智慧型HIPS

我最近在做部分智慧型HIPS的測試，發現不少廠商都有所進步，像是：DriveSentry和AVG Identity Protection。

雖然說智慧型HIPS的攔截能力大多不如手動型HIPS，但是透過白名單與恰當的規則，智慧型HIPS也是毫不遜色的！

智慧型HIPS的優點在於不用使用者決定（部分情況仍需要），可以避免使用者遇到警告時就怕的不知所措，甚至是亂點允許（不過新手也都是選擇攔截居多）。

一個完整的智慧型HIPS應該要有回滾（Rollback）或虛擬（Virtual）的功能，否則可疑程序執行到最後才被攔截，那麼之前的行為豈不是會損害電腦？

目前已有成熟智慧型HIPS技術的資安廠商有：Kaspersky、Panda、F-Seucre、AVG、DriveSentry等...。

未來智慧型HIPS將會是主要的發展重點，畢竟自動化一直都是人類追求的目標！

ClamWin 即時監控程式-RC129

這是我最近寫得一個程式，功能主要是實現CalmWin的即時監控功能

來彌補目前CalmWin沒有即時監控的缺陷

目前只簡單的實現了即時監控的基本功能

攔截時機在病毒被執行時才會攔截(包括程式載入有毒的DLL時)，這時候病毒還

沒開始執行，不會對電腦造成傷害

不包含自我保護

屬於測使版本

程式內由於使用了一些硬編碼，所以目前只相容Windows XP

Windows XP SP2和SP3 都有測試過

Widnows 7版本正在準備(因為手邊沒Vista)

由於使用VC++ 2008編譯Client端程式，必須安裝.Net Framework 3.5

使用方法

1.如果沒有.Net Framework 3.5 先至http://www.microsoft.com/Downloads/details.aspx?displaylang=zh-tw&FamilyID=333325fd-ae52-4e35-b531-508d977d32a6下載安裝

2.安裝CalmWin http://www.clamwin.com/ 並且

讓他更新一次病毒碼

3.將ftp://192.192.45.70//clamwinrtRC129.zip壓縮檔中的APP.exe 和 clamwinrt129.sys複製到 ClamWin安裝資料夾下的bin資料夾中

4.執行APP.exe，會跳出黑框框，監控就開始了，黑框框不要關掉

5.關掉黑框，監控就停止

儘管在完成基本功能的那天，就發現CalmWin官方的即時監控已經在Alpha了，源碼已釋出，不過還沒有bin

APP.exe執行時

執行一個記事本

發現病毒被執行

按"是" 阻止病毒執行的結果，病毒執行失敗

TMSPN上市發表會心得

這次趨勢Smart Protection Network(以下簡稱SPN)上市發表會，讓我挺身受感動的。

等2010出來之後，大概就會買一套TIS盒裝。接下來就開始回憶錄:
原訂1:30的會議，到2:00才開始。幸好燈光美氣氛佳，一邊填問卷順便把自己的問卷放進袋子，等會議開始。
現場最後也是爆滿，在別人談話中，發現有南投，台中的政府部門與會。

趨勢還挺重視這次發表會的，一開始就是趨勢台灣區總經理"Bob"介紹目前的網路威脅發展，以及SPN的簡單架構。

其中他提到幾點蠻重要的:
1、趨勢透過SPN蒐集的資料反推，層層搜索，找到威脅作者甚至地下組織。並通報警方抓人，打擊犯罪。

2、SPN比的就是速度，全球各地都有威脅出現，SPN不是只分析一個威脅，而是1000位專家都在分析，因此使用者能得到最迅速的更新。

3、SPN是透過HIPS，啟發式，演算法(數學公式)，異常行為來抓取樣本。並非是使用者中毒之後才抓取樣本。

4、SPN擁有34000台以上的伺服器，高速處理取得的大量資料。

5、SPN當初創立的原因是為了"不誤判"又"不放過"，這種兩難的情形。

6、最後Bob秀出了趨勢花在SPN上的相關人力和資金。

最精采的莫過於台灣SPN開發總經理"Eric"的介紹了，他很有個性，會場中還帶著MacBook，桌面就是Eric和小孩的合照。

Eric接著又詳細介紹目前的網路威脅情勢，他挑出比較重要的細節來講:
1、SPN透過"社群智慧"，"關連性分析"，"整合回報"架構起來：
其中社群智慧有"Smart Feedback"。它可以記錄全球網路上的可疑行為，再透過演算法來過濾，最終以雲端技術達到立即分享給用戶最新資訊。

還有"User Query Info"。在發現可疑行為時，透過查詢FRS(檔案信譽)、WRS(網頁信譽)、ERS(電郵信譽)的方式來檢查是否已經入庫。

2、SPN的"關連性分析"，有"Monitor And Select"透過演算法從大量資料來選取需要的資訊。"Incident Trigger"標記優先權程度。
"Correlate"交叉比對尋找眾多檔案之間的關聯性。"Intelligent Scoring"最後給樣本打分數，評斷可疑和信任指數。

3、其中Eric舉了三個例子"大量用戶可疑行為"，"大量用戶瀏覽類似網紙"，"瀏覽順序"。我覺得比較特別的是"瀏覽順序"：
當SPN發現大量用戶短時間(幾分鐘內)瀏覽一個網址時,SPN會自動搜尋分析,是不是都被指向相同的惡意網址.

但是也有可能指向類似的網址，威脅作者為了逃過追蹤，設定亂數網址。此時SPN也會做一個統整，把相似度高的網址一起做關連性分析。

而發現大量用戶短時間內瀏覽順序都是ABC(假設網站)或CBD時，SPN也會做分析，以確認是否被控制瀏覽相關網頁。

4、Eric為了方便我們了解趨勢每天分析用戶50億次查詢、每天處理大於1.2TB的資料有多大。
他說有次市場行銷部門來找他們希望能從用戶的瀏覽方式去分析，Eric基於同公司就說可以並問說要多久的資料，他們就說先拿前一小時的資料。
結果Eric就拿了兩片DVD給他們，他們當場傻眼，用人工分析的方法根本看不完。現場很多MIS也是一聲驚呼。

5、思考中我腦海產生了論壇上各位的疑問：先讓用戶中毒才分析？只分析大量用戶？
剛好到了休息時間，上完廁所剛好Eric正要用iMac上網，抓住勇氣和機會上前詢問。
Eric一開始就先打量我一番的樣子，也許他不太相信，那麼多MIS裡只有我這學生會來問他問題吧。

我一開始就針對"是否只分析大量用戶的可疑行為"問他，他說：我們只是為了方便解釋所以才舉一萬用戶五千人同時做某些行為的例子。
並不是SPN不分析單一用戶的行為，SPN會自動分析所有的網址，當然不是只靠用戶瀏覽網頁時才做分析。
他又舉例說：當SPN找到一個網站，其中JS或CSS裡有EXE結尾的網址就會優先分析，當然他們也考慮到有些是假的EXE、非EXE結尾的網址，SPN都會分析。

之後我又問了"那麼趨勢有沒有打算進一步發展HIPS"，此時另一個像是SPN開發成員的也靠過來聽。
Eric說：我們在SPN裡面當然也有運用到HIPS和啟發式等嚴謹的分析方式。等一下我們會在Office Scan和Worry-Free的產品介紹中提到HIPS的部份。
另一人說：對於用戶端的HIPS我們不敢做太過嚴密，容易發生誤判(趨勢在2010裡已經預設HIPS自動處理)，但是在SPN我們一樣會運用各種方式分析。

這裡就要為趨勢稍微平反一下，趨勢的HIPS並不是完全沒用，我有好幾次不小心執行威脅的情況，趨勢都有攔截到。

也算是得到了一個相當滿意的回復之後，我就先謝過他們回會議廳寫筆記。

下半場是整整一個小時的企業產品介紹，我是比較沒做筆記，不過對於一些部分還是有留意到：
1、一開始主講人(我忘了名字)就先秀出一張趨勢的統計資料，說每兩秒就有一隻新威脅產生。他就問說去年趨勢的統計是幾秒一隻啊？
在場沒人回答，我想了一下就說四秒，就拿到了趨勢小水壺一個。

2、企業產品中都有應用程式管控的功能，也就是HIPS中的AD，方便MIS管理員工使用應用程式的情形。

3、USB管控。趨勢這個新功能很特別，趨勢說這個功能可以讓我們可以任意存取USB又不用擔心裡面的AutoRun會發作。

4、最後是有關於TDA和TMS這兩個服務的介紹。TDA很特別，它類似硬體防火牆閘道，但是卻是拿來抓企業內部的問題。
它會自動分析企業內部的封包，找出可疑的行為，然後回報給MIS，透過這樣就能找出哪台電腦是中了毒。當然還有其他功能，只是我沒詳記。

我認為趨勢的SPN到今年才真正完成了統一，也就是那三個循環FRS、WRS、ERS。之前只有WRS和ERS的查詢。
FRS的整合應該會加強趨勢在誤判上還有分析偵測上的表現，當然這些功能都個人版上都有！

對於這次的發表會，我可說是相當的滿意，對趨勢也有了相當的信心！至少我可以認同他們的理念，而趨勢也已經實作了。

開發人員對於學生的我也是有所重視，願意傾聽和解答，明年的發表會我應該也會參加吧，看到時有沒有新技術的發表囉。

後記：
現場的點心我都沒碰，只覺得是來學知識的，不知道現場MIS是不是都真的懂。還有人坐第一排，下半場累得頻頻跟主講人點頭。