shulun743 - 2009-2-28 19:56:00
以前发表一些帖子,主要就是针对瑞星的改进建议!由于仓促,帖子有很多不足,所以才有了此文(对以前帖子的整理)
瑞星应向以下几点改进!!!、、、
1.瑞星功能改进!!!
a:现下主流的hips软件都会在初次安装或有新的软件运行时,hips会将此软件自动分级并放入相应的组中(信任 未信任 )卡巴2009也添加了此功能,有此功能可以进一步的降低安软的系统占用,减少拦截窗口的弹出次数等好处(自动分级将系统进程和模块以及认证为安全的软件加入信任组,在信任组中的软件,安软是不监控的,所以系统资源降低了! 弹出窗口减少了!但威胁操作,应拦截,防止用户误将未知进程放入信任组,卡巴有此功能)!!!
b: 对进程的控制!
瑞星的主防没有控制以下操作:
访问其他进程数据 - 修改其他进程的内存及内存属性,或者在进程间复制句柄。
操作其他进程及线程 - 创建远线程,结束、挂起或修改其他进程的线程,结束或挂起其他进程,或者调试其他进程。
进程间消息操作 - 向其他进程发送消息,或者从其它进程接收消息(如:病毒虚拟发送消息关闭瑞星)。
底层键盘操作 - 直接读取键盘状态,或者模拟键盘输入。
特殊方式写注册表 - 使用注册表配置单元文件替换注册表项,重命名注册表项,或者创建注册表链接。
创建远程线程(拦截注入)
加载库文件
远程调用com对象
安装键盘钩子(卡巴有此功能)
模拟键盘鼠标操作(如:磁碟机)
系统设备控制(卡巴有此功能)
注册表转储(hiv)
访问服务管理器
c:对文件的控制!!!
瑞星只对系统文件夹进行了保护!而对C:\Program Files文件夹以及其他磁盘的文件都没有保护!!!若遇上感染性的病毒------无疑是一场灾难!!!
虽然瑞星有行为引擎,但是有很多用户连“工具”--检查更新都不运行,如何配置引擎呢???这不是夸张,我自己身边就有这种情况!!!
d:对注册表的保护!!!
一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动)
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun REG_SZ "xxx.exe"
2.session manager(自启动)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动)
HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE REG_SZ "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试,瑞星一个未拦!!!
5. 现在很多安软采用了隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)
其中Malware Defender的驱动可以在重启中,自动变形!!!(重命名驱动)
希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程,并且卡卡助手的进程管理使用驱动,否则如何查看隐藏进程呀???
在装有卡巴、x或江民的机器上安装卡卡助手,卡卡却看不到上述软件的进程,不是很郁闷吗?上述软件看不到还好说,要是恶软呢?
希望瑞星能周期性自动挂钩hook!!!
2.瑞星的主防窗口改进!!!
1.瑞星的拦截窗口提示不尽人意!!!
到底是什么进程,释放了临时文件来删除这个驱动!!!
到底是什么进程调用此服务,来创建注册表项!!!
为何就不能添加信任选项,这样我可以创建常用的调用!!!
若把explorer加入白名单,那此进程调用任何进程都不提示,降低了安全性!!!
3.瑞星的云安全应用改进!!!
感觉瑞星的云安全应用还有提高的余地!!!
金山网标可以依据“可信认证”-----自动放行安全的连接!!!这一点很智能,就像瑞星那个自动放行带有签名的进程!!!
若瑞星能将安全(文件诊所认证)的进程或模块自动放行,再加上“自动分组(信任组 未信任组)”和白名单,瑞星会变的非常易用!!!
4.瑞星日志的改进!!!
对于日志中提示的操作,瑞星是阻止了还是放行了???
5、瑞星卡卡诊断日志的不足!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
瑞星应向以下几点改进!!!、、、
1.瑞星功能改进!!!
a:现下主流的hips软件都会在初次安装或有新的软件运行时,hips会将此软件自动分级并放入相应的组中(信任 未信任 )卡巴2009也添加了此功能,有此功能可以进一步的降低安软的系统占用,减少拦截窗口的弹出次数等好处(自动分级将系统进程和模块以及认证为安全的软件加入信任组,在信任组中的软件,安软是不监控的,所以系统资源降低了! 弹出窗口减少了!但威胁操作,应拦截,防止用户误将未知进程放入信任组,卡巴有此功能)!!!
b: 对进程的控制!
瑞星的主防没有控制以下操作:
访问其他进程数据 - 修改其他进程的内存及内存属性,或者在进程间复制句柄。
操作其他进程及线程 - 创建远线程,结束、挂起或修改其他进程的线程,结束或挂起其他进程,或者调试其他进程。
进程间消息操作 - 向其他进程发送消息,或者从其它进程接收消息(如:病毒虚拟发送消息关闭瑞星)。
底层键盘操作 - 直接读取键盘状态,或者模拟键盘输入。
特殊方式写注册表 - 使用注册表配置单元文件替换注册表项,重命名注册表项,或者创建注册表链接。
创建远程线程(拦截注入)
加载库文件
远程调用com对象
安装键盘钩子(卡巴有此功能)
模拟键盘鼠标操作(如:磁碟机)
系统设备控制(卡巴有此功能)
注册表转储(hiv)
访问服务管理器
c:对文件的控制!!!
瑞星只对系统文件夹进行了保护!而对C:\Program Files文件夹以及其他磁盘的文件都没有保护!!!若遇上感染性的病毒------无疑是一场灾难!!!
虽然瑞星有行为引擎,但是有很多用户连“工具”--检查更新都不运行,如何配置引擎呢???这不是夸张,我自己身边就有这种情况!!!
d:对注册表的保护!!!
一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动)
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun REG_SZ "xxx.exe"
2.session manager(自启动)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动)
HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE REG_SZ "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试,瑞星一个未拦!!!
5. 现在很多安软采用了隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)
其中Malware Defender的驱动可以在重启中,自动变形!!!(重命名驱动)
希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程,并且卡卡助手的进程管理使用驱动,否则如何查看隐藏进程呀???
在装有卡巴、x或江民的机器上安装卡卡助手,卡卡却看不到上述软件的进程,不是很郁闷吗?上述软件看不到还好说,要是恶软呢?
希望瑞星能周期性自动挂钩hook!!!
2.瑞星的主防窗口改进!!!
1.瑞星的拦截窗口提示不尽人意!!!
到底是什么进程,释放了临时文件来删除这个驱动!!!
到底是什么进程调用此服务,来创建注册表项!!!
为何就不能添加信任选项,这样我可以创建常用的调用!!!
若把explorer加入白名单,那此进程调用任何进程都不提示,降低了安全性!!!
3.瑞星的云安全应用改进!!!
感觉瑞星的云安全应用还有提高的余地!!!
金山网标可以依据“可信认证”-----自动放行安全的连接!!!这一点很智能,就像瑞星那个自动放行带有签名的进程!!!
若瑞星能将安全(文件诊所认证)的进程或模块自动放行,再加上“自动分组(信任组 未信任组)”和白名单,瑞星会变的非常易用!!!
4.瑞星日志的改进!!!
对于日志中提示的操作,瑞星是阻止了还是放行了???
5、瑞星卡卡诊断日志的不足!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)