大家都知道杀毒软件容易被病毒干掉，那HIPS会不会也有同样的问题？
这里讨论的是在正常系统中中毒的情况，比如从网上下载程序，或者从别人的Ｕ盘上拷东西，激活了病毒，病毒向HIPS发起攻击。而不是那种在DOS或者WINPE中被删除重要文件而导致HIPS无法启动的情况。这些情况已经是在另外的系统中了，想想看连格式化都可以了，没什么讨论的意义。
    基于此，我对HIPS自身安全有两点疑惑：
    1、HIPS有没有对文件的实质进行检验？比如病毒用自身替换掉系统内的文件，而这个文件是被HIPS允许甚至是给予全部信任的（像“冰刃”等系统工具，还有Office这些常用软件）。如果HIPS并没有检查文件的大小或者其他方面，那也许就给了病毒可趁之机…… （我们是不是应该给这些重要程序加个只能读不能写的规则？）
    2、病毒和HIPS争夺权限。影子系统和很多还原卡都会加载自己的驱动程序，而这个驱动是用系统内核加载的（参见《关于影子系统原理很强悍的文章》），但是机器狗病毒用自己释放的文件替代了驱动，穿透了还原系统。那么，病毒是在什么时候替换文件的？冰刃之类的内核级工具可以在当前文件被使用的情况下强行用另外一个文件将其替换（从而是病毒无力化），说明这种技术是存在的。那HIPS自身进程会不会也能被替换？当然，在布置好HIPS的情况下，由于FD的阻挡，病毒要想加载驱动是很困难的，不加载驱动又很难取得系统更高级的权限，所以无法攻破HIPS，以我现在的知识，只能这般猜测。在此非常渴望老鸟和达人不惜赐教。
    另外，被病毒感染之后，HIPS还有没有意义，有没有自己的生存空间？可以想象，当病毒先于HIPS掌控这个计算机的时候，要想加载系统工具的驱动程序也是及其困难的。

很難,過AV相對就容易多了

1.有效驗,但不一定是雜湊值

2.機器狗其實沒什麼技術,只要是水準以上的HIPS都攔的了,加載驅動之前也會提示你

如果你被感染的系統病毒權限根HIPS一樣,只要病毒不先向HIPS攻擊,那HIPS應該還是可以抑制它的行為

在 内核 技术领域 bypass 主流 HIPS 的 code 时有被释出

对于那些技术达人来说 bypass HIPS 是一件不算很难而且乐此不疲的事情

不过庆幸的是商业化的并不中暂时还没有看到能够达到如此水准的案例

极少数有利用 0day leak 也就是 BUG 来实现穿透的 不过也是极少数

超过编辑时间了 faint

商业化的并不 应为 商业化的病毒

目前已經有人在開發Hypervisor等級的Rootkits了(利用Hardware virtualization，但要新的CPU支援，也就是說在享受新CPU帶來的好處「高速、新技術」的同時，也一起享受了壞處「Hypervisor Rootkits」 )，屆時連HIPS也無可奈何了吧(舊電腦除外)。

說實在的，都是作業系統的錯，不能被入侵的東西，為什麼被入侵了？OS開發者應該要想辦法防止被入侵啊！

這裡有Hardware virtualization的架構圖，請參考：
http://www.northsecuritylabs.com/downloads/whitepaper-html/

看來以後的是入侵防禦軟體要加入一塊晶片 Hardware Defender,HD
來進行硬體上的防護 而不是侷限於軟體了