瑞星卡卡安全论坛

这后面的回帖中，有部分是前版主和网友与我的观点讨论！其中有些观点值得大家参考！可以申请加精华！

------------------------------------------------------------------------------------------------------------------------------------




可以毫不客气的说：瑞星09版防火墙的确有较大的问题！！

不说别的：单单是从防火墙的升级次数来说就足以说明这个问题！瑞星在不断的为自己的防火墙打补丁！以前以及很早以前，瑞星防火墙是相当稳定的，这也是我使用它的原因！但至从09版发布以来，基本上防火墙都是每天有更新！大大超越了以前的更新频率！以前是几天或一周才更新一次，但现在几乎天天更新。从某个层面来说是在完善软件，但我的个人理解是：瑞星防火墙存在较多和较大的问题。瑞星公司不断的从论坛收集信息，然后让工程师检测然后发布优化和补丁程序。由于问题在不断的发现和产生，所以升级文件也是天天更新！有时发现连续几天都只更新一个文件，而且更新的文件都是同一个文件！（这两天就有这情况）看样子瑞星技术工程师事前并没有做好相关的测试工作，就仓促发布了那些补丁！用不少小白的电脑来做生死测试！看看论坛就知道了，每天反映问题的朋友有那么多，甚至好些问题都还有普遍性！这就是瑞星公司的问题了！不能让消费者又花钱又赔人来做你们的牺牲品和小白鼠啊！真当消费者是“傻冒”啊！！我就不明白了：瑞星09的公测时间那么长，是国内三个杀毒软件中最长的，发现的问题也应当是最多的吧。但被解决的问题也应是最多的，软件的功能和稳定性上也应当是最好的啊！这才成正比这才合乎常理啊！！但事实好象不是这样！公测时间再长，但瑞星公司和工程师没有正确对待和采纳参测人员和用户的建议，才致于此！！如果说瑞星看重了这些建议，那么就只能说明：瑞星对09版中所采用的最新技术或改进并没有真正的掌握好！说到底就是技术不够熟练，尚未能开发出真正成熟的产品来。就大做广告宣布自己掌握了这一技术以及仓促发布上市！我不知道瑞星这么长的公测时间中，你们在做什么？？？

真正的主防技术，现在没有人真正掌握了！就算象卡巴斯基这样的老牌公司，它也只是刚刚入门而已，距离真正的主防技术还有很长的路要走！瑞星更远了！真正的主动防御不是只是简单的弹出一个窗口，把对危险的判断交给一个对安全知识一无所知的用户来决定！！真正的主防软件应是智能化的，不需要用户参与。安全防范和管理，这是杀毒软件自己的责任，杀毒软件自己没有本事无法判断一个进程是否有危险而让用户去决定，这本身就是杀毒软件的失职！造成的后果应当由杀毒软件承担！！就象一个小区进了小偷一样，保安把责任推给用户：说用户自己的门不够坚固一样的可笑！
希望瑞星能真正强大起来！不要让用户一失望再失望！！09版瑞星杀毒软件什么时候稳定了，我什么时候就安装！！09版的瑞星防火墙我两周前安装了，但使用中感觉不太好！

顶！！！！！！！！！！！！！！！！！！！！！！

支持楼主.

支持

一个真正成熟的防火墙软件是不需要经常升级的！因为防火墙是没有病毒库的，只有规则包。而防御规则包一旦定形后就不需要经常更新了！更不必说它的程序核心文件了！一个成熟软件的核心程序文件和版本是不需要经常更新的！这东西时常更新的话按一般原理讲就只能说明它不够稳定和成熟，还需要不断的改进！瑞星就经常更新版本！这里我不是说瑞星技术不行，可能是瑞星基于商业操作需要，所以经常升级版本！每当发现有问题时，客服人员都会说：该问题将会在下一个版本中解决！但最近瑞星09版防火墙的异常更新频率，让我感觉它的确不够成熟！！防火墙升级频率过高，对于用户而言并不是一件好事！！

其一 防火墙目前的确有些问题 也在解决。但防火墙天天更新也不证明防火墙存在很多问题 瑞星09防火墙有网络攻击拦截和恶意网址拦截 这两个库是需要天天更新的 所以即便是稳定了 防火墙也是需要针对新的威胁天天更新的，不信你可以等着看～
其二 所有的主动防御技术无外乎是 挂钩些系统钩子 对于某些触发系统动作的软件进行行为分析 这个没有什么技术上的门槛限制 微软也为大家提供了这些接口 任何软件都可以开发出来这些技术。然而再厉害的主动防御技术也有其弊端，病毒完全可以利用其漏洞突破。所以与其使病毒进来，利用主动防御技术发现威胁，不如守住病毒进入的大门口，让病毒不要进来，病毒进不来，行为分析也用不上了，主动防御也用不上，因此以后安全软件的主攻方向是让病毒根本不要进来，而不是等他们进来了再用行为分析用主动防御去和他们肉搏

楼上newcenturymoon 的昨天晚上帮了我，再次向你表示感谢！！你的身份是技术团队成员，观点中至少有部分代表瑞星官方团队的意思吧？以下为纯技术和观点讨论！

主防概念这可是瑞星2008版的主推卖点啊！当时炒得那么火热，现在这么快就抛弃了？？？？？05年是瑞星组合套装时代，都宣扬杀毒软件加防火墙组合，06年是即时升级年代，所有软件都实时升级病毒库，07年是虚拟机时代，08年是主动防御年代，09年改云安全了。这是瑞星的发展史！历史变化真快啊！既然主防技术有漏洞，那么瑞星的云安全就没有漏洞？？？万一病毒进来了，就没有办法了？？就不需要行为分析去杀毒了？

云安全想得到是很“理想”，但太过理想的东西其实就不现实也不实用！！要做真正的云安全，这不是哪一个公司就可以做到的！这需要财力和人力！瑞星公司是有钱，这点我相信，但仅凭瑞星的财力还不足以能支撑互联网如此海量信息的存储和数据的搜索分析！购置和运营维护如此庞大的并列式刀片服务器其花销可不是一家公司能做得到的！瑞星再有钱也不例外！有人说“没有1000台服务器别谈云安全”这话虽说偏激，但实则有理！其花费是个天文数字！！互联网太大了，每天信息变化量如此庞大，你收集得完吗？存储得了吗？这些都需要钱！！！其二：瑞星的客户端不可能伸及互联网的每个角落，瑞星的用户数再多也是有限的（全世界多少人，瑞星有多少用户？？占几分之一？宣传说的几千万用户我估计也是有水份的），而且不是每一个人都会主动参与到“云安全计划”中来（假如强行令其参与的话，就是流氓行为了），那么既然客户端不能遍及每个互联网的角落，那么病毒木马肯定就有漏网之鱼。林子大了，什么鸟都会有的。只要有一个漏网之鱼就可以洞穿你的这朵虚拟的“云”了！所以此时行为分析就有必要和有效了！因此抛弃行为分析主动防御无异于从一个极端走向了另一个极端，半年前瑞星还在大肆宣传主动防御，现在又说主防过时了，这不是在扇自己的嘴巴吗？所以说以后瑞星的广告宣传上要注意这一点了！！其三：海量的数据实时抓取和分析，这需要技术和网络支持！现在的互联网架构决定了要想实现理想中的那朵“云”的想法，还有点过早！下一代的互联网可能更适用于“云”。爬虫技术可以有效的结成这张网和从网上采集有效数据。但这技术的发展尚在成长中，距离实用或适用于安全领域的这朵“云”，可以说尚待时日！！在网络硬件和技术软件上没有突破，要想达到不让病毒进来，达到这朵“云”牢不可破的地步，就现在来讲还遥遥无期，最多现在只是个开头而以！！

网络攻击拦截这东西是不需要天天更新的，这是个技术问题，如果它还在天天更新的话，说明防火的技术根本就没有成熟！防不了网络攻击！！第二：恶意网址拦截这块倒是要更新网址库的，但这是卡卡的作用啊？如果防火墙做了这工作了，那卡卡做什么用？假如这是卡卡的功能，那防火墙就没有用了？我同时安装了卡卡和防火墙，不是重复了吗？而且瑞星不是建议我们同时安装防火墙和卡卡吗？

首先声明： 我的头衔和身份无关 原来我是版主 由于工作等原因 有时无法管理论坛 所以挂了个技术团队的名称 这个和瑞星官方无关 只是卡卡对于某些瑞星的老版主的一个“待遇” 所以我说的话只是我个人观点
另外主防观念 没有被抛弃 只是淡化了 他已经形成了瑞星软件的第二套防线
目前的09可以说有三套防线
一 木马入侵防御
二 传统的主动防御(HIPS) 和行为分析技术（木马行为防御）
三 传统的病毒库
木马入侵防御 基于两种入侵方式的防护 一是网页防护 二是U盘防护 尤其是网页防挂马防护 目前看来比较成功 可以帮用户即时拦截住网马 这个是靠网页脚本的行为分析 也属于主动防御新衍生出来的部分。
当然木马入侵防御也可能会有遗漏 那么当病毒进来了 还有下一步的主动防御技术（HIPS）和行为分析技术（木马行为防御） 他们可以及时发现新的进入系统的未知病毒
再突破了这一关 最后的就是传统的病毒库了～
之前提出的主动防御仍然存在于瑞星09中并且拦截的点更加多 且行为分析更加全面 你可以自己试试 这个也是在发展中的 今后相信发展的会更加智能
另外关于云安全 没有那你说的那么简单 而且瑞星的云安全也不是所谓的爬虫技术 而是利用广大网友的力量帮我们挖掘病毒源头（恶意网页）和各种病毒样本，然后我们一起去封堵病毒源头
关于 云安全的 我的一点看法 可以看看这个帖子
http://bbs.ikaka.com/showtopic-8576910.aspx

[quote] 原帖由 newcenturymoon 于 2009-1-3 0:08:00 发表
首先声明： 我的头衔和身份无关 原来我是版主 由于工作等原因 有时无法管理论坛 所以挂了个技术团队的名称 这个和瑞星官方无关 只是卡卡对于某些瑞星的老版主的一个“待遇” 所以我说的话只是我个人观点
另外主防观念 没有被抛弃 只是淡化了 他已经形成了瑞星软件的第二套防线



newcenturymoon 瑞星老版主！！！哟，向你致敬！！不想我遇上老版主啦！！

主防概念这可是瑞星2008版的主推卖点啊！当时炒得那么火热，现在这么快就抛弃了？？？？？
依然是主流技术
万一病毒进来了，就没有办法了？？
09的思路：病毒进不来
“没有1000台服务器别谈云安全”
360的老周说的，流氓软件之父
误报严重
全世界多少人，瑞星有多少用户？？占几分之一？宣传说的几千万用户我估计也是有水份的
据统计占我国市场45%，日本第三
8000千万
就不需要行为分析去杀毒了？
只要有一个漏网之鱼就可以洞穿你的这朵虚拟的“云”了！所以此时行为分析就有必要和有效了！因此抛弃行为分析主动防御无异于从一个极端走向了另一个极端，半年前瑞星还在大肆宣传主动防御，现在又说主防过时了，这不是在扇自己的嘴巴吗？
汗死，瑞星09里的主动防御不是削弱了，是加强了。行为分析不等于主动防御。主动防御三层：hips（资源访问控制）资源访问扫描（传统网页监控，邮件监控，文件监控）行为分析和判断

反病毒区的

长期致力于木马的研究

网络攻击拦截这东西是不需要天天更新的
没听说天天更新

不是根据特征库判断的
没必要实时更新

就像09的“网页监控”（木马入侵拦截-网站拦截）
木马入侵拦截-网站拦截根据行为拦截

拜读《“云安全”释疑》一文，http://bbs.ikaka.com/showtopic-8576910.aspx 再言：
U盘监控我们不说，这是老套的了！！就说木马入侵防御网页防挂马！！你在文中说到瑞星会自动拦截恶意脚本！当访问有挂马的网站时候木马入侵防御可以根据该脚本的行为及时判断出是否有恶意行为，如果有则立即拒绝掉 病毒根本不会下载到本地更不会运行的。你谈的是理想中的状态！基于上面的结论成立的基础是：这是已知木马病毒或已知的恶意脚本行为，随着技术的进步，木马病毒也在进化啊！！新的木马挂马技术出来后，云安全也能百分之百的防得住吗？再说能防得住的也只是病毒库或规则包中已有的东西，新的木马或规则包内不存的脚本行为，云就防不住了吧！！既然是能防得住的，何必再收集到病毒库中让卡卡或防火墙或杀毒软件升级呢！！大家的病毒库或恶意网址库中都是有的东西，升级是否还有必要？拦截到的都是已知的东西，未知的东西未必防得住！所以你所谈的那种病毒根本不会下载到电脑中的情况有点言过其实了！！！你谈的云安全其实说简单点就是行为分析技术！行为分析防御其实很容易洞穿的，同样对于瑞星的这个云安全中的木马入侵防御和网络攻击拦截也很容易击穿！因为现在的防马理念就是：木马病毒具有隐蔽性和破坏性！针对这种行为的分析本身就存在致命的漏洞！只要让木马抛弃原来的那些隐蔽进程、修改注册表、进程hook注入，就模拟正常的程序进程或脚本行为，行为分析就起不到多大的作用！！木马被光明正大的下载到电脑中，而不是偷偷的下载到电脑中哟！！！这一点很恐怖的！！过分依赖某一个技术，就会让人失去更多！！原理如此！太绝对了，或是太理想了，就非常容易犯一些小儿科的错误！！

你可以随便用某些论坛上的挂马网页 去用瑞星试试 瑞星的防网马技术是完全基于恶意的shellcode行为的 而且不用升级已经拦截了很多0day漏洞  最近的IE7-0day漏洞就是个极好的例子 
来个图 拦截某网站网马的图

利用漏洞的攻击代码(shellcode)往往会带有一些普通网页脚本不带有的行为 利用这些通用行为分析拦截到的这些网马
病毒库和恶意网址库 升级其实没有那么必要了 只要你在干净的系统中装的杀毒软件 病毒几乎就进不来 但不升级也不行吧 广大网友不会答应的 有些人就是有虚荣心 看着杀软升级 人家很高兴～～
我说的云安全 不是行为分析。再说一次 行为分析是第二层 是HIPS和木马行为防御 是当病毒下载到本地运行后的行为分析  而云安全致力于搜集利用人肉搜索（借助于木马入侵防御） 将病毒拦截在系统之外
这第一层不灵了 才有你说的行为分析

概念问题 不想说了 每人有每人的见解 你自己试试看看就知道了～

再说一句：

瑞星的木马入侵防御和网络攻击拦截说得简单点，就是总结过去的一些木马入侵和攻击行为和原理，总结出一套规律来，制定成一系列的规则包然后加到防火墙中去！自然规则包就多了！现在的攻击和入侵那么多，这里要防那里要防，端口那么多，总有漏掉的！瑞星的规则包越多，系统就越安全！但规则包越多，同时软件运行就会越慢！！因为需要一条一条的去审核和比对规则包是否与该程序行为匹配！自然运行速度就慢了！规则包是死的，而入侵行为却是活的，用不变的东西去应对变化的东西，从这点上讲木马入侵防御和网络攻击拦截就失败了！！

另外一点：云安全现在只是单向的，就是只是从客户端处获得恶意网址信息或恶意行为判断结果，缺少客户端与瑞星服务器数据的实时联系与沟通和互动！真正的“云安全”是从客户端处获得的数据与服务器中的数据进行比对，实时返回处理意见并执行操作！互联网如此海量的信息不可能存储在用户的电脑中（存不下就只能依赖官方的服务器了）。但这样的瞬间数据交换靠现在的网络肯定实现不了！速度上就是一个问题！打个比方：现在的客户端就好比一把屠马的刀，官方的服务器就好比一个人的大脑，客户端把前方的信息实时传到大脑处，至于刀怎么用，完全由服务器发出指令！由服务器发出命令！但现在的客户端基本上仍是单兵作站，至于能否取胜，关键就看杀毒软件给配备了什么武器（现在配的都是病毒库数据），有点单调哟！

再有一个：如何从客户端抓取到有效的信息也是个问题，互联网太大了，用户数太多了，仅凭现有的几个服务器能支撑得了这海量的运算吗？早拖跨了！！所以现在的网络和技术以及设备都需要从头更新换代后，“云安全”才真正的安全！！

本来想关机睡觉了，但在关机前做清理工作时，又突然发现了问题，与你有关！！想在此提出与你交流一下！怕引起大家误会，就没敢另外开帖了！等明天你上线联系后再说！（此事谢绝其它网友讨论）

昨天你发给我的那个浏览器程序iexplore.exe，刚才我用金山清理专家检测时说发现未知灰鸽子！！把我吓了一跳，由于它没有提供地址，我又用卡卡扫描了一下，也提示发现盗号木马，它显示的地址恰好是你昨天传给我那个文件！！我把它放到WINNT文件夹中！

是不是这个地址放错了，就会有此提示啊？这里是木马常呆的地方！！
我当时把它放在了两个地方，一个是"D:\Program Files\Internet Explorer\iexplore.exe"，另一个是D\WINNT
（此事谢绝其它网友讨论）








这事给我两点启示：清理专家和卡卡都会根据文件名查毒！不论是否正常软件，均根据文件存在的地点和文件名报告结果！！这与其它三流木马查杀软件如出一辙！！感觉有点可悲！！
第二：排除误报的可能性的话，那么该程序的确有问题！


由于不放心，我马上送去在线检测！39款杀毒引擎检测后，有四款软件报告发现木马病毒！以下是检测结果：
文件信息

文件名称 :	iexplore.exe
文件大小 :	93184 byte
文件类型 :	PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :	ecd35d17f66899882b9558f5b94c5798
SHA1 :	5ca591fbe5acad31c3f1dc0334eff687b09c55d8

扫描结果 :	10%的杀软(4/39)报告发现病毒
时间 :	2009/01/03 04:51:47 (CST)

软件名称

引擎版本

病毒库版本

病毒库时间

扫描结果

时间

ClamAV

0.94.2

8830

2009-01-03

Trojan.Downloader-25397

0.020

mks_vir

2.01

2009.01.02

2009-01-02

Trojan.Patched.c

2.576

Sunbelt	4755	4755	2008-12-22	Trojan.Win32.Patched.c	0.452
The Hacker	6.3.1.2	v00204	2009-01-01	Trojan/Downloader.Bagle.fw	0.472

不排除误报的可能，主流杀毒软件均报告无毒：卡巴、瑞星、大蜘蛛、毒霸、江民、赛门铁克、趋势科技、熊猫、迈克菲、CA、AVAST!、AVG！！！！

D\WINNT下的那个如果是你自己放进去的正常的程序，那就是误报

而金山清理专家靠文件名判断也正常

因为那样几M的免费清理软件不可能靠巨大的特征库来判断文件，同时确实病毒会在那D\WINNT位置创建类似文件名的病毒，所以其判断不能认为是错误的，因为任何用户在正常使用电脑时，是不会在D\WINNT创建iexplore.exe文件的。

至于传给你的IE文件是否异常，你可以查看其MD5值和其他系统里相同文件比对一下。

你是什么系统？？我可以再继续找IE6.0的文件给你试

我的IE6.0的主程序情况如下：

文件: C:\Program Files\Internet Explorer\IEXPLORE.EXE
大小: 91136 字节
文件版本: 6.00.2800.1106
修改时间: 2002年8月29日, 09:32:08
MD5: 745BD428A55C8C2FDACF167CBC16A34F
SHA1: 8F8472FA11655A0AE6AC0078FBACBEEC912EADE2
CRC32: BBBB58D2

你愿意要么？
关于卡卡助手导致的删文件，可能卡卡助手在判断网页操作中还有缺陷，已经联系管理员。

至于软件缺陷，不是任何一家软件一开始就能达到完美的，这你应该能理解，这也同时不是以这个理由搪塞你。

目前病毒千变万化，各家都用云安全的新方式操作，效果只有以后再看，同时所有的安全软件都难以达到理想化的防护的，必须要根据病毒的变化去升级。

这完全是因为制毒的是可以随时拿最新杀毒软件测试能通过了，才放出来。

而病毒未放出来之前，任何杀毒软件都没办法将那病毒拿出来测试是否能杀的。

例如2000年的时候是不可能测试2006年的熊猫烧香病毒是否能杀的。

而任何防护手段都受微软Windows系统的绝对自动化的影响，难以达到绝对防护，因为微软的Windows系统有超万的可以用来自启动的注册表项以及启动方式，没办法的。

例如U盘病毒，就是利用Windows的那个读取autorun.inf文件启动程序的。

现在全球已经有很多杀毒软件默认规则是禁止系统读取本地磁盘根目录下的autorun.inf文件的。

我也建议过瑞星公司，但是瑞星为了不影响用户利用磁盘根目录下的autorun.inf文件来启动软件，所以它的默认规则是提示用户。可惜用户里没多少人懂这个，所以绝大多数用户还是点了同意运行。

类似的系统其位置出现异常行为，杀毒软件提示时，也没多少用户能正确判断，但是让杀毒软件完美的自动判断，也一样会影响用户的其他正常操作。

病毒的行为现在越来越向正常软件靠拢了

例如现在的木马群病毒，一旦做了免杀的主程序运行后，就向QQ目录内注入一个一样免杀的病毒文件。

然后当你启动QQ时，就算杀毒软件能提示，一般用户还是会同意QQ运行的。

瑞星2009并没有放弃主动防御，而是把主动防御做的更好更强了。至于云安全的概念，希望你真正去了解一下，什么是云。

从你的帖中，我只看到了一个概念性的目标，那就是“不须用户接入杀软能完美的工作”，然而，我也知道，应当如何应当如何。最好杀毒软件不用升级，不需要设置，安装了我就免疫了。但实际上呢？哪家做到了？全世界都没做到，不单单是瑞星的问题。

大家都在不断的努力，任何新的领域都是从弱智开始走向成熟的。希望一步登天，无疑是走着大-跃进的老路。有什么好的实质性意见，希望能提出来，大家都希望瑞星做的更好。

说就很简单，但实际并不这么简单。我问你，我拿着菜刀，我是抢劫银行还是切菜？？就这么简单

特征越少，泛性越强，但是误报也会提高。特征越多，泛性越弱，但是匹配的情况有相对没这么灵活。

09中 防火墙和杀毒软件一起更新3次 稳定也会的```! 因为防火墙每天都有不同的恶意网站等 东西要加入

第一 清理专家 卡卡助手 360 对于流行木马的查杀 其实都是基于文件名的 因为软件小 而且是流行木马的查杀 也没必要加入真正杀毒软件的扫描引擎和特征库 你不信在Winnt下建立个 iexplore.exe的文件夹 一样报～
第二 你愿意相信谁就相信谁吧 我保证我给你的程序无毒就是了～

刚才仔细看了 那个iexplore.exe
入口点是这样的
00402451                call    sub_402460
.text:00402456                jmp    sub_4023AB
之所以某些软件 报patched（被打过补丁的程序）可能就是因为这个原因
因为大多数程序的入口点 为mov edi ,edi
push ebp
mov ebp,esp
这样的形式

开头就是一个call和一个jmp确实很可疑 
但查看了下面的代码没有病毒特征 且和其他机器中相同版本的iexplore.exe 代码完全相同 这应该是微软后来打的补丁 尽可放心使用
这也可以看出来某些“启发式扫描”杀软的“原理”  看入口点 导入函数 导出函数等等 这样势必带来更多的误报

确实有问题 我网页老缺 每次开机 都得去关那个恶意网拦截
请问 搜狐 是恶意网站? 你们得拦截他?

这简直就是个测试版,而且报警提示那里始终不知道怎么关掉.:default4:

论坛里的用户基本上是付费用户，瑞星就是这样，让一大群付了费的用户给他当小白鼠。
就好比去饭店花了钱点菜，可是菜却不合胃口（当然不是个人胃口的原因），然后端下去，给您加点味精、醋、辣椒、盐或者其它什么的，反复端上个七八头十遍，您还有胃口吃吗？
花钱就是用你这个软件的，你这个软件应该是有质量保证的，而不是给您一遍遍的尝味道，让您改善的。
不明白，为何花了钱去用一个残次的软件，今天更新这个，明天更新那个，还号称更新最快，这是好事吗？

防火墙频繁的升级的确让用户觉的很蹊跷。技术人员能解释下吗？

ding

个人发牢骚，
先不要摆什么主动防御了，首要问题还是把防火墙的基本功能和易用性做好，然后再看下一步。

微软的windows操作系统为什么能发展这么快？！ 简单易用！！！！

我的IE6.0主程序

附件: IEXPLORE.rar