HIPS与沙盘和影子系统的区别

　　了解这个知识之前，我们先来看看什么是沙盘。
　　沙盘，英文名字为sandbox，是来自于军事领域的词汇。沙盘顾名思义是指一种容器，里面所做的一切都可以推倒重来，军事上常用沙盘来进行一些战争区域的地形模拟，常常会把把沙子推平重来。
　　我们这里所说的沙盘是一种安全软件，它是将程序放入沙盘之中进行运行，这样我们所创建的修改和删除操作都会被虚拟化重定向。也就是说所有操作都是虚拟的，真正的文件和注册表不会被改动，这样可以确保病毒无法对系统关键部位进行改动。
　　如果您还不是很明白，那么我就举一个简单的例子，大家看看传统沙盘的典型代表作品sandboxie。通过它，大家应该会知道什么是沙盘。
　　Sandboxie工作原理
　　传统情况下，当你运行一个程序时，程序会读取硬盘上的数据，这时数据由硬盘流向程序，然后数据经过处理和显示后再由程序写回到硬盘中。比如你运行一个游戏程序，它会先读取保存在硬盘中的数据记录，然后在你玩游戏的过程中显示出来，最后再写回硬盘以待下次使用。
　　但是sandboxie却会改变程序写入数据的地点，不让它写回到硬盘中，而是写到由sandboxie创造的一个虚拟区域。程序在此区域内的运行不会受到影响，但是不能对系统做出永久的实际改变，程序所做的所有对文件和注册表的改动都仅仅在沙盘中有效。
　　目前，除了sandboxie这种利用虚拟技术的沙盘，还有另外一种采用策略限制的软件也可以称之为沙盘，因为它也具有可以恢复所有程序所生成的文件和注册表键值的功能，称之为ROLLBACK（回滚），这个内容暂时不做说明了，因为说起来也比较麻烦，害怕影响大家思维。
　　通过以上描述，我想简单总结一下HIPS与沙盘的简单区别：HIPS通过监控电脑中文件改动和程序运行情况，向用户提交请求允许的报告，如果用户选择阻止，那么它将无法运行或者更改，如果用户选择允许，那么它才会正常运行和更改。沙盘则是把程序引导到一个虚拟的区域，所有操作都不用通过请求允许即可在这个区域完成，但却不会对系统造成实际更改。
　　再来说说影子系统
　　影子系统（PowerShadow）就是构建现有操作系统的虚拟影像，即影子模式（shadow mode），它和真实的系统完全一样，用户可随时选择启用或者退出这个虚拟影像。用户进入影子模式（shadow mode）后，所有操作都是虚拟的，不会对真正的系统产生影响，一切改变将在退出Shadow模式后消失。因此所有的病毒、木马程序、流氓软件都无法侵害真正的操作系统。
　　其实从防护系统的角度出发，影子系统和沙盘还是挺像的，都是通过虚拟技术完成防护，只是影子完全不需要人的干预，其防护也要比沙盘更彻底，大家是不是觉得有点像还原卡呢？
　　那么影子系统（PowerShadow）是怎么工作的呢？
　　我们通过PowerShadow Master（影子系统）这款软件来说明，当你安装完PowerShadow Master并重新启动电脑以后，电脑会多出一个启动选择项，您如果选择其中的PowerShadow Master的启动项后，原系统可以同样使用，但是你的一切操作，包括安装程序（甚至运行病毒）在下次用原系统启动时，都是无效的。
　　基于以上的工作原理，PowerShadow Master（影子系统）并不特别适合于办公使用，因为我们往往希望保留自己所做的一些更改或操作。而影子系统的发展，也在迎合大家的需要，目前存在的两种影子系统模式，正是用以满足不同用户的需要。
　　比如PowerShadow就提供了两种不同的影子模式，“Single Shadow Mode”是单一影子模式，只对系统分区进行保护，但对非系统分区的更改是有效的；“Full Shadow Mode”完全影子模式，对所有硬盘进行保护。
　　写到这里，我想不用我解释，大家也知道HIPS和影子系统的区别了，它们一个永远生活在真实的世界，而另一个永远生活在虚拟的世界，就这么简单，呵呵！
　　附上两个相关日志的链接
　　1、沙盘Sandboxie v3.26多国语言版简介与下载
　　http://www.2000xg.com/article/722.htm
　　2、影子系统PowerShadow V2008官方简体中文版简介与下载
　　http://www.2000xg.com/article/692.htm
　　再附上来自卡饭论坛的一段文字（我看着有些乱，大家能读明白最好）
　　试论HIPS 沙盘和影子的区别三种安全软件的理念不同：HIPS是通过对所有进程的可能有害行为的提示达到保护的目的的。沙盘是通过隔离沙盘内进程与沙盘外进程，从而保证沙盘外进程及其它数据安全来达到防护目的的。而影子则是重启后系统还原达到安全目的的。首先假设这三种软件在防护上都不存在漏洞，并且不存在发送隐私数据的危险。那么这三种软件分别单独使用的安全程度是相同的，当然前提是使用者要会用。不要以为HIPS监控全局就安全，沙盘监视部分就不安全，因为沙盘的理念就是在干净系统上只要把住安全之门就可以了。可能的威胁与其它正常程序已被隔离，正常程序还有监控的必要吗？大家用HIPS+沙盘，主要原因不外乎：1.变态的安全心理；2.不会正确使用沙盘；3.怕沙盘有漏。第三种情况实际和我们同时使用两个HIPS或更多想法一样，都是基于各个HIPS在监控上各有所长或各有漏洞的考虑。实际沙盘确有一点漏洞，即对沙盘内的进程不提供保护。这样沙盘内的病毒可能破坏沙盘内的进程，当然破坏了进程，不等于破坏程序，倒沙后程序照样复原。但沙盘内进程的密码极可能被沙盘内的恶意程序盗窃。不过这一点违背我的假设前提。这一点影子也是一样。所以如果说从防刺探考虑，沙盘和影子都要加个HIPS。但实际三者最终的安全效果，很大部分与操作者有关。而对于操作者的依赖，HIPS为甚。如果操作不当，再强的HIPS也没有用。沙盘次之，影子最下。所以考虑人的因素，安全性最高的当属影子。注：沙盘的不当操作主要指一股脑地把很多程序都扔进沙盘。要不沙盘易用性略等于影子了。另外也与操作者是否信任有关。影子与操作者是否信任一个程序无关，而沙盘全在乎信任与不信任，HIPS虽然表面上看来全部提示，但实际也取决于操作者是否信任。沙盘和HIPS信任错了，就可能无法挽回，比如加载驱动。但影子不受此限。

[本日志由 shazi1896 于 2008-10-11 05:18 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: HIPSHIPS