不吐不快，MA没有防挂马功能？答案：No【MA照样有Web封锁功能】

驭龙

大家都以为MA没有防挂马的功能，实际上在MA＋IE 11这个组合上，MA是拥有强大的防挂马能力的，当然只是挂马网站，不是钓鱼网站。
这个帖子的挂马网站
http://bbs.kafan.cn/thread-1831406-1-1.html
我用W 7＋MA ＋ IE 11组合访问，MA轻松封锁网页。


可我真机使用Windows 8.1＋MA＋ IE 11组合访问，一点反应都没有，我可是实机啊。


为什么Windows 7上有这么强的功能，而Windows 8.1上没有，开始的时候真的我气死了（呀，有人拿这句话做文章，不错呀，但这句话是今天编辑的时候直接添加前面几个字导致不通顺，实际上昨天的原话是“而Windows 8.1上没有，真的我气死了”，仅此而已），所以我不得不来发牢骚，毕竟为了测试，我可是实机访问这个挂马网站啊，但是请看下半部分的测试。

大家先看这个图
Windows 8.1 Update ＋Microsoft AntiMalware ＋IE 11访问高危挂马网站。


为什么这次的MA封杀了这个Web页面？其实是这样的，大多数挂马是JS类的脚本挂马，而这种挂马在Windows 8.1的IE 11强大安全机制下，根本无法执行威胁行为，所以MA无视这样的挂马网站，但是当遇到真正具有威胁的挂马网站时，MA是不会坐视不管，直接封杀威胁网站的Web网页。

这个挂马网站使用的是VBS类基本Ramnit病毒，在访问这个网站的时候，IE提示VB运行，如果允许的话，VBS Ramnit病毒才会运行，MA将会彻底封杀。

该网站源自火叔的帖子：http://bbs.kafan.cn/forum.php?mo ... 76&pid=35013686

经过本次测试，只要有MA ＋ IE 11的组合，遇到威胁系统的真正挂马网站，MA会真的把Web页面封杀，但由于Windows 8.1上的IE 11被系统安全机制降权，以及强大的SandBox化处理（也就是 Enhanced Protected Mode的超级沙化和AppContainer的AC降权功能），所以大多数的JS类挂马对Windows 8.1无效，所以之前的测试很难见到MA在Windows 8.1上的Web封杀功能。

现在可以证明在Windows 8.1上也是有WEB封杀的，大家就不需要担心了。

驭龙

ELOHIM 发表于 2015-6-3 20:41
小龙现在很激动。安慰一下哦。。嘿嘿
话说，同样的库，可以放出两支箭吗？
其实，这样解释才是 ...

① 我没有开跟踪保护
② 这个是JS挂马，不需要第三方组件
③ W7和W8.1的脚本都是相同设置
④ 单奔MA，无其他安全软件，DNS是相同的，因为路由分配
⑤ 非SmartScreen拦截，因为W7中关闭MA以后也不拦
⑥ 如上分析。

因此你的解释全部被否定，真正原因是因为W8.1的IE被降权，同时被SandBox化，使得JS脚本无效，MA无法检测到威胁行为，所以不拦截

ELOHIM

要不要用Windows Defender试一下。

wjy19800315

ELOHIM 发表于 2015-6-3 19:40
要不要用Windows Defender试一下。

正解
与win8.1匹配的wd

驭龙

ELOHIM 发表于 2015-6-3 19:40
要不要用Windows Defender试一下。

没可能的，MEP是MA中最强， 它都无效，WD只能呵呵。

其实这个跟WIN 8.1的系统机制有关，大多数挂马都是JS，可这种挂马好像在8.1上没有效果，无法真的中招，所以MA就保持沉默了，所以我实机才敢测试，因为win 8.1上的IE是被沙化的

ELOHIM

驭龙 发表于 2015-6-3 19:46
没可能的，MEP是MA中最强， 它都无效，WD只能呵呵。

其实这个跟WIN 8.1的系统机制有关，大多数挂马都 ...

WD病毒库更新了。

驭龙

ELOHIM 发表于 2015-6-3 19:46
WD病毒库更新了。

你在跟我说WD库更强？那是不可能的，另外我的MEP是直接获取MMPC的库

ELOHIM

驭龙 发表于 2015-6-3 19:48
你在跟我说WD库更强？那是不可能的，另外我的MEP是直接获取MMPC的库

不是，比1615的库更新的。。

驭龙

ELOHIM 发表于 2015-6-3 19:51
不是，比1615的库更新的。。

你要知道，我那个测试是相同库的，所以库再新也没有区别了，如果你想测试WD，你只能自己来了，因为我是MEP 4.8.204

wudiwusuowei

驭龙 发表于 2015-6-3 19:53
你要知道，我那个测试是相同库的，所以库再新也没有区别了，如果你想测试WD，你只能自己来了，因为我是ME ...

我感觉正如你所说的win7和win8的机制不同，win8的安全特性可能更好，这个挂马可能根本就不能对win8造成伤害，所以MA就没有报了。

ELOHIM

wudiwusuowei 发表于 2015-6-3 20:27
我感觉正如你所说的win7和win8的机制不同，win8的安全特性可能更好，这个挂马可能根本就不能对win8造成伤 ...

小龙现在很激动。安慰一下哦。。嘿嘿
话说，同样的库，可以放出两支箭吗？
其实，这样解释才是最好的，
客官请听我唱：
被报毒是因为恶意代码被加载到了本地，你我都知道WD的本地查杀是强项。
而windows 8.1下，那段恶意代码或者根本就没有加载到本地，所以，WD当然就不报毒了嘛！
至于为什么没有被加载到本地，那有很多种可能。
第一：IE自带跟踪保护，我的目前使用包括自带的个性化列表在内一共10种。这个功能可以有效拦截 js 格式脚本广告。
第二，第三方插件，包括adplus.org的产品，privdog等。可以拦截部分恶意代码和相当一部分广告代码。
第三，禁用了活动脚本可以有效降低中招风险，但是网页内容可能会受损。
第四，系统里面使用了其它网页拦截程序或者被第三方防火墙或者DNS屏蔽。
第五，大微软神奇的IE+Windows Smart Screen拦截。
第六，其它。


Windows XP SCEP可杀。PS：360安全卫士没反应。