纠正一下关于金山网盾和360网盾锁定IE的一些观点

显示全部楼层 · 发表于 2010-4-8 11:28:27

本帖最后由白羊座于 2010-4-8 13:45 编辑

原本以为金山网盾也是操作注册表来锁定主页的，后来发现并非如此，用MD跟踪了一下网盾的动作发现了这个细节
2010-4-8 11:11:01 安装全局消息钩子阻止
进程: d:\program files\kingsoft\webshield\kswebshield.exe
目标: d:\program files\kingsoft\webshield\kwsui.dll
钩子类型: WH_CBT
规则: [应用程序]*

2010-4-8 11:11:08 安装全局消息钩子阻止
进程: d:\program files\kingsoft\webshield\kswebshield.exe
目标: d:\program files\kingsoft\webshield\kwsui.dll
钩子类型: WH_GETMESSAGE
规则: [应用程序]*

金山网盾通过CBT钩子注入IE浏览器（当然由于是全局钩子，还注入了很多进程），也就是说注册表中的IE主页项目并未被改变，IE被网盾“欺骗”到了它锁定的主页

而360网盾在保护主页上并没有这个动作，而是修改注册表中的IE首页对应项目，并且监视其它程序对该注册表值的修改

此两种手段并没有绝对优劣之分，金山网盾的方法更加直接，但是需要常驻内存并向其他进程注入模块（虽然基本上所有的网页防护软件都这么做，但是做主页防护出此一招的不多见）

360网盾的方法比较常规，稳定，但是对于已经感染木马的系统，木马可以通过和金山网盾相同的手段绕过360网盾主页锁定

不过对于已经感染木马的系统，木马和金山网盾谁屏蔽掉谁的模块都是可能的，不知道金山网盾为什么要使用这种复杂的手段实现主页锁定
优缺点:360网盾锁定可以用于所有IE内核浏览器（无论是否支持对其网页防护），以及360网盾支持的非IE内核浏览器，但容易被活木马绕过
金山网盾保护更彻底，但是锁定主页这个功能前提是金山网盾必须支持对该浏览器的防护，且没有其他安全软件对该浏览器进行防注入保护

显示全部楼层 · 发表于 2010-4-8 11:29:32

本帖最后由 F-12 于 2010-4-8 11:35 编辑

沙发

慢慢看、、、

小白羊，貌似金山内存占用也不是很大啊，再说现在都动补动就2G 网盾占用的那点内存可以忽略的嘛

显示全部楼层 · 发表于 2010-4-8 11:31:17

学习了

显示全部楼层 · 发表于 2010-4-8 11:33:52

不明真相的群众路过。

显示全部楼层 · 发表于 2010-4-8 11:35:33

个人比较倾向保护注册表值锁定主页的方法

显示全部楼层 · 发表于 2010-4-8 11:38:26

不明真相的群众只看效果，管你怎么实现的，再说网盾内存占用也不大……话说我也用360……

显示全部楼层 · 发表于 2010-4-8 11:48:18

本帖最后由 dl123100 于 2010-4-8 11:49 编辑

虽然金山网盾保护主页的方法确实不太一样，但绝对不是用hips监控下就可以直接看出来的。全局钩子很正常，很多杀软、hips都这么做，某些软件处理时的不过比网盾多得多。

显示全部楼层 · 发表于 2010-4-8 11:52:31

不发表意见了。

显示全部楼层 · 发表于 2010-4-8 11:54:45

回复 7# dl123100

全局钩子不是重点，注入的模块才是重点，我要表达的只是网盾往浏览器中注入了模块，至于这些模块怎么起作用，就不是hips的事了

显示全部楼层 · 发表于 2010-4-8 11:55:29

不明真相前来围观

纠正一下关于金山网盾和360网盾锁定IE的一些观点

评分