不勾選就是管家婆模式，對所有記體體執行的程序都用啟發法監測

相當於主防的存在

但 Comodo 的啟發....你知道的，真的那麼好就不會用 sandbox 這種東西在前面擋著

>不曉得你這裡說的這禁用是IPS直接disable Java Security Manager?
>還是access deny？

白皮書是寫 disable，但諾頓對於自家技術原理一向很保密

只能從實測和官網的啟發定義去推斷

>如果只是要做基於已知漏洞來決定是否disable某個app或plugin
>整合個Bit9之類的黑灰白名單來做也是可以
>因為KIS就是這樣做的

不止是已知漏洞的黑白名單

IPS 是專門針對0day的組件，單一的行為簽名可以殺複數以上（幾百幾千）的攻擊模式

可以參考官方白皮書

https://www.symantec.com/theme/star

http://i.imgur.com/s6ANRUl.png

至於已知漏洞也是每天都在更新，簽名參考

https://www.symantec.com/security_r...erabilities.jsp

卡巴的 AEP 也是類似原理

>如果是我只要檢查到有問題我就禁用
>那更簡單，像Firefox那樣直接由MOZILLA
>設定DLL BLACKLIST就好
>更新完才解除封鎖

漏洞不太可能由 user 全部個別禁用，看一下簽名數量就知道了.....

>而CIS雖然也有類似的東西
>但它顯然沒有同樣的用途
>只是作為行為判斷的依據之一
>我很久之前有發現CIS白名單的一些問題
>https://antimalicious.blogspot.tw/2...-2010cis-3.html
>不過很多年之後還是這樣
>所以我自己是認為這些白名單
>對COMODO來說，不是我以為的那樣

>不知你所說的掉規則是如何？
>是規則存在
>但應該觸發的時候沒有觸發

類似的 bug 到現在還存在

例如明明去掉了「為安全的應用程式建立規則」再自建規則照樣掉包

>你錯了，BB早在最初版CIS 3.0就有了
>當時還給他一個名字叫做DEFANCES+
>後來的Viruscope，只是為了沙盤引進的新的防護配套機制
>而CIS BB依據行為條件定義的不同
>CIS會省略部分行為彈窗，直接提示為高危損害類型

D+ 是 HIPS+sandbox 兩個組件的統稱吧

我以為這邊講的行為判斷是像蜘蛛的 BB、卡巴 SW、BD ATC 這種近乎全智能的主防

如果只是簡化部分彈窗，360 就有用到 RPC 這樣的解析技術

>如果是我，我應該會回報給COMODO官方
>看他們能給出什麼樣的解釋

回過了，台灣的客服死不承認被過，一直堅持 FD 有鎖住

（regsvr32 呼叫 taskhost，taskhost 再執行 cmd，但 cmd 被虛擬化所以報錯）

他們認為這樣就叫防住了

原廠 GeekBuddy 回應

這個是卡飯的負面文，主要不清楚我們的沙箱運作原理
首先是未知被虛擬化執行，但是因為需要寫入機碼，而被中止執行
然後再執行時又跑進沙箱，然後又被中止
所以他在強調沙盒沒作用，其實是一直都在作用
只是卡飯不懂
生成時不會阻擋，因為沒執行
一旦執行就進沙箱囉，有惡意行為就會被隔離掉啦

卡飯那邊是直接殺到英文論壇反映

>業界真正最強也好用的是mcafee企業版
>FD RULE設好一次，我幾乎可以應付所有已知或未知的加密勒索
>不過在台灣沒幾個人真正可以了解mcafee FD規則的精髓
>遑論去應用它了，這是比較可惜的一個部分

我看過 VSE 的預設規則，注重的是入口訪問保護

文件一但拉到信任區雙擊，並沒有任何有效防護措施

咖啡對於啟動磁區、硬碟/記憶體底層訪問也無法阻止

當然如果規則寫得好，是可以達到類萬物殺的效果

>這也是我個人早期比較推PANDA的原因
>PANDA幾乎完全不需要人工干預
>只會提示已經做了什麼樣的處置
>只是panda對於現在流行的勒索表現無法符合一般人的期望
>不然我個人是認為panda是一個比KIS還適合end user的套裝

我不知道你指的"不需要人工干預"是指哪方面的技術

單就這點而言，BD、KS、NS、AVG 都可以做到

其實現階段多數防毒的主防和啟發都加入了對勒索的行為定義

不敢說全攔住，但至少95%以上是沒問題

至於紅傘和 avast 這種沒主防的就不要提了