cyberarmy

瑞星IE保护，而TW2的作用就和瑞星保护的作用差不多，禁止直接网页里执行EXE （MS 07-017鼠标漏洞时的防护效果十分明显）。但是瑞星的IE保护很早就被破了。分别下载EXE和脚本到本地，然后再通过脚本执行EXE，这样就绕过了瑞星IE保护，相信TW2的也同样被绕过。

零号

开了主动防御的卡巴能够防住哦～～～

Aycox

不是高手也非专业出生，只说说个人所知所解：
TW的安全浏览着重浏览安全，作为一种保障系统安全的辅助而非替代品，我想很多人误解的地方在于，安全浏览不可能去检查下载回的东东带不带毒（否则就需病毒库变杀软了），也不会去做HIPS软件所做的事，但假如所浏览的网页要执行程序那么安全浏览将发生作用。

因此，象楼主所说的瑞星报写注册表自动运行而安全浏览未报显然更应该是监控软件的范畴，那个网页具体原理如何不懂，但脚本也可写注册表不一定是恶意程序运行之后写的，至于脚本写注册表专业软件也只是针对写的目标作出监控判断而非写这个动作（除非屏蔽）。

至于那个测试程序，如果它是一个网页可能更有说服力，具体实现原理不知道，有高人可以执教一下，不过本人认为这个并非是通过网页来实现的，我想它与浏览器劫持应该差不多，如上面所说也就不在安全浏览的作用区。

evilcat

1. 2007-06-23 17:04:46        修改其它进程内存
   
2. 操作:允许
   
3. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
   
4. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
   
5. 2007-06-23 17:04:48        修改其它进程内存
   
6. 操作:允许
   
7. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
   
8. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
   
9. 2007-06-23 17:04:49        修改其它进程内存
   
10. 操作:允许
    
11. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
    
12. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
    
13. 2007-06-23 17:04:50        创建远程线程
    
14. 操作:允许
    
15. 进程路径:C:\Documents and Settings\Administrator\桌面\IEKavassText\IE卫士效果检验.exe
    
16. 目标进程:D:\Program Files\TheWorld\TheWorld.exe
    
17. 2007-06-23 17:04:51        运行应用程序
    
18. 操作:允许
    
19. 进程路径:D:\Program Files\TheWorld\TheWorld.exe
    
20. 文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\IEKavass32583.exe

复制代码

TW的安全设计是为了对安全做点有益的补充，功能并不算强大，你不能完全指望TW的保护哈。
上面是EQ记录的（哪位有其他的HIPS更详细的AD记录就发上来哈），似乎穿透了TW的保护，不过我总觉得哪里怪怪的，一时还想不出来

[ 本帖最后由 evilcat 于 2007-6-23 17:20 编辑 ]

playgon

自己顶一下，没沉了底，与高手探讨。