瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星杀毒软件2011 » 瑞星2009太让人郁闷了
rstgl - 2009-1-1 18:30:00
瑞星2009太让人郁闷了。日志无法清除,且不再记录。将日志保存时间设为1天,可第二天日志仍在。没有了程序启动控制,也没有了程序保护。木马行为编辑器不能使用。瑞星2009不如瑞星2008。程序控制规则中c:\windows\demo是什么意思?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
networkedition - 2009-1-1 18:33:00
日志可以清除呀,程序控制规则中c:\windows\demo是:演示的意思,也就是举个类似例子
newcenturymoon - 2009-1-1 19:03:00
程序启动控制在 应用程序控制中
比如 禁止TxPlatForm.exe启动
在应用程序控制中 点击设置 -添加

然后选中Txplatform.exe 下一步

-完成



之后在 应用程序控制中会看到几类规则
文件规则  :可以控制该进程访问或者修改某些文件(夹)
注册表规则:可以控制该进程访问或者修改某些注册表键值
系统动作控制 可以控制该进程的某些危险动作(加载驱动,设置全局挂钩等等)
启动程序:可以控制该程序启动其他程序或者被其他程序启动



单独应用程序保护确实没有了 但有帐号保险柜 该程序跟之前的应用程序保护功能相同。如果想保护某些应用程序可以借助他的功能。如图





关于木马行为编辑器的使用可以参考http://bbs.ikaka.com/showtopic-8559646.aspx
添加规则的方法 :需要点击左下角的“添加”按钮才可以
这样你所谓的按钮就不是灰的了 可以编辑了



附件: Snap8.jpg
rstgl - 2009-1-1 20:19:00
按钮始终是灰色的,点添加也没用。原来的启动控制可以防止键盘监听,防止模拟按键,防止内存读取。现在的只能启动控制。又不象组策略有优先级。设*启动程序提示则不胜其扰,设*启动程序放过,再设其他程序如ie启动程序提示就不起作用,仍是放过。08版可以的,09 版倒不行了。白名单设计也不好,加入白名单就完全不监控了。你把explorer加入白名单甚至可以把瑞星受保护目录删了。如果病毒成功注入explorer可以删了瑞星。我认为加了白名单的程序仍然应该监控,只是不提示,甚至应该可以选择是否记录日志。
rstgl - 2009-1-1 20:25:00
帐号保险柜修改路径来添加其他程序的方法我试过没用,会提示在该路径找不到如魔兽之类的。
newcenturymoon - 2009-1-1 20:45:00
添加后 选中已经添加的 规则名称 在右边就可以操作了 如果还不可以请截图上来说明
“原来的启动控制可以防止键盘监听,防止模拟按键,防止内存读取。现在的只能启动控制 ”  原来的就没有这个功能 这个功能是在原来的应用程序保护中的
“白名单设计也不好,加入白名单就完全不监控了。你把explorer加入白名单甚至可以把瑞星受保护目录删了。如果病毒成功注入explorer可以删了瑞星。”  帐号保险柜3.0是独立的 就是为了这种现象 如果被保护程序试图破坏瑞星 瑞星仍然是禁止的
以下是我把Explorer.exe加入到防御白名单后 瑞星自我保护的历史记录
调心 - 2009-1-1 20:54:00
LZ说的情况未遇到.
rstgl - 2009-1-1 22:24:00
现在没有了程序保护,帐号保险柜不能保护的程序如何防止键盘监听?08可以添加到程序保护的。你说点添加后就可以编辑行为,可是我连文字都输入不了。
rstgl - 2009-1-1 22:30:00
另外系统加固进程保护怎么少了explorer,explorer*?explorer多容易被侵犯,它是用户级的,又不是系统级的,还偏偏是必不可少的进程。
newcenturymoon - 2009-1-1 22:37:00


引用:
原帖由 rstgl 于 2009-1-1 22:24:00 发表
现在没有了程序保护,帐号保险柜不能保护的程序如何防止键盘监听?08可以添加到程序保护的。你说点添加后就可以编辑行为,可是我连文字都输入不了。

你截图上来  光说 没啥用
rstgl - 2009-1-1 22:37:00
木马行为编辑器无法导入。
newcenturymoon - 2009-1-1 22:40:00
点击导入 一个都不能导入?
stockyang - 2009-1-1 22:42:00
是的,09的应用程序保护没有08的好,运行被保护的程序时也没提示,不知道是不是受到保护.真让人失望
rstgl - 2009-1-1 22:50:00
试过n次了都无法导入。一个都不能导入,用管理员帐户也不行。
rstgl - 2009-1-1 22:55:00
我甚至用木马行为编辑器把这些规则复制到瑞星目录(用这个可以在瑞星目录创建文件,仅限xml文件。)再导入都不行。
rstgl - 2009-1-2 10:46:00
加入白名单的程序就不再临控于安全不利,建议采用多级白名单,如启动程序白名单,加载驱动白名单等。如设*启动程序提示,将常用程序中经常要启动子程序的如explorer,同城游等加入启动程序白名单。这样可发现未知程序启动,又可免打扰。而且如同城游程序等被病毒修改,替换后除了启动子程序不被监控外,其余动作仍可被监控。现在的白名单中的程序如果被病毒替换则可为所欲为,不被监控。
晓雾を忆凝 - 2009-1-2 10:48:00
木马编辑器不建议新手使用
rstgl - 2009-1-2 12:13:00
木马行为编辑器瑞星又没公布内置规则,自己编辑的难免与之重复。更可笑的是有文章介绍编辑方法竞有针对具体创建文件名如1.exe的,这个思路和特征库有何区别?木马行为编辑器应该是用来防止未知木马的。
newcenturymoon - 2009-1-2 12:54:00


引用:
原帖由 rstgl 于 2009-1-2 12:13:00 发表
木马行为编辑器瑞星又没公布内置规则,自己编辑的难免与之重复。更可笑的是有文章介绍编辑方法竞有针对具体创建文件名如1.exe的,这个思路和特征库有何区别?木马行为编辑器应该是用来防止未知木马的。

你可以重新更新下木马行为编辑器
文章介绍的方法只是一部分
木马行为编辑器 还有监控动作的行为 比如系统挂钩(SetWindowsHook) 释放并加载驱动 释放远程动态库 创建远程线程(CreateRemoteThread) 启动某进程(CreateProcess) 监控对某注册表改动 查找文件(FindFirstfile) 等等
这些就是病毒的一些通用行为特征
建议你先仔细看看 行为编辑器的使用方法 ~
newcenturymoon - 2009-1-2 12:56:00
另外如果规则无法导入 把那些XMl 直接放到C:\Documents and Settings\All Users\Application Data\Rising\common\rsdef下面就可以 然后 打开木马规则编辑器 点击 将记录应用于木马行为防御 就可以了
rstgl - 2009-1-2 13:49:00
common目录不存在。新建common,再在其下建rsdef文件夹,把下载的规则xml文件放入rsdef目录,现在可用了。谢谢!
1
查看完整版本: 瑞星2009太让人郁闷了
© 2000 - 2025 Rising Corp. Ltd.