引用:

原帖由 henvelleng 于 2008-9-27 01:11 发表

所谓的安全性以牺牲易用性为代价就是指用户在绝大部分时间里或者说绝大部分操作都是在低权限之下的，直观的说，至少：无法更新系统，无法安装驱动，无法安装软件，甚至对一些敏感的文件和文件名没有写权限和执行权 ...

说主动防御还远远不到kav
hips 那么多。
再说了。。。。我的理解只是。。规则规定了 那么违反规定的就不能存在多过一秒
你 hips 遇到新东西不还是要问你？

hips强是强  但是还是有能穿的情况？ 为什么？


再说了。
--
所谓的安全性以牺牲易用性为代价
--
凡事有前提。。。你要说 除了你机子的都是不好的。。那么断网最高
否则的话 。。我认为ms 的更新。我认为病毒库的更新。。我甚至认为多数大软件站的更新基本安全+自己查杀
那么请问。。。我一般情况下风险在哪 ？


你所说的"罢了" 如果真的只是“罢了”的话  
那么其他厂商就是完全看不上这个 罢了  所以都在拼查杀么？
而且。。罢了 也远远算不算hips。
再说了。。。按你说的“本质上和卡巴的主动防御是一样的”
那么mca多少年前就有的“罢了”，kav现在才来？

而且

这里要说了。。。规则的完善跟完备
并不是简简单单的 什么
“用户仍然是全程最高权限。规则只是卡死一些文件路径，限制一些高危进程（比如浏览器），开放一些路径排除掉一些进程，然后针对一些病毒木马的常见行为做限制罢了”

因为要完善 就要从根基开始考虑清楚怎么才完善

为什么现在版本的规则 能写出那么多不同

就因为方面考虑的不同。
相应的 适应的原则也不同。


如果只是说罢了的话
那么 为什么用杀软？ 用hips 就好了呀。

引用:

原帖由 n2 于 2008-9-27 01:29 发表



我只是想问 。。你要用这个所谓的权限来说明什么？

权限高不安全  还是权限低就安全?

这个跟杀毒扯什么关系  跟kav mca又能扯什么关系?

哎，我就这么说吧，你家门上锁吧，你开门要用钥匙吧，不觉得掏钥匙插锁眼很麻烦么？那么把这个锁拆掉不好么？

mcafee这玩意儿，你去耍下linux就知道了，人家的文件权限本来就是那样的，不像windows很多程序就连运行都要高权限

关于为什么会中毒，如果经常用搜索引擎的话肯定早有觉悟了，而且早就扔了IE了

卡巴的主动防御为什么感觉不中用？因为卡巴不敢限制得太狠，做得相当保守，生怕影响到用户体验而遭骂。既便如此，很多（可以说大部分）卡巴用户是不用主动防御的

引用:

原帖由 henvelleng 于 2008-9-27 01:43 发表

哎，我就这么说吧，你家门上锁吧，你开门要用钥匙吧，不觉得掏钥匙插锁眼很麻烦么？那么把这个锁拆掉不好么？

mcafee这玩意儿，你去耍下linux就知道了，人家的文件权限本来就是那样的，不像windows很多程序就连 ...

你这个钥匙的例子要说明什么？

跟mca或者win的关系？

引用:

原帖由 henvelleng 于 2008-9-27 01:45 发表
关于为什么会中毒，如果经常用搜索引擎的话肯定早有觉悟了，而且早就扔了IE了

用搜索引擎 跟中毒的关系？

引用:

原帖由 henvelleng 于 2008-9-27 01:51 发表
卡巴的主动防御为什么感觉不中用？因为卡巴不敢限制得太狠，做得相当保守，生怕影响到用户体验而遭骂。既便如此，很多（可以说大部分）卡巴用户是不用主动防御的

我从来不用kav。  我第一装kav 就给我出了大错 。。。免！

不用kav 但是我用过很久的ssm 等。
问题就是 hips 也不是无敌、。就那么简单。。在他们功效范围确实还可以有漏洞。

话说了。。。hips 跟“限制” 有什么关系？
hips的好坏就是在乎你用户本身啊。。。 你要比喻的话 把uac跟hips来比还比较贴切

引用:

原帖由 n2 于 2008-9-27 01:52 发表



你这个钥匙的例子要说明什么？

跟mca或者win的关系？

钥匙的例子是要说明易用性和安全性的矛盾

搜索引擎本身是干净的不代表搜索结果的网页都干净

hips的问题在于当前用户基础太差，无法通过hips给出的信息做出正确的选择

至于“限制”和“权限”，我以为本来不需要说明，大家都应该明白的事情，现在发现需要进行解释，等我慢慢码一段

低权限肯定要比高权限安全，因为低权限用户登录以后，创建的访问令牌也是低权限的，所以作为之后所有进程的父进程explorer（这个和linux里的init略有不同，explorer之前还有两个父进程，但这两个不属于进程树里的）也是以低权限启动的，那么继承于这个父进程的所有子进程自然也是低权限的。病毒木马在低权限下能干什么，取决于你的权限到底有多底

现在的病毒木马基本都是基于rootkit的，早期是直接hook系统调用，简单的说，是通过更改SSDT（相当于linux里的syscall table）中的地址，干扰文件系统的返回信息来隐藏自己。现在大多是通过动态加载驱动模块来实现内核态的hook。很明显的，加载驱动属于特权，不是标准用户应该有的权限

在linux下，rootkit会怎么样呢？同样的，通过加载LKM（linux kernel module）进入内核态，但是kernel默认的配置下，module只有在当前kernel版本的源码树下编译才能被加载。（注意这个版本当然不是指kernel组织发布的版本号，而是二进制版本，如果你用过svn之类版本控制软件就该知道）很明显的，首先你必须有当前运行的kernel的源码，所有的发行版都不可能把源码放在普通用户的home目录里（也就是说普通用户没有权限），其次insmod同样需要root权限

如果你不知道什么是用户态内核态，那我再简单说一下。这个其实是cpu的运行级别，用户态和内核态之间不能随意访问（不同的内核有不同的方式），地址空间完全不同

用户态的程序使用libc提供的api，并且受到libc的保护，也就是说libc会帮你擦屁股。比如说内存泄露，只要把出问题的进程关掉，泄露的内存会立即自动被释放（通常在申请heap之后会判断一下有没有申请成功，如果内存泄露到一定程度自然会申请失败），但是内核态，内存泄露就完蛋了。加上linux kernel强制使用c语言，语言本身没有构造析构特性，析构全过程要自己写，按照反序一个一个释放资源，哪怕一个设备号没有释放都会导致kernel很快的死掉

引用:

原帖由 henvelleng 于 2008-9-27 19:23 发表
低权限肯定要比高权限安全，因为低权限用户登录以后，创建的访问令牌也是低权限的，所以作为之后所有进程的父进程explorer（这个和linux里的init略有不同，explorer之前还有两个父进程，但这两个不属于进程树里的）也 ...

你怎么扯到木马隐藏自己去了。。。？
ssdt等非我本行。。 但是要杀毒我自然会用is gmer rk等。。。足够了

现在不是在说不中毒么。。

那么我倒想说 你认为mca封途径有什么大漏洞才是啊。

而且应该说 你觉得 kav 的 “主动防御”  应该强悍多少？

是途径多  还是病毒多。。？

我说了一堆，目的就是为了说明病毒木马等恶意程序是怎么进入内核态的，答案就是权限，用户有意无意的滥用管理员权限，导致恶意进程获得高权限，这个时候，一切都晚了。获得了系统权限或者是成为受信任进程，之后可以慢慢插入线程，慢慢消遣你

我N年前坚持全套麦咖啡，不过这丫不争气，我电脑隔三差五出问题，还中过个什么金的超强毒。

后来换了卡巴+ZA+AVG，至今幸存。

引用:

原帖由 henvelleng 于 2008-9-27 21:42 发表
我说了一堆，目的就是为了说明病毒木马等恶意程序是怎么进入内核态的，答案就是权限，用户有意无意的滥用管理员权限，导致恶意进程获得高权限，这个时候，一切都晚了。获得了系统权限或者是成为受信任进程，之后可以 ...

你的说法就是要说 作茧自缚就是最安全的嘛。。。


不要扯权限 系统内核。对多数人没用。