TW2的安全浏览功能有效性的探讨 有效性, 功能, 探讨, 浏览

playgon

　　TW2的安全浏览功能能防止浏览器执行外部程序从而防止网页木马。我在使用过程中，感觉并不全部有效，也可能当时版本较旧，有时用TW2浏览网页时，瑞星报警有程序要写注册表自动运行，而此时，TW2没有反应。（我的安全设置基本上都选了，是选的最安全的方式了，如图）
　　另外有个软件叫IE卫士（IEKavass），可以有效的防止木马病毒，但只支持IE和MT，它有个自带的测试浏览器是否安全的程序，我上传上来，让大家研究一下。这个软件的官方主页是：http://www.iekavass.cn。
　　我希望能得到TW2高手的答复，目前版本是否能真正有效的防止网页木马，请理解我让网页木马吓怕的心情。
　　附件1是我的TW2安全设置的截图，附件2是支持IE和MT1的IE卫士，附件3是支持MT2的IE卫士，附件4是测试浏览器是否能防网页木马的程序，在执行附件4测试时，进程中会出现以iekavass＋数字名称的进程，实际上是模拟木马，点击弹出的提示后，该进程自动消失。

playgon

自己顶一下，没沉了底，与高手探讨。

evilcat

1. 2007-06-23 17:04:46        修改其它进程内存
   
2. 操作:允许
   
3. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
   
4. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
   
5. 2007-06-23 17:04:48        修改其它进程内存
   
6. 操作:允许
   
7. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
   
8. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
   
9. 2007-06-23 17:04:49        修改其它进程内存
   
10. 操作:允许
    
11. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
    
12. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
    
13. 2007-06-23 17:04:50        创建远程线程
    
14. 操作:允许
    
15. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
    
16. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
    
17. 2007-06-23 17:04:51        运行应用程序
    
18. 操作:允许
    
19. 进程路径:D:\Program Files\TheWorld\TheWorld.exe
    
20. 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IEKavass32583.exe

复制代码

TW的安全设计是为了对安全做点有益的补充，功能并不算强大，你不能完全指望TW的保护哈。
上面是EQ记录的（哪位有其他的HIPS更详细的AD记录就发上来哈），似乎穿透了TW的保护，不过我总觉得哪里怪怪的，一时还想不出来

[ 本帖最后由 evilcat 于 2007-6-23 17:20 编辑 ]

Aycox

不是高手也非专业出生，只说说个人所知所解：
TW的安全浏览着重浏览安全，作为一种保障系统安全的辅助而非替代品，我想很多人误解的地方在于，安全浏览不可能去检查下载回的东东带不带毒（否则就需病毒库变杀软了），也不会去做HIPS软件所做的事，但假如所浏览的网页要执行程序那么安全浏览将发生作用。

因此，象楼主所说的瑞星报写注册表自动运行而安全浏览未报显然更应该是监控软件的范畴，那个网页具体原理如何不懂，但脚本也可写注册表不一定是恶意程序运行之后写的，至于脚本写注册表专业软件也只是针对写的目标作出监控判断而非写这个动作（除非屏蔽）。

至于那个测试程序，如果它是一个网页可能更有说服力，具体实现原理不知道，有高人可以执教一下，不过本人认为这个并非是通过网页来实现的，我想它与浏览器劫持应该差不多，如上面所说也就不在安全浏览的作用区。

零号

开了主动防御的卡巴能够防住哦～～～

cyberarmy

瑞星IE保护，而TW2的作用就和瑞星保护的作用差不多，禁止直接网页里执行EXE （MS 07-017鼠标漏洞时的防护效果十分明显）。但是瑞星的IE保护很早就被破了。分别下载EXE和脚本到本地，然后再通过脚本执行EXE，这样就绕过了瑞星IE保护，相信TW2的也同样被绕过。

playgon

我提到的TW2并不能完全防护指的就是网页执行程序，也就是现在TW2称为安全浏览的部分，并不是指的像Aycox超版说的，连下载的软件都保护了。
Aycox超版有时间可以下载IE卫士看一下。
现在情况是，使用TW2浏览含病毒的网页，也可能中毒。
正如Evilcat兄所记录的。其实并不是让TW2拥有HIPS功能，这是不现实的，毕竟TW2的任务是浏览网页。
但是如果能真正有效的防止病毒网页种植木马我想应该更好。
现在使用网银和网络炒股的人越来越多，浏览安全日益重要，毕竟，下载软件到知名软件站点，一般不会有病毒，但浏览就复杂一些了，不能只去搜狐、网易之类的。

michael185

好的上网习惯是最重要的，我裸机，我没事，我先TW不是选安全，当然我不是说做的不好，我只是说那只能是个辅助作用，个人的使用才是最大的问题

playgon

2007-06-23 21:44:24        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:44:16        运行应用程序
操作:允许
进程路径D:\TheWorld 2.0\TheWorld.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\IEKavass21579.exe
2007-06-23 21:43:57        创建远程线程
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:56        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:54        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:47        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:43:33        修改其它进程内存
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
目标进程D:\TheWorld 2.0\TheWorld.exe
2007-06-23 21:42:46        安装全局钩子
操作:允许
进程路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:42:15        运行应用程序
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Documents and Settings\LXH\Local Settings\Temp\Rar$EX03.422\IE卫士效果检验.exe
2007-06-23 21:41:41        安装全局钩子
操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Program Files\Rising\KakaToolBar\ieprot.dll
2007-06-23 21:41:10        运行应用程序
操作:允许
进程路径:C:\WINDOWS\Explorer.EXE
文件路径:C:\Program Files\WinRAR\WinRAR.exe
2007-06-23 21:40:00        文件保护已经开启.

2007-06-23 21:40:00        注册表保护已经开启.

2007-06-23 21:40:00        应用程序保护已经开启.

这是我直接打开压缩文件中的IE卫士测试工具显示信息。用EQ监控的，高手可以分析一下。

[ 本帖最后由 playgon 于 2007-6-23 21:41 编辑 ]

playgon

原帖由 michael185 于 2007-6-23 21:26 发表 http://bbs.ioage.com/images/common/back.gif
好的上网习惯是最重要的，我裸机，我没事，我先TW不是选安全，当然我不是说做的不好，我只是说那只能是个辅助作用，个人的使用才是最大的问题

你上网的面很窄吧，如果要你搜一些资料，上网的面再多一些，嘿嘿，不好说。

playgon

不过我已经向IE卫士的作者反应情况了，希望后续版本也能支持TW2，毕竟现在通过网上银行和网上炒股还有玩网络游戏的人多了，谁都不希望被木马盗去资料，其中浏览网页中毒又是中毒可能最大的。

evilcat

不知道你有没有试过别的浏览器，FX,opera都过不了
我突发奇想测试的记事本，他也说中标了。
自己现在只有EQ，不能准确的知道这测试到底做了什么，不过觉得这测有点问题。
别拿这当真，我个人觉得这测试有点广告的嫌疑。

[ 本帖最后由 evilcat 于 2007-6-23 22:58 编辑 ]