瑞星卡卡安全论坛

http://forum.ikaka.com/topic.asp?board=28&artid=8433043
“清新阳光”在上面这个帖子了谈了病毒利用瑞星升级程序毁掉瑞星及其防范措施。
这种设置需要用户仔细分辨————到底是谁调用C:\Program Files\Rising\Rav\Update\Setup.exe，然后，根据具体情况，由用户做出“允许”或“拒绝”回应。万一用户回应错误，可能会有麻烦。

我想了另一个办法解决这个问题。

1、在瑞星2008“主动防御”的“应用程序访问控制”中增加两条规则即可。其中，第一条为“允许RavCopy.exe访问C:\Program Files\Rising\Rav\Update\Setup.exe”（图1）。


[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)


附件: 155847200837224255.jpg

2、第二条为“限制其它程序访问C:\Program Files\Rising\Rav\Update\Setup.exe”（图2）。



附件: 155847200837224326.jpg

有人可能有疑问：第二条规则中的“*”代表“任意程序”，那么第二条规则岂不也禁止了RavCopy.exe访问C:\Program Files\Rising\Rav\Update\Setup.exe”？其实，因为有了第一条规则，这种问题并不存在。规则设置好后，升级一下瑞星就知道了。
升级开始（图3）。



附件: 155847200837224409.jpg

升级完成（图4）。

附件: 155847200837224425.jpg

运行一下病毒————被我的规则挡住了（图5）。

这样，这类病毒企图“鱼目混珠”的把戏就被我们搞掂了（它不能利用C:\Program Files\Rising\Rav\Update\Setup.exe毁坏瑞星了）。

【注】
这个帖子不谈如何防范这个具体的病毒，而是谈“如何防范这类病毒利用C:\Program Files\Rising\Rav\Update\Setup.exe毁坏瑞星”。
如果要防这个病毒，在应用程序访问规则中再加几条规则即可。

附件: 155847200837224500.jpg

汗,我第一个!

猫叔.那如果有类似磁碟机的病毒直接破坏杀软呢??  (请猫叔给我讲下磁碟机是如何破坏杀软并限制其运行的,呵呵,耍样本这么久都没搞明白)  请猫叔接着写吧,多写些有关这些的,支持猫版!!!!!

磁碟机 有驱动 先恢复了SSDT  这样大部分软件的主动防御和自我保护就失效了

破坏杀软属于病毒技术,在此处不讨论吧

公布出来对RS的损失就大了~~~~~

恩,偶去自己研究下

偶在我的小白鼠机器上也搞了下规则.以后估计有用处,去找样本~

已按照猫叔的设置做了，想问一下C:\Program Files\Rising\Rav\Setup.exe也要设置吗？？

按照猫叔的设置好了，

以为瑞星能杀了  开着监控  继续挂!

没仔细看好规制.....  瑞星现在88了

好！

ruixing把国外的一些先进的作法都学来了，可是它行事太张狂，犯了众怒，业界高手都盯上它、不放过它了，无论它如何努力，也无济于事的！
偶等用户，还是选那些不张扬，踏实做事、生僻的安全软件用，才是明智之举，绑在ruixing的战车上受牵连不值啊。

永远都在学习中

请16楼说话客观点。

引用:

【baohe的贴子】2、第二条为“限制其它程序访问C:\Program Files\Rising\Rav\Update\Setup.exe”（图2）。 ………………

请问，这里面添加的四条规则我们都要添加吗？？
谢谢啊

我还有种方法：
1.在主动防御的程序控制里面添加对C:\Program Files\Rising\Rav\Update\Setup.exe的控制。
2.设置允许C:\Program Files\Rising\Rav\CopyRun\RavCopy.exe启动C:\Program Files\Rising\Rav\Update\Setup.exe。
3.设置禁止（或者设置为提示）其他程序启动C:\Program Files\Rising\Rav\Update\Setup.exe。
至此，大功告成。

附件: 8992102008328142306.rar