比如从网上下载程序,或者从别人的U盘上拷东西,激活了病毒,病毒向HIPS发起攻击。而不是那种在DOS或者WINPE中被删除重要文件而导致HIPS无法启动的情况。这些情况已经是在另外的系统中了,想想看连格式化都可以了,没什么讨论的意义。
基于此,我对HIPS自身安全有两点疑惑:
1、HIPS有没有对文件的实质进行检验?比如病毒用自身替换掉系统内的文件,而这个文件是被HIPS允许甚至是给予全部信任的(像“冰刃”等系统工具,还有Office这些常用软件)。如果HIPS并没有检查文件的大小或者其他方面,那也许就给了病毒可趁之机…… (我们是不是应该给这些重要程序加个只能读不能写的规则?)
2、病毒和HIPS争夺权限。影子系统和很多还原卡都会加载自己的驱动程序,而这个驱动是用系统内核加载的(参见《关于影子系统原理很强悍的文章》),但是机器狗病毒用自己释放的文件替代了驱动,穿透了还原系统。那么,病毒是在什么时候替换文件的?冰刃之类的内核级工具可以在当前文件被使用的情况下强行用另外一个文件将其替换(从而是病毒无力化),说明这种技术是存在的。那HIPS自身进程会不会也能被替换?当然,在布置好HIPS的情况下,由于FD的阻挡,病毒要想加载驱动是很困难的,不加载驱动又很难取得系统更高级的权限,所以无法攻破HIPS,以我现在的知识,只能这般猜测。在此非常渴望老鸟和达人不惜赐教。
另外,被病毒感染之后,HIPS还有没有意义,有没有自己的生存空间?可以想象,当病毒先于HIPS掌控这个计算机的时候,要想加载系统工具的驱动程序也是及其困难的。
