EMET在保护Windows方面有多好?我应该为每个应用程序启用它吗？

Question

我刚刚发现了关于增强缓解经验工具包的事。它背后的科学是超越我的，但它提供了多少防毒保护？

我应该为每一个进程启用它的保护，还是选择最常用的攻击载体，并且只保护那些？我关注的是负面的表现影响。

Answer 1

EMET实现了Win10之前的Windows版本所缺乏的各种保护功能。此外，它还增加了一些保护功能，捕捉常见的剪切和粘贴外壳代码。EMET受到了反对，因为微软现在已经将大部分功能以本地的方式引入Windows 10，尽管并不是所有的特性都存在。

I 一段时间前写了一个答案，它描述了一些标准的EMET特性。

即使在Firefox、Chrome、Office和Visual等更复杂的应用程序中，性能影响也可以忽略不计。我遇到的唯一问题是在打开一些应用程序的标准对话框(例如load / save)时，对"Caller“或"Caller+”特性的错误检测。对于那些情况，我只是关闭了那些功能。

我已经启用了EMET来对抗我系统上的几乎所有东西，这可能会打开许多不受信任的内容。浏览器和文档阅读器显然是首选，视频和音频播放器(例如VLC、MPC-HC)，以及通信应用程序(IRC、Telegram)，加上Windows、cmd.exe、PuTTY、图像编辑套件和其他一些随机应用程序。所有这些都运行良好，尽管有些国家需要进行一些政策调整。

记住，EMET并不能保护您免受恶意软件的攻击。它实现了一些特性，使某人更难成功地实现针对系统上运行的软件(不包括内核！)中的漏洞的代码执行漏洞。这些特性还有助于阻止通用外壳代码正确执行，因此攻击者可能不得不为受EMET保护的系统专门定制漏洞有效载荷。