有沒有人實際上碰過 HIPS 擋下病毒或是惡意軟體的經驗？
要使用者建立白名單實在是很奇怪，
使用者要是知道有沒有問題，
那還要 HIPS 作什麼？

Intrusion Prevent System..
那東西主要跟防毒軟體一樣...
也是在比誰收集資料齊全..
收集的簽章少, 這種IPS也是很廢...

有些H/W IPS會應用在掃毒方面來強化效能...

ESET Nod32/3年版/一千六……

900/5y我輸了……

不過說實話，我覺得Nod系統負荷不大，只是我很乖都沒上什麼奇奇怪怪的地方，也很難說它的效力強不強？……

學校都是推 symantec endpoint protection

　ㄟ…HIPS (Host Intrusion Prevent System) 這東西的重點並不是在拼誰收集的簽章多、或誰的資料齊全，您可能有些誤解。

　HIPS 的重點在於：它告訴您某個程式正在做什麼奇怪的事情，請您判斷這程式是否是木馬或病毒；例如 HIPS 提示您「有個程式叫 Game.exe 正嘗試修改 Explorer.exe 這個檔案」，我們知道 Explorer.exe 是 Windows 底下的重要檔案，除了受 Microsoft 簽證過的補綴程式外，是不允許任何程式對其進行修改的，因此我們可以判斷 Game.exe 為一覆寫型病毒。

　大部分 HIPS 在首次執行時會要求建立白名單，這是為了節約後面使用者的時間 (不然隨便執行什麼都跳出提示，會很煩！)，建立白名單前您必須很清楚您的電腦目前是否是「乾淨」的 (例如剛灌完 Windows)，如果您確定電腦是乾淨的，那麼便可選擇全面性建立白名單，如果不確定，那麼便選擇將部分區域列入白名單 (例如 Windows 目錄)，而其他區域則留待將來執行時進行分析並判斷。

　由此可知，使用 HIPS 的人必須具備一定程度以上的電腦常識，否則使用時只會茫茫然不知所措；大部分 HIPS 裡內建白名單或放行簽證清單的目的，並不是給一般用戶當成「病毒碼」用的，而是為了節省熟手建立白名單的時間，不然一個程式一個程式地設定，設到猴年馬月也設不完。況且軟體內建的白名單也不見得完全可靠，有時您必須根據您所在的地點進行修葺，例如 Comodo IS 裡預設將「蓝盾信息安全股份有限公司」列為信任廠商，但這家公司在中國有協助監控的傳聞，因此若人在大陸的話，最好將之剔除以避免不必要的麻煩。

　因為 HIPS 的門檻對一般用戶來說有點高，所以有些防毒軟體便嚐試著利用專家系統建置簡易的 HIPS，讓沒有電腦基礎的人也能享用 HIPS 的好處，目前具備「執行前砂箱測試」的防毒軟體，例如 KIS、avast! 等，皆屬於此類。

　就俺這邊的經驗，九成以上的木馬/病毒都是被 HIPS 擋下來的；擋下來後上傳樣本給防毒軟體廠商，兩天到一週以後對應的病毒碼出爐…，這大概是因為俺執行很多大陸軟體的關係，歐美防毒軟體廠商對大陸病毒的反應總是慢一些。

IPS signatures收集不足, 那要怎麼擋攻擊?...:confused:

突然想起以前某次隨身碟從公用電腦回來後一接上我的電腦就被HIPS擋下來，而某卡車司機一點動靜都沒有，把熱騰騰的新病毒寄回去大約半天，卡車司機回信告訴我這只新病毒的名字。

後來卡車司機改版後即使遇到不認識的隨身碟病毒都會叫了，名字好像都是啥XXX.Genetic，大概是類似醫學上的「廣效抗生素」吧！過沒多久就不另外裝HIPS了，卡車司機自帶 :D

不過我還是會雞婆再寄一份樣本讓新變種在病毒庫裡有名字 :D :D :D :D

　俺敲了這麼多您沒看懂？ Orz

　HIPS 的設計理念在於「行為分析」，它靠的不是「病毒碼」，而是「它告訴你程式正在做什麼，你來判斷程式是不是木馬/病毒」，所以關鍵在於「你」。此外也無所謂「IPS signatures」，HIPS 內建數位簽章清冊只是讓你省一點建立白名單的時間，跟 Winodws UAC 定期更新根憑證是一樣的意思。

　「它攔住，你判斷，從此不要病毒碼」，這是 HIPS 的設計理念。

--
　請參閱樓上俺給的維基百科鏈結。

大陸軟體不要裝~ :stupefy: