体验超级巡警——隐藏的防御魅力

jpzy

原帖由 ii88 于 2008-8-20 23:09 发表


安全 的 不拦截。不安全的才报警。即使第一步允许，也能够在第二步把病毒kill！
就这点来看，超级巡警远远强于360，卡卡之类！大家可以亲自尝试，记得在虚拟机里

本来不想回了，不过看了你这句话，我觉得要是不说点什么，太对不起看帖的卡饭们了~！

先来看看所谓的主动防御吧！



玩过任何一个HIPS的人都应该从这张图里面看出来了~！巡警就拦截两点，一是程序运行，二是访问网络。下面那个编辑主动防御规则我估计是可以自己加白名单了！

OK，在看看截图！



典型的一个程序运行拦截，所有HIPS工具都有的功能。实现起来应该很简单吧。

至于你说安全的不拦截，我根本不信。你试过了？

如果运行QQ，maxthon等工具不拦截，那么官方一定加了白名单。不过这样的白名单不好加，如果要安全，就要验证数字签名或者起码是MD5，估计巡警没加。那就是简单的程序名排除了？如果一个病毒用了qq.exe做文件名呢？

如果运行QQ，maxthon等工具拦截了，然后用户自己加白名单。应该是合理的，也是巡警最可能采用的做法。那么你说的安全的不拦截就是假的！！



至于说，不安全的，即使允许了，仍然能够kill，更是空口说白话~！这个截图，不过是一个简单的RD，监控AppInit_DLLs这个键值，并且告诉用户被修改了。其实到了这里，病毒已经完全运行了，还何谈被拦截？都已经修改AppInit_DLLs准备开机就加载了，一般的病毒到这里已经完成了kill掉安软，加载驱动，插入系统进程，释放病毒文件等一系列操作了！！

一个简单的拦截程序运行，一个不完善的RD（注册表部分敏感键值监控），就敢出来说主动防御？！随便找个HIPS出来，比比看！挂钩子，加驱，磁盘底层读写，巡警能拦吗？？

居然还有人说比EQ强多了，起码没那么多提示，真是ORZ~~~

156200

简单的HIPS功能啊，貌似没什么。

ii88

那要看是从什么角度来看了  
如果硬拿EQ和巡警比  那软件可以不要做下去
修改了键值以后，巡警能够检测到，你点删除，病毒文件也KILL了
不信自己可以去试试，我截图不是很完全，但我测试很用心，病毒文件确实是不见了
也是希望大家能够多一款适合自己的安软。

ii88

原帖由 jpzy 于 2008-9-2 13:50 发表


至于说，不安全的，即使允许了，仍然能够kill，更是空口说白话~！这个截图，不过是一个简单的RD，监控AppInit_DLLs这个键值，并且告诉用户被修改了。其实到了这里，病毒已经完全运行了，还何谈被拦截？都已经修改AppInit_DLLs准备开机就加载了，一般的病毒到这里已经完成了kill掉安软，加载驱动，插入系统进程，释放病毒文件等一系列操作了！！

我可以告诉你，病毒不但没有完全运行 ，反而被巡警拦截
巡警是能够拦截的 但是要看你是怎么操作了

maozi778631

好像一个程序的什么操作他都要问，如果你安一个大型软件要访问注册表那不手都给你点酸

原帖由 454651860 于 2008-8-21 01:28 发表
巡警报得实在太频繁......
LZ应该把这贴发到辅助区
安装运行正常软件他也这么报
我一定会点允许的....

这就是他的让使用者所计较的

dl123100

太不稳定了 经常无故退出
右键扫描经常失效

maozi778631

原帖由 ii88 于 2008-8-20 23:09 发表


安全 的 不拦截。不安全的才报警。即使第一步允许，也能够在第二步把病毒kill！
就这点来看，超级巡警远远强于360，卡卡之类！大家可以亲自尝试，记得在虚拟机里

他怎么知道安全不安全？杀软都有误杀和漏杀呢，难道你一运行某个程序的时候，巡警马上就可以判断出他安全还是不安全？
如果能马上判断安全不安全那还不如直接把他KO掉呢 还慢慢的询问你？
哎，要是真的这样那杀软还怎么混哦

[ 本帖最后由 maozi778631 于 2008-9-2 18:23 编辑 ]

xyxusige1

无语

九尾野狐

不就阻止运行么

UAC也能办到