为什么会有人说avg网页防护差？

徐庆

AVG有linkscanner，网防怎会弱……

羽扇纶巾

AVG的网防不弱，对COOK相当敏感。敏感到卡U。

jefffire

zandalong 发表于 2014-9-12 18:37
和问题就在于，为什么一般安全软件做不到的，而EMET可以做到？难道EMET不是基于WIN操作系统安装的？怎么 ...

EMET还是依赖于系统的，也做不到黑盒。但是EMET采取了加强墙壁，铺上水泥地基，屋顶装上钢板这样的形式来使得漏洞的利用变得困难。EMET需要操作系统和CPU的配合（这也就是为什么XP安全性不如win7 win8），一般的安全软件厂商是很难做到的。而且兼容性有不少问题。

实际上HIPS如果采取严格措施，比如禁运，禁读等，也是可以防御一部分漏洞的。但这样做，兼容性易用性显然也是个问题。

另外瞎谈谈漏洞。实际上漏洞就是本来执行A功能的函数由于遇到了预想外的情况，执行了B功能。举个不恰当的例子，浏览器引擎的本来任务是把网页代码解释后呈现给用户，结果因为网页中的一些预料之外的情况，引擎在内存中执行了代码。。。由于直接在内存中执行，文件实时监控等都白瞎了。

那怎么办呢？

次一级的方法，在网络层给这个预料之外的情形增加特征码，一旦发现特征直接阻断，这时候浏览器引擎还没来得及遇到。但是一旦经过变形加密，特征码对不上就不行了。

那么EMET是怎么处理的呢。首先微软把内存中的代码分为可执行的代码部分和不可执行的数据部分，不可执行的数据部分都可以打上特定的标签。intel的处理器会识别这些标签，一旦发现了这样的标签就不予执行。EMET把浏览器引擎内存中分配的数据区域全都打上标签。这样当遇到预料之外的情况时，虽然浏览器引擎试图执行代码，但是由于这些代码都被打上了标签，CPU会抛弃这些代码，漏洞就自然失效了。这就是DEP（Data Execution Prevention）的简单原理。

以上是形象描述，高手勿较真。。。

jefffire

zandalong 发表于 2014-9-12 21:42
HIPS也不依靠特征码来防御可能的威胁。
曾经的TF宣传的时候就是说防御零日漏洞（现在官网已经不再，广 ...

不仅仅是特征码才是“特征”，把眼界放宽一些，代码的特征，行为的特征，网络数据包的特征都是“特征”。什么是病毒木马的特征？就是病毒木马和正常软件不同的地方。因此只要是通过“特征”去识别病毒的都是相对滞后的防御，因为必须要先有病毒木马才能分析出上述那些“特征”。

比如说“主动防御”，虽然名字叫主动，实际上是指能识别已知行为特征，但特征码未知的病毒木马。“主动防御”相对特征码显然是超前的，但面对真正的新型病毒木马还是滞后的。

而sandbox，HIPS，组策略以及EMET（漏洞缓解）等等才是相对超前的。因为这些措施可以在没有任何“特征”的情况下进行防御，因此具有一定程度缓解0Day的能力。

驭龙

jefffire 发表于 2014-9-13 02:06
不仅仅是特征码才是“特征”，把眼界放宽一些，代码的特征，行为的特征，网络数据包的特征都是“特征” ...

姐夫就是姐夫，我这种业余的，虽然知道大概原理，却不能很好的表述出来，不愧是姐夫。

姐夫，我今天的人气恢复以后，全部给你，稍等哦

驭龙

zandalong 发表于 2014-9-12 21:42
HIPS也不依靠特征码来防御可能的威胁。
曾经的TF宣传的时候就是说防御零日漏洞（现在官网已经不再，广 ...

关于特征和EMET问题，你可以看93和94楼，姐夫的精彩解答。

关于TF实际上是行为定义特征类，与EMET完全不同。

关于EMET被绕的问题，据我所知，难上加难的事情，只是N月前有安全团队成功绕过EMET 5之前的版本，但是，现在的EMET 5已经封锁这些问题，据我浮浅的了解，目前没有公开有绕过EMET 5的情况，当然非公开的我就不知道了

zandalong

jefffire 发表于 2014-9-13 02:06
不仅仅是特征码才是“特征”，把眼界放宽一些，代码的特征，行为的特征，网络数据包的特征都是“特征” ...

可是并不是所有厂商都采用的“主动防御”，也有采用HIPS的。
这样的话，就不能说EMET比别的厂商的解决方案更有效。

zandalong

驭龙 发表于 2014-9-13 08:24
姐夫就是姐夫，我这种业余的，虽然知道大概原理，却不能很好的表述出来，不愧是姐夫。

姐夫，我今天 ...

看一个人对于事物的理解深度，并不是能说出一些大家听不明白的“一二三”。
而是能用很通俗的语言表达出事物真正的意义。
jefffire确实是卡饭里的佼佼者。@jefffire

驭龙

zandalong 发表于 2014-9-13 12:54
看一个人对于事物的理解深度，并不是能说出一些大家听不明白的“一二三”。
而是能用很通俗的语言表达出 ...

所以我把姐夫@来，教教你

zandalong

jefffire 发表于 2014-9-13 01:38
EMET还是依赖于系统的，也做不到黑盒。但是EMET采取了加强墙壁，铺上水泥地基，屋顶装上钢板这样的形式 ...

完全明白，通俗易懂
我之前想表达的，只是不同意“驭龙”说EMET才是王道（不是他的原话，但是是这个意思）。
而我也在41L表达了，其他厂商不是做不到，而不是因为系统是微软的。这不是厂商的技术问题。
如果换在Chrome OS和MAC OS上，微软是无法研发出类似于EMET的软件（当然这也不是微软技术上的问题）。

还有两个问题：
1.你在原文中所说的Intel处理器，是不是AMD处理器也是一样？硬件上没有分别吧？只要是处理器就可以。
2.为什么恶意代码直接在内存里执行，本地监控就废了？不是只要运行了就可以监控到么？