为什么会有人说avg网页防护差？

显示全部楼层 · 发表于 2014-9-12 16:37:31

驭龙发表于 2014-9-12 08:23
你一定是把Svchost和DWM等系统核心服务添加到保护列表了，所以系统瘫痪不足为奇，是你自己没有设置好的缘 ...

应用程序表我就没动过.

显示全部楼层 · 发表于 2014-9-12 16:43:45

本帖最后由 zandalong 于 2014-9-12 16:44 编辑

jefffire 发表于 2014-9-12 16:35
问题在于，安全软件只在门窗处有监控措施。而漏洞这个“突破点”，可能是破墙而入，可能是从屋顶破瓦而 ...

你说的我也明白，可我觉得既然要攻破系统，只要是恶意软件就可以被发现，区别就在于检测率。
例如：一个被外族入侵的城堡，虽然有“突破点”，但也是要用大炮、战车，最基本也要有人（外族）来攻击，只要可以识别这些异类（病毒）就可以。可能“异类”还没到“突破点”就已经挂掉了。
当然如果漏洞来源于安全软件本身，那就没有办法了。
所以才喜欢搭配，而不是直接用套装。

显示全部楼层 · 发表于 2014-9-12 16:44:28

jefffire 发表于 2014-9-12 16:33
你这是给我挖坑啊。要技术性的说明，需要讲解一些基本原理，实在费时费力。

我其实也能简单说一下，只是不完整，而且技术名词说的不太好，所以还是请姐夫来科普，比我更靠谱

显示全部楼层 · 发表于 2014-9-12 16:47:36

kxmp 发表于 2014-9-12 16:37
应用程序表我就没动过.

不添加列表，EMET好像就没有太大效果了，而且不会造成软件冲突，除非你开最大保护级别，修改了系统默认保护功能

显示全部楼层 · 发表于 2014-9-12 16:50:20

驭龙发表于 2014-9-12 16:47
不添加列表，EMET好像就没有太大效果了，而且不会造成软件冲突，除非你开最大保护级别，修改了系统默认保 ...

开几个安全特性还是可以的

显示全部楼层 · 发表于 2014-9-12 16:51:40

zandalong 发表于 2014-9-12 16:43
你说的我也明白，可我觉得既然要攻破系统，只要是恶意软件就可以被发现，区别就在于检测率。
例如：一 ...

你的基础理论不是建立在安全软件技术原理方面的，因此你的这种比喻不适用于安全软件概念，因为技术原理不同。

套装绝不会比组合弱，当然各有优缺点，但我总觉得套装的组件联动比组合更胜一筹

显示全部楼层 · 发表于 2014-9-12 16:53:10

kxmp 发表于 2014-9-12 16:50
开几个安全特性还是可以的

这就是你把系统玩坏的原因，EMET不是这样玩的，默认保护等级就足以

显示全部楼层 · 发表于 2014-9-12 17:00:10

zandalong 发表于 2014-9-12 16:43
你说的我也明白，可我觉得既然要攻破系统，只要是恶意软件就可以被发现，区别就在于检测率。
例如：一 ...

问题在于一般的我们能够使用到的安全软件，不具备也不可能具备这样的在城堡之外就识别的功能。必须要等到进入门口了（也就是至少要先通过网卡），才能开始起作用。

而且一般的安全软件出于兼容性，稳定性，成本的综合考量，安全软件的功能绝大部分需要依靠操作系统来实现，而如果操作系统出了漏洞，相当于安全软件依赖的基础出了问题。这就好比无间道，通常而言是防不胜防的。

显示全部楼层 · 发表于 2014-9-12 17:19:44

本帖最后由 jefffire 于 2014-9-12 17:38 编辑

jefffire 发表于 2014-9-12 17:00
问题在于一般的我们能够使用到的安全软件，不具备也不可能具备这样的在城堡之外就识别的功能。必须要等到 ...

所以说，现在防御APT这类大量使用0Day漏洞的攻击，往往采取包括硬件和软件在内的一整套体系。
首先，就是要做到安全检测系统本身不依赖于被保护的操作系统，也就是包含硬件的旁路检测，这样攻击者即便翻出花来也不能威胁到安全检测系统本身。
其次，安全系统的黑盒化。难以从公开场合获取安全系统的软件，硬件。这样攻击者就难以针对安全系统进行针对性研究。
最后，整个检测系统的集成综合化。APT攻击往往是一个长期过程，很难从单一的行为中发现问题。需要网络层，内核层，应用层的综合分析。

参考 http://www.fireeye.com/products-and-solutions/

显示全部楼层 · 发表于 2014-9-12 17:27:38

我也不知道，不过我觉得除了卡网效果挺好

[讨论] 为什么会有人说avg网页防护差？

评分

评分