为什么会有人说avg网页防护差？

驭龙

maomao110 发表于 2014-9-15 16:55
好吧   关机还原系统去了   你反正比我懂得多    听你的应该不会错

听我的也不一定是对的，一切还是你自己决定吧，我的话，你只需要参考一下，就可以了

maomao110

驭龙 发表于 2014-9-15 17:00
听我的也不一定是对的，一切还是你自己决定吧，我的话，你只需要参考一下，就可以了

还是没有装   不喜欢360 - -

驭龙

maomao110 发表于 2014-9-15 17:02
还是没有装   不喜欢360 - -

杀毒软件这东西，还是适合最重要，就像我喜欢诺顿，可诺顿不适合我，所以我用ESET 和MA的时间最多，虽然已经两年多没玩ESET了，不过现在已经决定长期使用了。

我的建议是，你也一样，选择一个适合自己的安软就可以了，不一定是最强，但一定是最喜欢和最适应的，这比选择一个不适合自己的强大安软，更好一些

jefffire

zandalong 发表于 2014-9-13 12:50
可是并不是所有厂商都采用的“主动防御”，也有采用HIPS的。
这样的话，就不能说EMET比别的厂商的解决方 ...

HIPS首先要采取一个十分激进的规则（禁运，禁读）才能相对有效的防御一部分漏洞，这样的激进规则一般是不可能作为默认规则的，而且即便如此，对于远程代码执行类的漏洞还是防不住。

什么是远程代码执行漏洞？简单说就是，用户不双击运行，代码自动执行。比如之前说的浏览器引擎的溢出漏洞，还有stuxnet使用的INK漏洞，著名的冲击波病毒用的漏洞等。
远程代码执行漏洞是漏洞中危害最大的一类，通过远程代码执行漏洞获得代码执行的机会后，就可以拿出后续手段，比如继续利用本地提权漏洞进入系统内核等等。


EMET的各种措施，就是主要增加远程代码执行类漏洞的利用难度。

jefffire

zandalong 发表于 2014-9-13 13:05
完全明白，通俗易懂
我之前想表达的，只是不同意“驭龙”说EMET才是王道（不是他的原话，但是是这 ...

1 现在不管AMD还是Intel都有的，除非是七八年以前的老CPU
2 实时监控是基于文件系统过滤，直接进内存不经过硬盘，所以监控不到。

zandalong

jefffire 发表于 2014-9-15 18:56
1 现在不管AMD还是Intel都有的，除非是七八年以前的老CPU
2 实时监控是基于文件系统过滤，直接进内存不 ...

1.换言之，也就是支持硬件虚拟化技术的CPU。
2.直接进内存我能理解。可内存这类的缓存，断电就清除数据了（这也是很多人把“内存盘”当“沙盒”用的原因），那病毒进内存里还有什么意义呢？

zandalong

jefffire 发表于 2014-9-15 18:52
HIPS首先要采取一个十分激进的规则（禁运，禁读）才能相对有效的防御一部分漏洞，这样的激进规则一般是 ...

代码在自动执行的时候，HIPS不能监控到？
还有就是杀软的本地监控检测到恶意代码也是会提示的。（当然你之前说过“特征”的滞后性）

jefffire

zandalong 发表于 2014-9-15 19:02
1.换言之，也就是支持硬件虚拟化技术的CPU。
2.直接进内存我能理解。可内存这类的缓存，断电就清除数据 ...

1 还不一样。总之新CPU都支持了。
2 因为开机后系统什么的都被载入内存了啊。这么理解，硬盘只是个“睡觉”的地方，内存才是“干活”的地方。只要内存这块搞定了，写入个硬盘根本不是事儿。

jefffire

zandalong 发表于 2014-9-15 19:04
代码在自动执行的时候，HIPS不能监控到？
还有就是杀软的本地监控检测到恶意代码也是会提示的。（当然你 ...

不能。不然微软也没必要搞这么多复杂的方法。
HIPS监控也是靠挂钩API，也就是说在路上设卡盘查。比如说挂在CreateProcess这个函数上，那么只要用这个函数启动进程就肯定会被盘查，而漏洞是直接空降。
还是说之前浏览器引擎的溢出漏洞，通过这个漏洞直接就在浏览器原来就申请好的内存里面就把恶意代码给执行了，根本不需要再走API什么的。

驭龙

jefffire 发表于 2014-9-15 19:09
不能。不然微软也没必要搞这么多复杂的方法。

姐夫去玩玩MalwareBytes AntiExploit呗，是目前除了EMET和360之外，又一个类似技术的Anti Exploit，不过我不准备玩了，我还是继续EMET＋ESET