说实话，主动防御到底意义大不大呢？

crargentino

说实话，主动防御到底意义大不大呢？
不开主防，不也好好的吗？
我kis7用了一年多，怕出现兼容性问题，主动防御这个功能一直不装的，但也用得很好，没中过什么毒，感觉很好。vista SP1系统。
最近装了KIS2009（家长控制和反钓鱼，反垃圾邮件去掉），发现kis2009什么都好，就是开了主防有时候会有一些莫名其妙的问题。
我觉得KIS2009不开主防似乎也已很强大：
程序可以分组（信任，高限，低限），
防火墙也很好，
加上VISTA本身就安全性很好，有UAC功能，好像开主防意义也不太大，似有画蛇添足之感。

不知道有谁能具体谈谈开不开主动防御究竟有什么区别？
感到“主动防御”这个技术虽然已有了一些进步，但还不能算很很很成熟，有时候有“自作聪明”的感觉。

是否有大侠可以举个例子什么的，比如有个毒，开了主防后当场被卡巴击毙，而不开主防时，该毒卡巴就查不出来？

如果一定要装主防的话，那万一有什么和其他软件兼容性问题的话，就要把该软件放到信任区和排除区。

[ 本帖最后由 crargentino 于 2009-5-1 20:20 编辑 ]

tanlimo

主防这个东西主要是给那些会用能用并且有兴趣用的人准备的，对于不具备以上条件的用户来说主防的作用也许真的不太大吧。

syfwxmh

有这种例子。

例如一个未知的威胁，暂且命名为1.exe

KIS2009
我运行1.exe以后可能会触发HIPS、PDM规则，然后进行分组处理。如果行为触发到了卡巴的行为启发，则会出现
Behavior similar with Trojan等提示……然后通过KSN分享数据信息给其他客户端（其他客户端运行此程序则会被直接列入Untrusted）…………此时卡巴会弹出终止框对其进行拦截。系统将会被保护。

KIS2010
我运行1.exe以后除了触发HIPS、PDM规则还会触发sandbox规则，然后进行分组处理。如果行为触发到了卡巴的行为启发与sandbox、pdm行为分析，则会出现Behavio similar with trojan等提示并通过KSN分享数据信息给其他客户端（其他客户端运行此程序则会被直接列入Untrusted）…………，然后出现rollback选项，除了拦截还会进行倒沙，使病毒的所有行为恢复到原始状态，系统将会被保护

当然一般用户HIPS是可以关闭的，毕竟卡巴的查杀水平也是很高的，即使在免杀非常多的情况下。

浪滔天

当时测7.0的时候在样本区运行过很多未入库的木马样本，主防的还是很有效的，会直接给出类似于木马程序的提示，有回滚还原功能，可以还原由于运行木马造成的系统更改。

syfwxmh

除此以外KIS2010还提供了sandboxie的功能，可以把一些可疑程序放进沙盘进行测试，这也是卡巴新版本主动防御的一个亮点之一

syfwxmh

2010系列将会重新构建PDM：）

20051001909

如果你的网络环境很好。你的上网习惯友好。使用的都是正版软件，补丁都打了，应该是没有多大用处的，

crargentino

说实话，我还没发现过“主动防御”真的起到过作用，一直都是双击一个程序时，卡巴问我是否允许，当然允许了，废话嘛！感觉一直在“误报”，或者说小题大做。而且有时会引起一些莫名其面的问题，令人抓狂。
所以“主动防御”这功能我不装的。
而且问题是，不装照样好好的，不中毒。

“主动防御”的理念肯定是好的，但还有很多路要走。关键是尽量不要“误报”，还有不要影响程序的正常使用。

[ 本帖最后由 crargentino 于 2009-5-1 17:08 编辑 ]

crargentino

看来 kis2010 值得期待！

浪滔天

原帖由 J-F-F 于 2009-5-1 16:50 发表
越做越垃圾。7的主防才是真正的主防。8hips很强，但是没有hips的话狗屁都防不住。而且hips速度太慢

同感，其实8.0全靠HIPS的帮忙，8.0的纯主防模块并不见得比7.0的主防模块强。当时在样本区测7.0的主防真的很有效，还原后干干净净，系统没任何问题。而8.0就有点惨了，发现不对就得查系统手工清理。到了9.0回滚功能终于回来了，但8.0中的一些亮点似乎又丢了，也许到2011一些丢掉的东西又能回来。