>我實測過可以防數種buffer over flow, shellcode injection, anti hook

單純的代碼注入多數防毒主防啟發式都能偵測到

我指的是類似 HMPA 之類的堆栈防護

IPS 對於所有 exploit 可能產生的行為都有詳細定義

而且這個定義隨時會被更新，因應最新的狀況

就拿 CVE-2015-2590 這個 Java 漏洞來說，IPS 當時直接禁用了 Java Security Manager

直到 Oracle 釋出 patch 才重新啟用

還有之前的 Yahoo 漏洞，HMPA 和 IPS 都能直接在入口就擋下來

HMPA 報 neutrino-exploit-kit；IPS報 angler exploit kit website

comodo 要入侵到本機 hips 才會有反應

>不過CIS本身有HIPS，所以已經有行為判斷
>就算沒有anti exploit
>之後的行為也可以依靠HISP來防

hips 是行為防護，不是行為判斷

comodo 的bb是 Viruscope，但也要入沙後才能發揮作用

漏洞跟行為防護也是兩回事

有 Exploit Prevention 的防毒能直接針對可利用的漏洞做封鎖

hips 則是對漏洞後續的行為做補救，還不一定能防住

再舉一個例子

http://bbs.kafan.cn/thread-2034559-1-1.html

這個網站我當初測試 IPS 和 HMPA 都可以在入口就攔截住

comodo 除了把 exe 拉入沙之外，對後續的 dll 注入完全沒反應

更何況現在的 CIS 預設是把 hips 關閉用 sandbox 取代，CCAV 也沒有 hips

一但 sandbox 監控不到注入，整個系統就 GG了

>一般的sandbox如果是基於重新定向
>那本來就沒有所謂能不能判斷病毒
>因為它不知道你到底什麼時候清掉
>如果是強制定向，那它根本也穿不出去
>所以也沒有清不清的問題

就先不討論穿沙的可能，因為確實機率很小

但就像我上面舉的例子，sandbox 再怎麼強無法監控到也是枉然

CIS 不適合一般人用原因也不在這裡

多數主流防毒，對於未知病毒都有一套識別技術，至少不會要使用者自己去判斷

把未知全入沙會產生很多問題

用過 sandbox 的都知道，因為權限和重定向的關係，不少程式功能在沙盒裡面是失常的

因為功能失常，連帶著 Viruscope 無法檢測惡意行為

導致使用者無從判斷沙盒裡面的東西要不要放出來

不放出來檔案不能用；放出來又可能是病毒

>另外善用權限繼承設定好FD
>把重要目錄保護好
>就算沒有AD，單靠FD也可以讓BO之後的行為無效化
>除非是直接access physical memory這樣的行為
>需要AD做anti hook或禁止記憶體重新定向

一樣看我那篇例子

>否則純粹論HIPS強度
>應該還是CIS會比KIS強
>但使用體驗跟整合性則是KIS比較好

卡巴 hips 一樣可以開交互模式，每個動作都彈窗

而且卡巴沒有掉規則的 bug

CIS 掉規則從5版到現在一直都沒修復