迈向最终的防御体系--关于安全软件组合的一点简单分析

fuchou-angle

迈向最终的防御体系--关于安全软件组合的一点简单分析
来源:卡饭论坛 作者:zyh6036
一个人就是一支队伍--卡巴斯基全功能安全软件KIS类组合安全套装

巧合如果不出彩，就不称之为巧合了。KIS中文名卡巴斯基全功能安全软件，拼音缩略KB。是不是想到了什么？没错，那个无所不能的KB24。KB是能够直接提升球队档次的妖人，KIS是直接解决防御体系问题的快捷方式。也许2009的KIS还存在分组降权时hips比较粗糙的问题，不过从2010开始KIS的hips细化了很多。加上其本有的扫描（病毒库不错）+启发（基因扫描？我觉得反正是启发，叫什么都无所谓）+虚拟分析技术（sandbox变化的使用方法）+防火墙（中规中矩），hips补强的KIS越来越堪大用。当然，KB不是无所不能的KIS也是，一个人最终不能等同于一支队伍，不过独挡一面，绝对是没有问题的。

类似的组合类安全套装还有很多，不过看起来比较成熟也比较热门的的好像就BitDefender11和McAfee企业版了。不管怎么说，安全套装不存在组件之间打架的问题，但是各个组件之中，总是只有1-2个比较出色，其余的短板怎么补齐，看用户水平了。

杀毒软件加防火墙--经典组合留下安全真空带

这个组合极度经典，比OK组合还要经典。不可否认，在rootkit技术泛滥之前，这个组合几乎可以刀枪不入。但是现在，杀毒软件+纯防火墙的时代已经逐渐过去了。有免杀不是杀毒软件的缺点，因为这个技术毕竟存在，没有过不去的杀软，绕过防火墙似乎单独看也不是难事。但同时绕过两者，确实需要点技术。所以一般恶意程序喜欢绕过一个，然后强行干掉一个。第一个绕过杀软，免杀或者未入库的，很容易，然后开始AntiAV，挂上钩子，unhook防火墙（谁叫你这么纯呢），然后可以干掉这个组合。这里涉及一个敏感话题，杀软的自我保护。我觉得其实没什么大的意思。如果是downloader，当然自保保住了也许还能杀点生成物（比较懒，下载物不做免杀处理的）；如果就是一个单体，你杀不掉它，它杀不杀你就是心情问题，杀不了你照样破坏系统逃之夭夭。

可见，杀毒软件加防火墙的用户，一定要选个自保能力足够强大的墙，阻止downloader的重任，只能交给它了。

以前组合多得可以泛滥，不想介绍，貌似现在纯防火墙越来越少，看来这个安全真空带已经补得差不多了。如今的墙，PCT、OP之流，多多少少带点简单的hips，comodo更是大张旗鼓喧宾夺主，D+使用意义超过了原先的firewall。现在的杀软加墙，还是比较安全的。但是这个墙不纯了，没这么好用了。用户加强点简单的hips思维，可以继续这么使用。至于杀软，个人认为在这种情况下越狠越好。（小红伞之类的，越剽悍越好）

杀毒软件加HIPS--信任程序外连很头痛

使用这个组合的人多半不把杀毒软件当靠山，而以HIPS为主，杀软辅助的居多（不会有人+hips是为了保护杀软不被关闭吧）。HIPS规则足够严密的话，安全是不成问题的，不过软肋在对于新任程序的外联上，有ND的HIPS好得多，不过3DHIPS几乎是无能为力啊。新任程序究竟会不会泄漏你的隐私？QQ、暴风、……谁也不知道。

不过但凡到了这个层次的用户，个人信息一般都会加个密，不习惯加密的，一般不写关键资料在电脑上。病毒和木马已经远离你了，不过，潜伏在身边的软件，谁会是下一个暴风？

杀毒软件加沙盘（或影子系统）--很有型，很无趣

有了沙盘和影子，基本要点就是防泄漏和防穿透，你配个杀软……不说啥了，换换吧！

影子（沙盘）加防火墙--和经典组合类似的问题

墙要强，墙不强就容易漏……墙最好带点HIPS，好防穿。脱离杀毒软件保护意味着你再也无法区分程序的“好坏”了，只能全部看做坏人了。出口的程序防火墙要牢牢把关，上万网多倒沙。唯一怕的情况是把资料重定向倒完沙没有了……真正穿影子和沙盘的样本毕竟是少数，不过还是那句老话，墙的坚固程度决定你是否可能被盗号。这个组合的最大优势，易用性不必经典组合差，安全性还略高。

HIPS加沙盘（影子）

喜欢HIPS，又不喜欢死板规则的人一般会这样用，沙盘主要给判死缓用。因为几乎没有被穿的危险，防泄漏上要多多倚仗HIPS的AD。以前有讨论过HIPS禁运和防火墙防泄漏的文章，不想旧话重提。目的是一样的，方式不同而已。最大缺点就是易用问题，不过既然敢用，相信你已经能弄懂了。

杀毒软件加防火墙以及HIPS（也可能是沙盘，或者就是再加沙盘）

这个组合很好，因为从菜鸟到高手都适用……基本的安软综合症现象，如果不是，就是对技术比较痴迷的人，安全性我都不需要说了，看你能用到什么程度吧。有HIPS的，其余可以放松点，没有HIPS，墙是关键，杀毒软件，就当是垃圾清理工具吧。

用户--安全体系最终拼图

很少有文章专门提及用户的重要性，其实这恰恰是最重要的一环。否则给国防部装个软件组合，找个小学生去坐镇就可以了。用户水平很重要，但不能强求。想提高的可以提高，不想提高的，请把已安装的安全软件使用熟练。换来换去没有意思，因为走马观花换安软的过程中你的水平不会提高，毫无疑问，你还很有可能成为体系的最弱短板。不要求大家都比软件还强大，但至少不要拖安软的后腿吧。