规则越简单越狠越少越好，不要搞很多条目，结果自己都记不清楚，反而影响了用户体验而且变得不安全

这个东西和vista的uac是一回事，uac是一个极度简陋的hips，mcafee规则是阉割版的hips。如果你不喜欢uac，那么你必定会极度讨厌mcafee

hips是万能的，拼病毒库特征码终有中招的一天，早晚你会领悟这句话:D

引用:

原帖由 xmm 于 2008-9-20 15:32 发表

那你也要懂啊

我觉得涉及的知识都是常识啊，会修电脑的好人应该都懂

引用:

原帖由 n2 于 2008-9-21 11:50 发表



这个东西和vista的uac是一回事，uac是一个极度简陋的hips，mcafee规则是阉割版的hips。如果你不喜欢uac，那么你必定会极度讨厌mcafee

hips是万能的，拼病毒库特征码终有中招的一天，早晚你会领悟这句话

...

mcafee规则主要是文件保护，这只是hips功能的一部分而已，当然有些所谓的“智能”hips会乱搞，这个不作为讨论对象

mcafee一个很不人性化的地方在于，你不能在触犯规则的时候临时取消这条规则（在一定时限内取消），而其他hips基本都能做到，甚至vista的uac，这方面用户体验做得就很不到位了，极易导致用户的反感

规则设定没有什么复杂的，我设的规则都很简单而且足够狠，就是把能禁的全禁了，你mcafee只能文件保护，那么我把硬盘上所有的系统文件夹，可执行文件，动态链接库全部设为只读就是了，没有写权限没有执行权限还能搞出什么花样来？但是我前面就说了mcafee的用户体验做得不好，在设了这样的规则以后，操作变得很不愉快。还有，即便是类似linux发行版那样的做法，我仍然看到很多用户直接用root登录操作。由此可见，大部分用户根本不在乎安全性，不在乎中毒，不在乎被攻击，甚至不在乎误操作，如果出现这些问题，责任一定是软件开发者身上而永远不会是用户本身，俄，好像说远了……

LS，安全性就是以牺牲易用性和效率为代价的

引用:

原帖由 n2 于 2008-9-23 09:21 发表



还是那句


了解下现在的规则再说吧...不是我们随便写的几个所谓的"规则"...

如果当前用户时时刻刻都拥有上帝权限，那么这个系统肯定是不安全的。你未免太相信所谓的专家写的规则了

引用:

原帖由 n2 于 2008-9-27 00:35 发表



laf！

你这样说 什么叫做最高权限？ 难道你用 杀软你就没权限了 ？？？ omg

mca规则防止的是途径。。这个是重点。
不管是专家还是不是专家（然而 事实是，对系统了解多的人 完善出来并经过多人检验的规 ...

所谓的安全性以牺牲易用性为代价就是指用户在绝大部分时间里或者说绝大部分操作都是在低权限之下的，直观的说，至少：无法更新系统，无法安装驱动，无法安装软件，甚至对一些敏感的文件和文件名没有写权限和执行权限。在需要进行这类操作的时候临时打开权限

你所指的那些规则，是说这些规则限制并不影响用户的操作，也就是说，用户仍然是全程最高权限。规则只是卡死一些文件路径，限制一些高危进程（比如浏览器），开放一些路径排除掉一些进程，然后针对一些病毒木马的常见行为做限制罢了，本质上和卡巴的主动防御是一样的

n2同学是不是长时间用管理员权限使用windows导致对权限的概念模糊了？即便是windows本身也有权限的

引用:

原帖由 n2 于 2008-9-27 01:29 发表



我只是想问 。。你要用这个所谓的权限来说明什么？

权限高不安全  还是权限低就安全?

这个跟杀毒扯什么关系  跟kav mca又能扯什么关系?

哎，我就这么说吧，你家门上锁吧，你开门要用钥匙吧，不觉得掏钥匙插锁眼很麻烦么？那么把这个锁拆掉不好么？

mcafee这玩意儿，你去耍下linux就知道了，人家的文件权限本来就是那样的，不像windows很多程序就连运行都要高权限

关于为什么会中毒，如果经常用搜索引擎的话肯定早有觉悟了，而且早就扔了IE了

卡巴的主动防御为什么感觉不中用？因为卡巴不敢限制得太狠，做得相当保守，生怕影响到用户体验而遭骂。既便如此，很多（可以说大部分）卡巴用户是不用主动防御的

引用:

原帖由 n2 于 2008-9-27 01:52 发表



你这个钥匙的例子要说明什么？

跟mca或者win的关系？

钥匙的例子是要说明易用性和安全性的矛盾

搜索引擎本身是干净的不代表搜索结果的网页都干净

hips的问题在于当前用户基础太差，无法通过hips给出的信息做出正确的选择

至于“限制”和“权限”，我以为本来不需要说明，大家都应该明白的事情，现在发现需要进行解释，等我慢慢码一段

低权限肯定要比高权限安全，因为低权限用户登录以后，创建的访问令牌也是低权限的，所以作为之后所有进程的父进程explorer（这个和linux里的init略有不同，explorer之前还有两个父进程，但这两个不属于进程树里的）也是以低权限启动的，那么继承于这个父进程的所有子进程自然也是低权限的。病毒木马在低权限下能干什么，取决于你的权限到底有多底

现在的病毒木马基本都是基于rootkit的，早期是直接hook系统调用，简单的说，是通过更改SSDT（相当于linux里的syscall table）中的地址，干扰文件系统的返回信息来隐藏自己。现在大多是通过动态加载驱动模块来实现内核态的hook。很明显的，加载驱动属于特权，不是标准用户应该有的权限

在linux下，rootkit会怎么样呢？同样的，通过加载LKM（linux kernel module）进入内核态，但是kernel默认的配置下，module只有在当前kernel版本的源码树下编译才能被加载。（注意这个版本当然不是指kernel组织发布的版本号，而是二进制版本，如果你用过svn之类版本控制软件就该知道）很明显的，首先你必须有当前运行的kernel的源码，所有的发行版都不可能把源码放在普通用户的home目录里（也就是说普通用户没有权限），其次insmod同样需要root权限

如果你不知道什么是用户态内核态，那我再简单说一下。这个其实是cpu的运行级别，用户态和内核态之间不能随意访问（不同的内核有不同的方式），地址空间完全不同

用户态的程序使用libc提供的api，并且受到libc的保护，也就是说libc会帮你擦屁股。比如说内存泄露，只要把出问题的进程关掉，泄露的内存会立即自动被释放（通常在申请heap之后会判断一下有没有申请成功，如果内存泄露到一定程度自然会申请失败），但是内核态，内存泄露就完蛋了。加上linux kernel强制使用c语言，语言本身没有构造析构特性，析构全过程要自己写，按照反序一个一个释放资源，哪怕一个设备号没有释放都会导致kernel很快的死掉

我说了一堆，目的就是为了说明病毒木马等恶意程序是怎么进入内核态的，答案就是权限，用户有意无意的滥用管理员权限，导致恶意进程获得高权限，这个时候，一切都晚了。获得了系统权限或者是成为受信任进程，之后可以慢慢插入线程，慢慢消遣你