首先感谢轩辕小聪和天月来了对本文的深入探讨,说说我的自己的看法
1首先我在面向对像中已经申明本文是面对阅读过07安全手册的普通单机用户,所以有关ring0这个直接和硬件打交道的东东已经远远超出本文讨论的范围。当然如果大家希望探讨纯技术问题我们可以开新帖共同讨论。而且在阅读全文后你会发现我在窗口防御的基础思想不是感染后怎么想法处理驱动级的病毒木马。而是去主动避免感染...
2关于SYS的问题,仔细阅读你会发现我是放在“瑞星病毒案例”上的。也就是说这是一个纯感染清除案例,病毒样本从我目前手头的资料应该是情人节前后“华军”被挂的那个样本,IE感染样本名可能是1.EXE。有兴趣可以在虚拟机跑一下:)而关于瑞星的建议问题则也是根据这次手工感染出暴露的问题和不足写给瑞星的建议。实际的手动病毒清除和理论的技术探讨还是有很大区别的。
3还说瑞星我的想法很简单,目前瑞星在三个产品集成大量的安全工具这样很好,但是最大的问题当病毒感染后三程序都无法启动,这样集成的工具也没有用处...这只是我在现实中实际跟踪瑞星用户所发现的一个问题,至于工具包什么的只是一个建议,至于出不出而且卡卡改造不改造则要看瑞星了
4说冰刃,很多时候你根本不知道你面对的下一个计算机是什么的样子。你也不会二四小时带冰刃等工具,当然目标计算机可以上网什么都好说,但是如果有一天你即没带工具又遇到一个无法上网的计算机你会怎么办?还是我说的关于这二个WINDOWS强杀命令我是在“小技巧”中附带,这不是说要用这个去挑战冰刃而给出一个在极端环境下解决问题的小技巧仅此而已。
5关于HIPS我在后面会有详细的介绍,在瑞星篇幅我就没有介绍。我也说了瑞星的HIPS还是太保守了,况且HIPS的前身IPS和IDS的争论就没有停止过现在的HIPS我也在前文后面有介绍,还加上自己关于软件HIPS发展的一点点建议。
