0DAY漏洞的问题

dwhunter

0day确实不是很了解

klinxun

回复 40楼 也不知道谁 的帖子

如果是挂马、提权什么的……看查杀咯，如果网络入侵，看防火墙吧。分散特征的话，防护没有那么单薄，一样被过了，还有后面不同的组件顶着。单一特征的话，病毒特征库被过，基本上就完蛋了。所以诺顿、咖啡、趋势等杀软，查杀率低也没啥，低得起。红伞、ESET之类的查杀率必须要高。不过，其实什么路线都好，效果好就行，也跟厂商的思路有关。

yeow5243

回复 37楼 klinxun 的帖子

mse 防护0day如何，有没缓冲区域保护？咖啡个人版虽有缓冲区域保护，但进入咖啡无法识别的挂马网站导致ie内存爆满，缓冲。。。防护还是不给力

klinxun

回复 39楼 也不知道谁 的帖子

不一样吧，小A拦截脚本的。咖啡的没有深究，应该跟微点的差不多，因为一般人就留意其企业版的规则、月神，防溢出、网页评级工具等少人研究。诺顿的话，一般人就埋怨没有测sonar，又不想想为什么静态查杀一般般动态测试却拿第一。趋势嘛，文件信誉云没有搞好，网页信誉云却不是很多人知道，还以为趋势的云是国内那种云查杀罢了。

klinxun

回复 43楼 yeow5243 的帖子

mse是有ips，不过应该只是防微软的漏洞罢了，缓冲区不知道了。咖啡个人版……所以我是觉得，还是要配合网页评级工具使用啊。小A拦截不全，溢出了的话，也会导致浏览器内存爆满……

klinxun

回复 43楼 yeow5243 的帖子

还有，应该咖啡将来的版本会把web评级造到底层去，而不是一个浏览器工具了。这样的话web拦截方面能跟趋势pk了。不过趋势除了web云还有邮件云（可惜在我朝没啥用），跟还在建设中，还没搞好的文件信誉云……我就不明白啊，趋势的文件云都没有搞好，扫描就是不是全特征的靠本地库，可是扫描区把趋势还是归为云类的扫描。

yeow5243

回复 45楼 klinxun 的帖子

小a是主打高查杀的，对0day防御不是很好，mse2.0新加入 network inspection system不知效果如何，其他安全厂商是否有类似mse的技术

klinxun

回复 47楼 yeow5243 的帖子

这个我知道，只是拦截js，没有入侵防护系统。mse那个，我得看看才知道，不过，入侵防护系统还是铁壳的厉害。

klinxun

回复 47楼 yeow5243 的帖子

看看勾叔写的帖子：http://bbs.kafan.cn/thread-868258-1-1.html

MSE 2.0新增的网络检查系统Network Inspection System，是微软在新一代MSE和Forefront里添加的
它主要用来缩短从漏洞公布到打上补丁之间的风险窗口期，通过扫描网络通信，防御针对已知漏洞的攻击
当你的系统存在某个已知漏洞但没打对应的补丁，或漏洞已经公布、但尚无对应补丁时，它就会发挥作用
需要注意的是，这些漏洞不一定是IE的，还可能是媒体播放器、Flash、SQL Server、IIS等应用的
所以“网络检查系统对非IE浏览器没什么用”的说法是不对的

有的，诺顿就有漏洞防护的能力，而且是很早就有的，咖啡的防溢出比铁壳的迟出来。趋势貌似也有一定能力，我看过用趋势的时候，用学校的网络，有时会报网络病毒攻击，报的是漏洞的名称，可是我打了补丁啊，是不知道为什么溢出了还是误报？其实，如果懂折腾防火墙规则，瑞星的防火墙可以diy得挺强的。

也不知道谁

回复 42楼 klinxun 的帖子

额。。听你这么说。。看着测试区红伞的成绩。。。感觉我又有理由折腾了。。。