抛弃病毒库! 从免费安全软件看主动防御

自从杀毒软件开始采取病毒库方式进行病毒识别的时候，就已经确定了要处在被动位置，我们永远不知道在新病毒爆发和升级病毒库之间的那段真空期会发生什么。

的确，随着越来越多的病毒变种和千奇百怪的安全攻击的出现，摆在所有用户面前的是需要选择一条新的道路去解决这些棘手的问题。

遗憾的是：从启发式杀毒到虚拟机防毒再到沙盘仿真，困扰用户的最大问题就是：这个病毒由产品说了算，或者产品提供一个不被破坏的环境，仅此而已。直到HIPS的到来，它带给人们的不只是一种安全保障方式，更多的则是一个全新概念！

HIPS是一种能监控电脑中文件的运行和文件运用了哪些程序以及文件对注册表修改的功能（简称3D），并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你运行了一个病毒程序，带有HIPS功能的软件会跳出来报告，如果你阻止了这个行为，那么病毒是不会运行的。只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。初看HIPS像防火墙，实际上其并不能称为防火墙，最多只能叫做系统防火墙，因为针对网络上的攻击和入侵，HIPS并不能完全应对。

刚才我们说到了3D技术，其实就是 AD(Application Defend)应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。对于系统来说，任何病毒程序都不能逃脱修改这三项内容中某项的宿命。所以理论上讲，如果你的水平过人，你的系统将100%的安全！

目前带有HIPS功能的软件有很多，今天以一款相对简单的软件EQSecure（E盾）为例，和大家一起进一步了解HIPS的原理。

软件的功能和界面都很简洁，在运行EQSecure以后，你会发现此后你的每项操作都会被EQSecure拦截，并进行询问，开始的时候可能感到有些麻烦，但这正是HIPS的特点，越用越方便，等所有的规则全部定制好以后，更多的提醒则更倾向于系统安全方面了。

在EQSecure提醒用户时，我们可以选择用下拉菜单中总是允许信任该程序的方式将其加入到白名单。以后再次运行指定程序会自动弹出一个程序调用窗口。

在系统保护模式中，分别能够设置3D中的各项规则（包括所有程序规则，应用程序规则和黑名单）。

如果你用鼠标右键点击程序在任务栏的图标，会显示一些针对保护项目的选择菜单，当然这些都很简单，不必多说。好了，EQSecure的功能就这么多，感兴趣的朋友还可以去官方论坛下载网友制作好的规则包，这样免去自己设置的麻烦。现在你应该对HIPS有一个简单的了解了。比如，我运行一个病毒（当然也可能是正常程序），EQSecure会给出提示，说明运行程序的性质和要修改系统的内容，剩下就开始等你口令了，你觉得是病毒？那就阻止，如果不是，就通过。

简单点说：病毒库从原来的软件中转移到用户的意识里，病毒引擎的原动力被彻底改变！

对于一般用户来说，HIPS的优势似乎还难以发挥，但这并不阻碍HIPS的发展趋势，如果杀毒厂商采取（目前部分厂商已经采取）这种模式，再配合足够大的规则库，相信这种全新的思路会改变我们的安全防护模式。期待HIPS的广泛应用——为了那片安全的天空！