在win8.1 64位下，会不会影响某些主防的拦截率

aice7837

今天看到一个帖子http://bbs.kafan.cn/thread-1754223-1-1.html，同时结合最近使用软件的情况，所以想问一下。
有些hips在win8.1 64位下就会有些动作拦不住，比如za，在32位下可以拦截键盘记录，截图等动作，但是在64位下拦不住。oa在win8下可以拦截关机，但在8.1下就拦不住。而这些只是一部分，可能还有其他在win8.1 64位下拦截不到的动作。
主防主要是基于对样本行为的判断，但是如果有些行为拦截不到，会不会对主防造成拦截率下降？

欧阳宣

只知道因为系统架构不同，64位杀软受限制更多。

Kyo.BA

虽然杀软受的限制比X86更多，但是反过来看，很多病毒也在X64下发挥不了作用。

tomochan

相当相当会

UDady

最好用原生64位的软件

jefffire

影响比较大

在64位上，由于只能用微软的callback和R3钩子，且callback数量有限，因此能监控的函数的数量也有限，导致安全软件在这些方面都大同小异（水平太差的除外）。但win7，64位上，由于PachGuard的疏忽，win32k.sys有一处还可以挂钩而不蓝屏，所以一些软件（比如 卡巴 ，360 ，sandboxie的实验功能等）在这个上面挂了一些钩子，但由于只能一个个挂，兼容性和效率都不好
。
   win8 64位上这个挂钩也不可行了，完全只能靠callback和ring3 hook，因此除了VT技术外，目前来看完全不可能达到32位的防御水平。而VT技术也问题多多，一方面老版本的CPU不支持这个技术，并且即便CPU支持，部分电脑的BIOS也默认关闭了这个虚拟化，因此在普及上受到诸多限制，另一方面，VT技术复杂，若同时考虑到和虚拟机等同时利用了VT技术的软件兼容等问题，可以说是困难重重。

   64位系统出于安全考虑限制了修改内核（PatchGuard），这个限制对安全软件的影响大于对病毒的影响。比如，远控的各种功能在不修改内核的前提下完全可以实现，但是安全软件要拦截（注意是拦截，不是实施行为）一些行为就必须进行hook。 另外，PatchGuard并非无懈可击，流传的各种漏洞也不少。但是，安全软件作为商业软件不可能公开利用这些漏洞来达到绕过PG的目的，恶意软件则不同，它们完全可以不遵守任何规则，而一旦恶意软件的权限比安全软件高，结果不言自明。

尘梦幽然

看厂商怎么操作

aice7837

jefffire 发表于 2014-7-9 12:53
影响比较大

基本上病毒和杀软已经不在同一起跑线上了

cocabean

jefffire 发表于 2014-7-9 12:53
影响比较大

那该用什么？

显影子

主防好的软件应该影响不大的，如果主防不行的话那可能就影响大了。