EQSysSecure

EQSecure 是一款Hips類型的軟體，此類軟體可以通過編制相應的規則來實現對系統各類操作的自由控制，對經過允許的程式和對計算機的各類操作方可執行；對未經允許的程式和對計算機的各類操作不能執行，從而阻止各種有害程式的入侵和運行，達到對計算機系統保護的目的。其與防毒程式的不同在於：防毒程式是通過對已知病毒的查殺來起到保護作用，對新出現的未知病毒沒有作用，具有滯後性；而Hips類軟體是通過對程式操作動作的控制來實現防護作用，不依賴於病毒庫，可以預防未知的病毒等各種有害程式。尤其在各種木馬程式、流氓程式盛行的今天，傳統防毒軟體顯得蒼白無力，Hips類軟體的防護作用就越來越突出。

EQSysSecure

EQSecure 正是這類軟體中功能突出的一款國產軟體。目前包括應用程式控制、註冊表控制和檔案控制三個方面。應用程式控制包括應用程式的執行、庫檔案載入、驅動程式載入、物理記憶體訪問、物理磁碟訪問、服務安裝等12個方面的控制，可見控制非常細緻；註冊表控制包括對註冊表項及值的修改（新建）、刪除的控制；檔案控制包括對檔案及資料夾的創建、打開、修改、刪除的控制，控制非常全面。

一個病毒想要達到入侵併運行的目的，首先要能將自身檔案複製到計算機的硬碟上，其次要通過寫註冊表等方式實現自動運行，並且在運行時不會受到攔截，其中只要有一個環節不成功，病毒就不能得逞。而EQSecure 的防護是三個環節同時進行的，是三位一體的立體式防護，從理論上講，只要規則設定得夠全面、嚴密，就可以防止一切已知或未知病毒的入侵。

不僅如此，EQSecure 還加入了沙盤的功能，通過開闢一塊兒虛擬空間，使可疑程式對計算機系統的操作只在虛擬的空間裡進行，保證程式正常運行的同時，避免實機系統受到病毒破壞。HIPS與沙盤的有機結合，使在安全性和易用性上都提升了一個台階，這在世界上也是一個首創。

EQSecure開始是免費的HIPS，在推廣主動防禦軟體方面起到極其重要作用，可以說沒有eq堅實的技術基礎，就沒有智慧型hips的誕生。但在HIPS還沒有成熟到可以大規模商業化的地步，軟體製作方開始實行收費政策，結果造成大量用戶流失，開發停滯不前。如今的EQSecure，bug解決不掉，WIN7也不支持，軟體作者已放棄升級開發，這款純HIPS老軟體處境艱難。

HIPS,全稱是Host Intrusion Prevent System ，翻譯過來是主機入侵防禦系統。

我們個人用的HIPS可以分為3D：AD(Application Defend)--應用程式防禦體系、RD(Registry Defend)註冊表防禦體系、FD(File Defend)檔案防禦體系。

它和防毒軟體，殺木馬軟體，殺流氓軟體一樣，都是保護系統安全的。和其它軟體不同的是，它不是先中後殺，而是防患於未然。打個比方，其它安全軟體是藥物，HIPS就是疫苗。和人類使用的疫苗不同的是，它不針對某一種具體的疾病，而是免疫各種各樣的疾病。（要是有用於人體的這種疫苗就好了。）用好HIPS，基本上就和病毒（包括各種惡意軟體）說拜拜了。更難得的是，它對待病毒一視同仁，沒有已知未知之說。這一點是殺軟萬萬不及的。

在它的保護下，作業系統對你不再是個黑匣子，運行的每一個程式，創建的每一個檔案，你都是清清楚楚，明明白白的。都是你信任的。病毒最大的特點是什麼？是它的隱蔽性。凡是罪惡的勾當，都是偷偷摸摸的。一旦暴露在光天化日之下，還能有什麼戲唱？

再來個比喻吧：沒有裝HIPS的電腦，如同無人把守的院子，任何人都可以隨便出入（當然壞蛋也不例外），安全也就談不上了。裝個HIPS，就像請了個盡職盡責的人給你看門，你告訴他，這是我老婆，這是我兒子，這是我朋友，你要放行，其餘的一律報告或阻止。這樣，壞蛋想進入你家就困難了。你也許會說，殺軟不是也有實時監控嗎？不錯，殺軟是有實時監控，但它只檢查進來的人有沒有犯罪記錄。這顯然是不行的。即使有人帶著刀來殺你，它也不會管的，因為它不認識。它的病毒庫里沒有。

EQSecure制定規則靈活方便，只要掌握方法，任何人都能輕輕鬆鬆DIY各種各樣需要的規則。方法主要有4種：詢問框、日誌、學習模式、手動編輯。學習模式方便，但會生成冗餘規則，因為不能自動添加通配符。詢問框、日誌創建規則更有針對性。手動編輯最難但又是基本功，要想真正用好EQSecure，必須掌握，下面予以重點講解。

hips的工作原理

Hips中FD的作用就是監控系統對任何檔案的讀取，修改，創建，刪除操作；AD監控程式運行，載入，訪問物理記憶體，操作底層磁碟，鍵盤記錄等等的關鍵操作；RD監控對註冊表的操作。

假設有病毒入侵電腦：

1 病毒首先會在硬碟上建立病毒實體，這時候就會觸發FD的“創建”規則

2 接著讀取病毒體，觸發FD的“讀取”規則

3 接著運行病毒體，觸發AD的各項規則

4 如果是感染型病毒，在運行過程中還會修改硬碟的檔案，例如感染exe檔案，觸發FD的“修改”規則；如果是破壞型病毒，運行過程中還會刪除硬碟的檔案，例如刪除exe，gho等檔案，觸發FD的“刪除”規則

5 接著病毒通常會修改註冊表來達到自啟動或破壞的目的，此時會觸發RD規則；如果病毒連線網路的話，就會觸發ND規則（也就是防火牆規則，這就在EQSecure範圍之外了）。

從上面可以看到，重要性由高到低的排列：FD的“創建”> FD的“讀取”> AD > FD的“修改，刪除”> ND > RD。前三項是最為重要的，因為關係到病毒能否成功運行，後面的只是病毒運行之後的補救措施而已。

每次觸發規則，hips就會從規則庫裡面查找，如果裡面已經有對該操作的規則，就按規則辦；沒有的話，就會詢問使用者。從性能來講，觸發得越頻繁，匹配的規則越多，導致的性能越低下。對觸發頻繁程度由高到低的排列：FD的“讀取”> RD > FD的“修改”> AD > FD的“刪除”> FD的“創建” 。（本排列是在本機的eq上添加監視規則，統計日誌得出的。）

要寫出高效的規則，必先了解所用的hips對規則的處理方法。以EQSecure為例，它的規則分3個組。組間優先權從高到低的排列：“黑名單”>“應用程式規則”> “所有程式規則”。在“黑名單”和“所有程式規則”兩個組之中，同組的規則是優先權是從上到下排列。“應用程式規則”是按程式的進程查找匹配，同組的規則沒有優先權之分。

根據以上排列，我們就可以通過調整規則，達到安全性和性能的平衡。將對性能影響很大，但安全性影響不大的規則儘量簡化；將對性能影響不大，但安全性影響很大的規則儘量詳細。

規則與進程的定義

規則其實很簡單，說穿了，一條規則就是一句話：誰能（不能）對誰怎么樣。用語言學術語說就是“主語+謂詞+賓語”，用EQSecure術語就是“父進程+攔截操作+子進程”。所以明白了什麼是父子進程以及怎樣添加父子進程，規則就算掌握了大半。

雙擊某個圖示或點擊某個按紐，程式就運行了；用迅雷下載一個東西，硬碟上就多了一個檔案。人們通常不去深究其中的奧秘。其實，任何程式都不會自己運行，檔案也不會平空出現，背後總有程式在操縱它。那個躲在幕後的神秘程式就是父進程，能夠看到、感覺到的東西就是子進程。當手動打開一個程式時，由於一般是在資源管理器中操作，所以就是“資源管理器”（explorer.exe）運行了“某一個程式”；在IE中右擊某個連結，再點“使用迅雷下載”，IE就會啟動迅雷，這時，IE就是父進程，迅雷就是子進程。

在RD中，如果某個程式操作了某個註冊表鍵值，則“某程式”就是父進程，某“註冊表鍵值”就是子進程。同理，在FD中某程式操作了某檔案，則前者為父進程，後者為子進程。例如，用winrar解壓檔案，winrar就是父進程，解壓出的檔案就是子進程。

在EQSecure的規則體系中，“所有程式規則”即對所有的程式都起作用的規則。比如你在這裡添加一個程式，運行設為“阻止”，那么所有的程式都無法運行該程式；在這裡設定一個檔案禁止被刪除，那么所有的程式都無法刪除該檔案；“應用程式規則”就是為具體的應用程式，如瀏覽器、聊天工具、下載工具、看圖程式等等設定的規則，規定它們可以進行哪些操作，不可以進行哪些操作。“高優先規則”和“所有程式規則”一樣，對所有的程式都起作用，但是優先權最高（優先權下面再說）。

分布如下：“所有程式規則”和“高優先規則”里全部為子進程（父進程為任意程式） ，“應用程式規則”中既有父進程，又有子進程（但是可以不設子進程，此時子進程為所有對象）。 父、子進程在視覺上很容易區分：呈樹狀結構，父進程比組名縮進一格，子進程比父進程縮進一格。

“所有程式規則”對任何程式都起作用，如果有些程式，我們不想讓“所有程式規則”對它起作用，有沒有辦法呢？只需在“其它設定”裡面不選中“搜尋所有程式規則”即可。這個選項的意思是把“所有程式規則”中的子進程作為自己的子進程。 為了保證“所有程式規則”名副其實，這個地方默認選中。所以，如果不作專門設定，一個父進程的子進程包括兩個部分：“應用程式規則”中該父進程下的子進程和“所有程式規則”中的全部子進程。

規則編寫

編寫規則大致存在以下兩種思路：1，允許所有“安全的”執行，其餘全部阻止。2，阻止所有“危險的”執行，其餘全部放行。

這兩種思路代表不同的安全性和性能。基於正常電腦裡面的檔案“安全的”比“危險的”要多這個理論。要允許所有“安全的”比 阻止所有“危險的”所需要的規則多。"1"性能就自然低下，但也相對安全；"2"相反。

編寫規則的原則以下：

原則1：儘量把“允許”的規則寫在前，“拒絕”的規則寫在後。因為在大部分時間都是運行正常程式，這可以減少匹配時間。可能觸發的越頻繁的規則寫在前，冷門的規則在後。將系統進程規則，防毒軟體規則在前，普通套用軟體規則在後。使用通配符會增加規則匹配的時間，但同時會減少規則的數目，是一把雙刃劍。

原則2：能在“應用程式規則”寫的規則，儘量在這裡寫。因為這裡是直接匹配進程的，效率較高。但過多也不好，能概括的儘量概括。建議不要選上“MD5校驗程式檔案”和“搜尋所有程式”這兩個參數。

原則3：FD的“讀取”規則放在最前，而且規則數越少越好。因為FD的“讀取”非常頻繁，對性能影響最大。雖然它對安全性影響很大，但很難用“讀取”規則區分正常程式和病毒。除了autorun型病毒是較容易區分的一種。

原則4：FD的“修改，刪除”規則是用來保護數據的。建議建立一個“保護資料夾”，裡面放要保護的所有檔案，用規則來防止裡面的修改和刪除；再建立一個“臨時下載資料夾”，用來下載的，用規則允許對裡面檔案的操作。下載完成後再移到“保護資料夾”；另外，對系統頻繁操作的地方相對集中，就是臨時資料夾和ie快取目錄，允許它們的操作；針對exe感染檔案，還可以全盤保護exe；保護系統盤的dll，sys，保護ghost備份檔案….。

原則5：FD的“創建”規則，所有規則的精華所在。因為它對性能影響不多，儘量詳細吧！建議編寫的“創建”規則以檔案後綴為主，路徑為輔，將危險的後綴全部禁止創建。例如，bat，reg，vbs，scr……有一個特別就是*.js檔案，允許它在臨時資料夾和ie快取目錄創建，但在其他目錄創建的就一定要禁止。

原則6：AD規則，按照個人的使用習慣，把自己的軟體通通打開一遍，全部允許。再把某幾個危險的程式禁止，例如，CMD.exe，format.exe等等。在AD規則中有一個特殊的地方就是“載入庫檔案”，就是對應用程式載入dll的監控。它的觸發頻繁度占AD規則的觸發70%以上，但用它很難區分正常程式和病毒。EQ自己默認就是“最低優先權允許”的。“最低優先權允許”的意思就是：當一個“載入庫檔案”事件觸發的時候，EQ會查找所有的規則，如果都找不到“載入庫檔案”相關規則的話，就默認允許“載入庫檔案”。一個程式調用一堆dll，如果每個dll都經過“最低優先權允許”，那效率多低。乾脆就在“黑名單”第一個規則寫上“允許載入所有庫檔案”，變成“最高優先權允許”。

原則7：RD規則，雞肋！作用又不大，又影響性能。儘量減少規則，保留最重要的，其他除去。或者乾脆就把它關閉。

規則的優先權與組合

即把規則組合起來，實現更為複雜的控制。比如想禁止任何程式運行IE，但又能手動運行，該怎么做？這就需要兩條規則配合：禁止任何程式運行IE；允許explorer運行IE，然後讓後一條優先執行。這就是優先權的問題，即幾條規則都能匹配的情況下，哪條規則先起作用。優先權是高優先規則>應用程式規則>所有程式規則，同一類規則中，物理位置排在上面的規則優先權大於排在下面的規則。 即優先權從右到左，從上到下遞減。

作用流程如下：

當EQSecure攔截到一個操作後，就會先確定父子進程，然後依次在“高優先規則”→“應用程式規則”→“所有程式規則”中尋找相匹配的規則(在同一類別中又按從上到下的順序尋找），在任何一處找到，即根據設定的參數進行控制，不再向下尋找；找不到則繼續尋找。如果在三者中均找不到相匹配的規則，AD按全局規則，即“主界面→保護模式”處的規則執行，RD、FD直接允許。

“高優先規則”和“所有程式規則”中找的是子進程（因為沒有父進程），“應用程式規則”中則是先找父進程，如果找到，再看其下是否有子進程。如果有，套用此規則控制；如果該父進程下沒有子進程，分兩種情況：如果“其它設定”處選中“搜尋所有程式規則”，則在“所有程式規則”中尋找子進程，還找不到則執行父進程的攔截操作；如果沒有選中，則不再理睬“所有程式規則”，直接執行父進程的攔截操作。

以上是說父子進程俱全的情況，還有一種情況，就是在AD中，只有父進程，沒有子進程。比如底層磁碟操作、關閉/重啟系統、修改系統時間、直接作業系統核心等，操作的是系統本身而不是某個對象。這就簡單了，先在“應用程式規則”中找父進程，找到則套用，找不到則按“主界面→保護模式”處的規則執行。

了解規則優先權是非常有用的。常見有人問，我寫了一條規則，怎么不起作用啊？這時候，不光要考慮規則本身是否正確，還要注意是否有優先權更高的規則在起作用。比如，有人在“所有程式規則”中寫了一條規則：*.mp3，禁止刪除，但是還是可以手動刪除。這是因為，在“應用程式規則”中給explorer設了允許刪除的規則，而應用程式規則的優先權比較高，所以能夠刪除。再舉一例：在“所有程式規則”中禁止任何程式結束防毒軟體的進程，同時在“應用程式規則”中允許任務管理器結束任何進程，這樣用任務管理器可以結束防毒軟體的進程，其它程式則不能。如果在高優先規則中設定禁止結束，則任何程式均不能結束。