ESET 这几个模块做什么用途有人知道吗？

下午

欧阳宣 发表于 2020-1-14 22:33
那为什么大家花这么大力气从一种不会被感染的bios迁移到一种会被感染的？开历史的倒车？说“不可能被病毒 ...

BIOS = Basic Input Output System（基本输入输出系统，实质是一个程序） 起源于1979年，初代BIOS由几个IBM工程师开发，虽然经过了30年的修修补补，但本质没有丝毫变化：一堆用汇编写的硬件初始化代码，但它封闭、神秘和充满各种不清不楚的预设和祖传代码。

uEFI = universal Extensible Firmware Interface（统一可扩展固件接口），诞生于1999年Intel公司开发的EFI项目并进行了开源，直到2005年UEFI论坛坛，开始专向uEFI ，绝大多数uEFI核心代码使用C语言开发，摆脱了传统BIOS复杂的16位汇编代码。

直白的说 BIOS 是没有公开任何技术细节一段封闭的代码， uEFI 是 Intel 发起公开源码的轻量化操作系统，有公开技术细节，标准，具有广泛的开放性。

我来举个简单的比喻吧，“传统BIOS”就好比老款直板手机，生产厂家各自开发封闭技术细节，手机功能单一，因此不存在病毒。早期传统BIOS开发完全被 AMI、Phoenix Award 垄断开发。而“uEFI 系统”就好比新款智能手机（如安卓），系统开放且开源，手机功能丰富，功能异常强大，随之而来别有用心的人就可以制作病毒，实际上，uEFI 正源自 Intel 开源固件项目。

用你上面的话讲“大家花这么大力气从一种不会被感染的直板手机迁移到一种会被感染的智能手机？开历史的倒车？”，还要我说的再具体吗？

《IT之家学院：BIOS、EFI与UEFI详解》
https://www.ithome.com/0/318/460.htm

《uEFI背后的历史》
https://zhuanlan.zhihu.com/p/25281151

《统一可扩展固件接口 uEFI》
https://www.oschina.net/p/uefi



Intel uEFI 开源代码 https://github.com/tianocore
微软 uEFI 开源代码 https://microsoft.github.io/mu/


而后面你说ESET“6.x可以扫描MBR，但是清理已被感染的MBR呢？专用清理器模块不就是做这个事的么？这两件事不冲突啊” 就更加荒唐扯淡了！

ESET v6 和 v8 都带有开机扫描引导区功能，甚至更早的版本都有这功能。v6 不含“专用清理器”就只能查，而不能清除引导区（MBR）病毒？ v8 新增了“专用清理器”所以 v8 能清除引导区病毒（MBR），我查了一下 v6 于2013年1月15日发布，v8 于2014年8月21日发布，按你意思 v8 之前，也就是说 2014年8月之前 ESET 杀毒软件连引导区（MBR）都杀不掉，要知道引导区（MBR）病毒在 dos 时代就已经出现了，当时的 dos上的杀毒软件都能轻易杀掉，竟然到2014年8月前 ESET 还只能查不能杀，岂不是天大的笑话？ ESET 还怎么在杀毒界混？ 你说这种不经过大脑的话，有几个人会相信？

在《D+限制了QQ后台很多动作后 QQ尝试shellcode缓冲区溢出攻击 这样的行为算不算病毒》一帖中，你多次氓进行怪罪、调侃、贬低等回复我（“哪有这么多事”，“你这是放着解决问题的途径不走非要在原地抱怨”，“我不是你那种把折腾得多和懂得多划等号的人 …… QQ在各个杀软那里所存在的误报 …… 你连QQ要加驱都不知道？”，“哈哈这么高深的我不懂 ……”），我才提醒“你注意自己的说话口吻”有什么问题吗？

还有这些天只有你在不停继续用怪罪、调侃、贬低的语调跟我的帖子。我有去捣乱跟你发帖子没？要有你可以发上来，让大家看看。

这几天你所作所为，足够以证明你内心狭隘，知识浅陋，不懂装懂，为人和品行之差！

欧阳宣

下午 发表于 2020-1-16 01:33
BIOS = Basic Input Output System（基本输入输出系统，实质是一个程序） 起源于1979年，初代BIOS由几个I ...

你还知道MBR会被感染啊 那我也算帮你长知识了 很欣慰 而且即便是直板手机 FS其实在s60时代就做了针对塞班系统的杀软 所以即便直板手机一样会中毒 你口中的旧BIOS也如此，而非你7L说的什么永不会被感染的

我这不能算什么调侃贬低 因为我只是复述了一遍这几天你的做法：你确实就是放着QQ绿色版不用，放着高版本eset不装 放着新系统不用，说穿了就是固执，听不进去别人建议。如果这算调侃贬低，那这几天调侃贬低你的可不止我一个 我肯跟你好好说话就算了 如果非要颠倒黑白 拿我当软柿子捏……

https://bbs.kafan.cn/thread-2169501-1-1.html
这个已经被封的帖子里 你对很多人都有出言不逊的激烈言辞 最后管理员不得不关闭

https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2164581&pid=45497479
f-secure实行OEM+自家引擎的策略起码是十年前的事了 免费的老版本fscs也因为有BD+DG的组合大家都白嫖了起码好几年 而你好像却现在才知道 而且直到这之前还一直以为自家引擎和OEM两者只能选一

考虑到你给我扣上了内心狭隘和知识浅陋的帽子 看看上面两条 我感觉这个八个字用在你身上更合适。

至于不懂装懂，基于上面的东西 我不觉得你有资格提升自己之前去教训别人。BIOS，MBR，UEFI也是我跟你说了你才去搜的，那早干嘛去了呢？人人确实都有自己不了解的东西啦 但是换成我 我是不会在明知自己懂得更少的话还去说别人不懂装懂的。这里就能体现人跟人之间涵养和素质的差异

fs一直是OEM+DG的组合这种事在论坛里真的是常识中的常识了，大哥……

欧阳宣

这样吧 我再退一步 帮你搜了一下 一搜就搜到了专用清理器模块的用途

https://help.eset.com/ees/6.6/zh-CN/idh_specleaner.html

我是不太明白能搜的东西搜一下多好 省了多少时间

PanzerVIIIMaus

下午 发表于 2020-1-13 23:32
混迹卡饭多年的老用户了，应该学到不少知识了，竟然说出 ESET“专用清理器模块”能清理 BIOS、TPM  ...

抱歉，TPM我不知道，但BIOS/UEFI内是真的可以有Rootkit
当前被明确发现的野生Rootkit可以到UEFI层面，ESET从V11开始也加入了UEFI扫描：https://bbs.kafan.cn/thread-2133250-1-1.html
至于BIOS层面的野生Rootkit，我告诉你这还真不是什么新鲜玩意儿，这是很多年前的工具：http://weishi.360.cn/jijiuxiang/bmw.html

几年前也有新闻揭露一些电商平台的第三方卖家卖那些二手低价主板，某些商家特别“便宜良心”，但实际上是黑产集团，所卖主板已经被事先植入了Rootkit。

你混迹多少年也好，不了解Rootkit的最基本动态，就跟不了解有什么种类病毒一样，白混了。

PanzerVIIIMaus

我再发一帖，还请不要指责我连贴，这次回归问题本身：

·专用清除器模块这个名字说得花里胡哨高大上，其实就是“专杀工具”，收集了一些恶劣的或者影响巨大的（包含而不限于）飞客虫（一种风靡的蠕虫）、Poweliks（一种恶劣的无文件威胁）、Novnix（一种灵活隐秘的Bootkit）等威胁家族的专用检测和清除方法。

·网络防护模块（现在也叫Internet防护模块），其实就是IPS，可以识别已知的恶意网络访问行为或已知的漏洞攻击行为并加以抵御，该模块最近最著名的作用实例可以拿到2017年5月时，在个人版ESET的其它防护层尚未对WannaCry作出反应的第一时间，阻止了透过永恒之蓝漏洞的入侵（相比之下卡巴斯基是主防拦截，病毒已经进来了，而ESET是还没进来就拦截了）
我还熟悉的是赛蛮也带IPS，所以当时声呐第一时间拦不住也影响不大
当然，如果用的是不带墙的赛蛮和ESET，因为产品定位问题，就不搭载这个模块，也就不具备防护能力
卡巴斯基在2020版才强化了“反网络攻击”模块，以具备抵御永恒之蓝等已知漏洞攻击的能力（不带墙的卡巴斯基免费版和卡巴斯基反病毒软件也同样搭载该模块）
国内杀毒软件搭载类似作用功能的有：360安全卫士、腾讯电脑管家、火绒5。
瑞星或许是定位问题，虽然开发蛮完备，但个人版未搭载该功能（金山不了解，给我爬就对了）



·Rootkit删除和清除模块， 我这里ESET V13的模块版本是1019（2017年的模块版本），我觉得应该是ESET认为这个模块的局限性太大而在正式更新源拖更，但是仔细想想，遇上顽固的Rootkit基本上……无非就是刷急救箱刷急救盘刷系统刷硬盘刷BIOS/UEFI