·解释综合防御体系·顺便狂点病毒，测试下CA的主动防御·

嘁。不稀罕~

首先，请高手请飘过……

现在的安全软件功能众多，已经构成一个防御体系，以木马入侵为例：
1、通过恶意网页过滤，进入临时文件夹。
2、通过特征码扫描（启发、脱壳、报壳），成功下载。
3、通过主动防御（反间谍的关键位置防护、恶意行为防护、HIPS的规则），成功运行。
4、通过防火墙，成功上传或下载数据。（木马类病毒，如果最终未通过防火墙，等于失败。）

在通过主动防御，成功运行后，病毒可能关闭杀软，删除数据，更改设置。所以杀软还配备了自我防护以及数据备份功能。

——————————————————————————————————————————

最近在扫描区测试PCT，顺手用CA扫描了一下，然后狂点剩余样本，之后又测试了CA的自我保护。

CA的自我保护貌似很弱，在任务管理器中就可以结束进程，其实是CA不阻止可信程序的行为，任何非授权的程序试图关闭CA，将会被拦截。并且即使进程被结束，也无法删除、更改CA的任何文件。

点击了剩余的10个样本（这两天CA成绩比PCT高）。
CA的主防当然是他出名的HIPS。通常开启HIPS点病毒就等于不停的警报，但CA在默认设置下，竟然没有任何提示框弹出，而是默默的成功阻止了大部分威胁。（为了截图，我更改了报警设置，又狂点了病毒一边）
CA用规则和白名单在安全和安静之间寻求一个平衡点，默认状态下自动阻止和允许程序，这也是CA没有完全阻止所有威胁的原因，想要提高安全性，很简单，自定义规则，全局规则和程序规则都可以自由设置，这个部分我就不说了，这里是国外杀软区。

截图：
CA反间谍功能阻止恶意程序运行


关闭所有CA进程，仍然无法对其文件夹进行任何操作


更改设置后，终于能看见HIPS的提示了







——————————————————————————————————————————————————

CA 2010中HIPS的具体功能：

注册表防护
注册表防护防止程序更改以下项：

Internet Explorer 搜索页，防止程序更改 Internet Explorer 默认搜索页。

Internet Explorer 主页，防止程序更改 Internet Explorer 默认主页。

Windows 主机文件，防止由于 Windows 主机文件的未授权更改而造成不必要的网页重定向。

Windows 启动程序，保护排定在 Windows 启动时运行的应用程序列表。

关键 Windows 注册表项，防止由于关键 Windows 注册表项的未授权更改而可能造成系统故障。

保护这些设置的安全，使计算机免受系统损坏、不必要的更改、安全破坏、数据丢失和恶意程序等危害。

程序防护
特洛伊木马程序和其他恶意程序在执行时通常会衍生其他应用程序。 然后这些应用程序会充当服务器，通过使用计算机上已建立的电子邮件帐户发送和接收数据及电子邮件，从而导致个人信息被破坏、数据丢失以及恶意程序的进一步扩散。

程序防护可为您提供防护，防止未知程序衍生其他程序。

代码注入
防护代码注入防护提供以下保护：

Win32Hook

将拦截试图插入 Hook 的程序。 Hook 可截获按键、鼠标单击和消息等事件。 随后，恶意程序可存储或传输这些事件。

代码注入

将拦截试图将代码插入脚本或接受用户输入的程序。 如果目标程序运行时具有升高的安全权限，将允许注入的代码在计算机上运行时具有完全访问权限，从而导致缓冲区溢出漏洞和其他安全危害。

强制进程线程终止

将拦截试图终止运行中的进程的程序。 恶意程序有时会瞄准正在运行的进程，终止它们并使您的计算机处于不受保护和不稳定的状态，从而容易受到安全威胁。 例如，如果防病毒或防火墙进程被终止，恶意程序就得以持续扩散。

获取系统权限

将拦截尝试获取升高的系统权限的程序。

注入 UI
将拦截尝试将代码注入用户界面以显示消息的程序。

代码注入防护可使您的计算机免受恶意程序、安全危害和漏洞的威胁。

shiningheart

深夜还有技术贴看，挺不错的
这样看来等有空时要试试CA了

titi0702

期待更多CA的内容....昨天装了又卸载了..下错版本了 郁闷啊~~

渡边

感谢深夜测试，辛苦啦！

huihui458

CA查杀率不怎么高啊

Dirk

主防是Tiny？

何常在

辛苦辛苦。

蓝山年代

老大，请说中国话，什么是CA啊？

abs078

看来AVG和Avast之外又多了个选择

wodewowo

CA界面蛮漂亮的嘛