我们非常重视“木马入侵拦截”(网站拦截和U盘拦截)这两个功能,试图将90%以上的流行木马病毒阻挡在电脑之外。但是没有万无一失的边境,一旦木马病毒进入电脑,那就要靠第二道防线—主动防御,在查杀病毒之前,先拦截住木马病毒的破坏行为。
09版的主动防御除了增强功能以外,还有一点就是基于互联网的。具体体现在“木马行为防御--木马行为编辑器”,对于很多资深电脑用户或者反病毒爱好者来说,用这个工具,可以自己添加木马行为防御规则,阻挡木马的破坏行为。用户自定义规则可以通过导入导出功能进行传播和分享。如果我们认为用户自定义的规则是非常有效的时候,会将这些规则升级为瑞星内置的防御规则,这样产品功能将不断增强,而且也给用户提供了更灵活的接口和展示自己的机会。
借助瑞星云安全网,会有很多非常优秀的用户自定义规则诞生。这样借助大家的力量,不断增强和完善主动防御,即使有病毒感染到电脑中,它也不能进行破坏了。这就是我们一直希望的“全民防御”。
下面简单介绍一下“木马攻击拦截行为编辑器”这个工具:
1、该工具包含【库信息】和【记录信息】两大部分,【库信息】就是添加、删除、导入、导出和生成规则的。【记录信息】就是具体对规则进行描述的,包含记录名称、敏感级别、规则作者、抽象的病毒特征、形象化的恶意指令序列等等。特别说一下,添加规则作者后,当规则生效时,在瑞星主动防御的弹出界面是可以看到作者名称的!:)
2、通过添加记录-添加名称、作者和病毒特征(强自复制,弱自复制,强自启动,弱自启动,释放服务程序,释放驱动程序,释放并加载远程动态库,释放并加载驱动,释放并加载全局钩子,激活释放的文件,释放WIN32_EXE文件,释放WIN32_DLL文件,释放内核EXE文件,释放内核DLL文件等,这些动作是几乎所有木马、蠕虫都会有的动作。木马攻击拦截将这些普遍动作定义为“病毒特征”,用于简单的、抽象的描述木马攻击行为中应包括的恶意动作。它是顺序无关的、参数无关的。)-文件行为、注册表行为、API行为(有关联的、参数有关的)。最终生成一条完整的规则。
3、规则生成后,可以通过导出功能上报给瑞星公司和其他用户进行分享。