使用NIS2012，关闭UAC，安全么？

shx001

从来都是关闭UAC
诺顿反病毒
卡巴安全部队
小红伞免费版
小A
都装过
从来没中毒

wjcharles

jefffire 发表于 2011-12-23 23:01
宁可不装杀软  UAC也坚决开启  对我来说 不可能中什么低级毒 而那种利用多种漏洞的木马 只有UAC机制能够缓解 ...

顺便请教一个问题，就是UAC的保护范围
因为我WIN7 x64 UAC全开运行某些样本，会出现BFE服务相关注册表被删，服务无法启动，国内两家卫士和急救箱都不能修复

jefffire

wjcharles 发表于 2011-12-24 22:00
顺便请教一个问题，就是UAC的保护范围
因为我WIN7 x64 UAC全开运行某些样本，会出现BFE服务相关注册表被 ...

Here is a near-complete list of locations that are virtualized:

\Program Files and subfolders
\Program Files (x86) on 64-bit systems
\Windows and all subfolders, including System32
\Users\%AllUsersProfile%\ProgramData
\Documents and Settings (symbolic link)
HKLM\Software

wjcharles

jefffire 发表于 2011-12-24 22:40
Here is a near-complete list of locations that are virtualized:

\Program Files and subfolders

谢谢，那UAC什么时候会弹窗提示呢？是不是超出这些虚拟范围就提示？我测试时所有弹窗都选否

a13828565410

用uac不如用毛豆或者op之类的

jefffire

wjcharles 发表于 2011-12-24 22:46
谢谢，那UAC什么时候会弹窗提示呢？是不是超出这些虚拟范围就提示？我测试时所有弹窗都选否

不是的。UAC和HIPS是不一样的。HIPS是发现有事先定义的需要弹窗的行为出现就弹窗。
UAC正好相反，如果程序不事先告诉系统需要提权，那么就只给低权限，超过权限的动作默认禁止。
具体可以看这张图
http://msdn.microsoft.com/zh-cn/library/bb384608.aspx
还有这个详解
http://technet.microsoft.com/zh-cn/library/cc709628(WS.10).aspx

wjcharles

jefffire 发表于 2011-12-24 23:01
不是的。UAC和HIPS是不一样的。HIPS是发现有事先定义的需要弹窗的行为出现就弹窗。
UAC正好相反，如果程 ...

哦，那就是说UAC都选择否的话病毒不可能删除系统服务相关的注册表了？系统重启前有没有绕过UAC的可能？进行重启呢？

jefffire

wjcharles 发表于 2011-12-24 23:09
哦，那就是说UAC都选择否的话病毒不可能删除系统服务相关的注册表了？系统重启前有没有绕过UAC的可能？进 ...

这个就看标准用户的权限范围了。服务相关注册表，标准用户应该是不能动的，不知道你什么情况。具体权限如何，我问问高手去。
实际上虚拟化 ，不是为了提高安全性，而是为了给一些老旧程序增强兼容性而设的，以帮助许多无意间使用管理权限的应用程序在没有管理权限的情况下也能正常运行。

wjcharles

jefffire 发表于 2011-12-24 23:24
这个就看标准用户的权限范围了。服务相关注册表，标准用户应该是不能动的，不知道你什么情况。具体权限 ...

我是管理员帐户，那看来就是账户权限问题了。。。

4毛5的诺顿

UAC要是有学习功能就好了