瑞星主动防御及自我保护测试----瑞星VS机器狗 bbs.ikaka.com

DoctorLc - 2008-9-13 17:46:00

上次瑞星成功抵御了熊猫烧香病毒。这次测试的是：机器狗。

系统环境：
XP SP3（虚拟机）
248MB内存

由于该样本已经能够被瑞星检测（新病毒挺难找啊），所以关闭了瑞星文件监控，模拟瑞星未知该病毒。
主动防御中系统加固及木马攻击拦截都为默认配置，以模拟用户环境。

样本：

双击运行该病毒样本。
瑞星主动防御提示：

点击拒绝后，机器狗未能加载驱动。

病毒根本无法运行起来！接下来，瑞星防火墙检测到了机器狗试图联网。

选择拒绝后，机器狗完全被瑞星拦截，肯定无法发作！
看来瑞星09的主动防御确实挺不错！熊猫烧香和机器狗防御的挺完美！
有空继续测试！

瑞星主动防御及自我保护测试----瑞星VS熊猫烧香
http://bbs.ikaka.com/showtopic-8546985.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

病毒4 - 2008-9-13 17:50:00

测试测试下瑞星vs小浩能不能行

DoctorLc - 2008-9-13 18:06:00

一个一个来嘛.....样本难找啊
找到什么测什么呵呵

aaccbbdd - 2008-9-14 18:01:00

主动防御给的时间太短了:default3: :default3:

DoctorLc - 2008-9-14 18:05:00

小狮子呀~~~~~~~~:default6:

dl123100 - 2008-9-14 18:12:00

Javqhc、黑炸弹、小浩、王云禾硬盘终结者、猪三这类恶性病毒建议测一下，样本卡饭、剑盟、绅博等论坛都有。

majia001 - 2008-9-14 18:18:00

期待下一个测试是磁碟机

瑞星工程师14 - 2008-9-16 13:46:00

感谢楼主的支持，希望您提出更多宝贵的建议。

iKAKA001 - 2009-1-28 14:26:00

我个人认为，这个测试没有一点点实际用处。
首先，病毒一般出现的时候，都是在你安装一些软件的或是运行下载程序的时候，一般用户根本不会区别这到底是不是正常程序要做的事情，你会这样选择？
二是，一般病毒程序要进行活动的时候，哪个会写上自己正常的名字，说我是病毒，就比如说这儿，如果它伪装成QQ.exe的话，我想80%的用户会选择放行。这样一来它不就运行了。
我想在这儿除非瑞星肯定的说这是个病毒，虽然我不知道它的名字，不然的话，问题肯定不会是这样子的。

天下奇才 - 2009-1-28 14:35:00

这和家里大门一样，如果用户层面已经认可了该程序，那么，除非有充分的理由，例如杀软认定是病毒，否则必须放行。这是用户的使用权，是一种权力，也是一种威胁。
以名字判断程序是否安全是非常不精确的，我认为不能以名字判断，相反应当以行为来判断。你是否授权了此行为，如果没授权，那就可以怀疑是威胁。

计算机的安全不应当依赖于任何安全软件，任何软件都是不安全的。现在瑞星和绝大部分厂商在做的，就是在不安全的环境中尽可能达到安全。无需用户干预就能保护计算机的时代已经过去，以后会不会回来那还难说，大家都在往这一个方向努力。

rstgl - 2009-1-28 14:37:00

木马行为检测是基于文件监控的。关闭文件监控，则木马行为检测也不起作用了。

4443434 - 2009-1-28 14:37:00

很牛B啊``

iKAKA001 - 2009-1-28 14:47:00

这和家里大门一样，如果用户层面已经认可了该程序，那么，除非有充分的理由，例如杀软认定是病毒，否则必须放行。这是用户的使用权，是一种权力，也是一种威胁。
对于，这句话，是的，我想这是瑞星考虑了其它问题，也是对的。权利的用户的，但是起码瑞星应该给予一个明确的有参考性的说明或是一个行为危害的评级。否则，全靠用户自己定夺，瑞星的主动防御就没有用了。
以名字判断程序是否安全是非常不精确的，我认为不能以名字判断，相反应当以行为来判断。你是否授权了此行为，如果没授权，那就可以怀疑是威胁。
对于，这个，我想瑞星工程师在做的时候，当然不会这样简单，但是，你们不能用专业的眼光来让用户做的和你们一样。用户的确会常常这样做的。
计算机的安全不应当依赖于任何安全软件，任何软件都是不安全的。现在瑞星和绝大部分厂商在做的，就是在不安全的环境中尽可能达到安全。无需用户干预就能保护计算机的时代已经过去，以后会不会回来那还难说，大家都在往这一个方向努力。
这话，我无语:default1:

天下奇才 - 2009-1-28 14:57:00

引用:

这和家里大门一样，如果用户层面已经认可了该程序，那么，除非有充分的理由，例如杀软认定是病毒，否则必须放行。这是用户的使用权，是一种权力，也是一种威胁。
对于，这句话，是的，我想这是瑞星考虑了其它问题，也是对的。权利的用户的，但是起码瑞星应该给予一个明确的有参考性的说明或是一个行为危害的评级。否则，全靠用户自己定夺，瑞星的主动防御就没有用了。

那你考察一下目前主流的安全软件，无论是杀软派，还是HIPS派，考察是否安全的根本是什么？反过来看看微软Vista中的uac，他的目的何在？无非是创建一种权限验证的机制，去尽可能的在威胁到来时提醒用户。
目前的技术不足以给我们找到这样的方案，可以傻瓜式的抵御未知的威胁。

我打个比方，我拿菜刀切菜，有人拿菜刀抢劫，那么拿菜刀到底是不是犯罪的特征？那么什么才是犯罪？这需要定义，除了定义，还需要定义以外的外延描述。对此，安全领域还没有真正能主导的明确的定义，告诉用户什么是威胁。为什么？因为威胁也在不断的变化，不断的更新，目前特征性的描述尚不完全。

引用:

以名字判断程序是否安全是非常不精确的，我认为不能以名字判断，相反应当以行为来判断。你是否授权了此行为，如果没授权，那就可以怀疑是威胁。
对于，这个，我想瑞星工程师在做的时候，当然不会这样简单，但是，你们不能用专业的眼光来让用户做的和你们一样。用户的确会常常这样做的。
计算机的安全不应当依赖于任何安全软件，任何软件都是不安全的。现在瑞星和绝大部分厂商在做的，就是在不安全的环境中尽可能达到安全。无需用户干预就能保护计算机的时代已经过去，以后会不会回来那还难说，大家都在往这一个方向努力。
这话，我无语

这是事实，的确不安全。

我敢说，要能做出一个不需要用户干预，不需要频繁升级的安全软件——很难！
就是工程师自己，也会犯错，也有可能误判威胁。那么，就当前计算机体系结构和人工智能发展水平而言，暂时来说，要想做智能的精确判断，并不是容易的事情。

kunkun520520 - 2009-1-28 15:16:00

说实话，当时熊猫烧香的时候，倒下的基本都是国产的，小红伞，nod32都没事情，卡巴斯基经过升级也能杀掉，别把熊猫烧香神话了！

如下 - 2009-2-2 17:05:00

的确很好啊！

瑞星卡卡安全论坛