浅谈NOD32与HIPS

2024年4月12日发(作者：)

浅谈NOD32与HIPS、防火墙的搭配

首先要说明，如果你是玩组策略或裸奔的高手的话，那你可以直接无视这篇文章了。

如果你是不是用KIS之类已经是4D的安全套装的话，那么至少应该配备1个AV、1

个HIPS、1个防火墙。如果你还用一些辅杀的（例如的CureIT和AVG7.5之

类的）那就更好了。

EAV不完美。EAV对Rookit技术不敏感，而且对国内的木马反应比较慢，而且检出率

也不是很高。另外，千万别用默认设置，不然有你受的。故，要配备一些安防小软件。

建议使用360安全卫士（或超级兔子、优化大师、Windows清理助手）（杀流氓、补

漏洞）、彩影ARP（如果你处在局域网的话）、Spyware Doctor（杀木马）。

但是要说明的是，360、超级巡警、卡卡之类的仅仅是安全工 具，所谓的防护也只是

监视很少一部分注册表而已，不要以为这些号称有“主动防御”功能的东西是HIPS。

这些东西你用起来感觉不错，但其实并不然。别以为 你能玩转360就是电脑安全高手，

但实际上还差得远呢！真正的安全高手是用组策略的！很多人被枪手们意淫出来的东西

灌输多了，就认为一个AV再加个360 就无敌而又百毒不侵了。只用一个360或其他

的东西远远不够！让枪手们去见鬼吧！

HIPS，要玩就玩真的！像EQ、TF就是很正宗、很强悍的HIPS。

关于HIPS，Host Intrusion Prevent System，主 机入侵防御系统，通俗来说就是系

统的防火墙。和传统的网络防火墙不同，他是防止恶意的程序在你的系统里发生作用。

很多新手不明白HIPS有啥用，在此 SUPERODD被老手批都要讲一下，HIPS非常重

要，假设你的系统是一座城市，那么杀毒软件就是城内的公安，网络防火墙就是外围的

边防武警。而 HIPS就是隐藏在高处监视城市，防止混水摸鱼进来的坏人作恶的狙击手。

很多新手说HIPS老是弹出对话框，烦，其实，这是你的狙击手在请示你是否击毙。 当

然，狙击手只是一名小兵，他的判断能力不如你这个城市的市长强，所以才请示你，当

然，你也需要一双金睛火眼，不然一不小心打死了个便衣警察或税务局的什 么的就惨

了...很多人嫌它麻烦，而且问一些看起来很高深的东西，所以很多新手干脆不用。这是

很危险的。你嫌烦就用EQ+“安静得可怕”规则包吧。

其实平心而论，EAV真的已经很优秀了。能够有效应对各种强悍的蠕虫、和大部分的木

马以及部分恶意软件（特指 3721之类的）。但是貌似他对Rookit隐藏技术不甚敏感，

这是致命伤之一。不知为何，EAV的Web保护也有问题，是关于解压缩文件的，（具

体偶不 说了，问bdrdc版主去）这个也可能导致病毒的成功入侵。在挂马网页猖狂的

今天，没有很好的Web防护体系是一个很大的问题。但是HIPS却能够起到一 定的弥

补，因为即使病毒成功进入了你的计算机，它也必须运行，一运行，就会暴露行踪，被

HIPS发现。现在的HIPS大多都不够智能化，还是需要用户具备 比较强的知识。当前

智能化做得稍微好一些的是ThreatFire，现在已经有中文版了。这也是SUPERODD在

多种搭配中多次提到他的原因。现在能够反HIPS的病毒还不多，（SUPERODD前些日

子发现一些能够在关机前几十秒内毙掉EQ的木马，骇人啊！）因此HIPS还是能比较有

效地遏制病毒。

关于组策略，其实这个东西是最好的HIPS，而且是系统自带的，并且不占资源。很多

新手看到组策略里密密麻麻的一 堆字就头昏脑胀了，（其实SUPERODD对组策略也没

懂多少，嘻嘻）但是如果你认真去学习，去研究，其实，这个组策略是很优秀的。它还

甚至可以起到一些 防火墙的作用呢！

还需要说明 的就是NOD32的生存能力太弱，不能像喀吧那样可以直接安装到带毒的

机子上，也不能象诺顿一般进程被结束后5分钟不到就“春风吹又生”。两下子被病毒