EMET detect ASR mitigation in iexplore.exe

Eif-Hill

EMET5.1偶尔会出现这类弹窗，“EMET detect ASR mitigation in iexplore.exe······”

IE11，

EMET detected ASR mitigation in iexplore.exe

ASR check failed:
  Application         : C:\Program Files\Internet Explorer\iexplore.exe
  Session ID         : 1
  PID                 : 0x8DC (2268)
  TID                 : 0xE80 (3712)
  Module         :vgx.dll
  Web address : http://netsecurity.51cto.com/art/200703/41276.htm
  Url zone         : Internet

默认的emet设置
现在已经通过regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
停用vgx.dll(microsoft Vector Graphic Rendering （VML）)
但是访问一些网站还是出现类似的弹窗，怎么回事，求解？？

imcw

@驭龙 帮忙艾特

ELOHIM

如果楼主的EMET不是16号版本的，请重新下载安装使用。

驭龙

imcw 发表于 2015-3-22 14:41
@驭龙 帮忙艾特

无解，因为默认ASR阻止浏览器连接VGX，除非将ASR中的VGX.DLL删除，但是这样会影响ASR的效果

realraul

网易就经常这样

wsh-winner

已经放弃EMET，防御就是让程序崩溃这点让人受不了，为了兼容就得手动去掉某些防御。那干嘛不把兼容性好的防御集成到系统补丁中去，兼容性差的防御整合到Windows Defender中默认不开起，EMET也就没有存在的必要了。
（注：这里的兼容是指是否容易让正常程序崩溃）
感觉HIPS比它有用多了，只是个人感受

Eif-Hill

ELOHIM 发表于 2015-3-22 15:02
如果楼主的EMET不是16号版本的，请重新下载安装使用。

······5.1版，不是5.2版·······

ELOHIM

Eif-Hill 发表于 2015-3-22 18:58
······5.1版，不是5.2版·······

我开始使用16号以前的版本也是崩崩崩。。
后来用了最新版本就没有崩崩崩的情况了。

HEMM

wsh-winner 发表于 2015-3-22 18:21
已经放弃EMET，防御就是让程序崩溃这点让人受不了，为了兼容就得手动去掉某些防御。那干嘛不把兼容性好的防 ...

= =介个......这个是缓解利用漏洞攻击的，HIPS也是只能在一定程度上防护，要是利用漏洞绕过HIPS直接攻击的话......
浏览器沙盘，和这个属于前瞻性防护，在第一时间杜绝被利用漏洞攻击的可能性。
用于日常的话......某些人把所有程序都扔进去沙盘或者全部添加防护，这是何必啊= =，用主防吧......
当然本地安软如果已经添加了可以清理利用某些漏洞进行攻击的特征库能够清理，或者主防可以阻断这些利用漏洞的行为的话，可以无忧，但恐怕没那么理想，要么怎么叫0day，不要小看了0碟~往往新样本出来安软不可杀是为什么，要不病毒和木马还混个什么啊！防护和攻击永远是互相进步，互相挟制的，有了新的防护手段就有新的攻击方式。
介个= =你就看成，在新攻击方式面前筑一道墙，封堵攻击的可能，进来后开杀对抗是安软的事儿，当然墙也是会有缝儿的，不然EMET就不用更新了。

wsh-winner

HEMM 发表于 2015-3-22 20:10
= =介个......这个是缓解利用漏洞攻击的，HIPS也是只能在一定程度上防护，要是利用漏洞绕过HIPS直接攻击 ...

假如针对EMET的防御开发某种病毒，让受EMET保护的程序无法运行，也不知道是否可行。
EMET用来加固程序，如果触发规则就让受保护的程序崩溃来提醒用户可能遭受攻击。但我更希望它只是阻止恶意模块的调用，不影响程序正常运行。我曾经把explorer.exe添加进防护，然后安装了某个软件之后进不了桌面
HIPS对常见的恶意软件比较有效，而EMET看不到成效，所以说是个人感受啦