2010年2月1日[2010版瑞星杀毒软件]-讲义 bbs.ikaka.com

fengxingjudy - 2010-2-1 14:27:00

老师你好，我想知道“行为查杀”的关键技术，瑞星在“行为查杀”时的主要步骤。我对行为查杀只有个模糊的理解，想具体了解一下，谢谢。

穷小子cd - 2010-2-1 14:31:00

觉得专业模式的特点是通过交互式的方法来处理和发现的病毒和恶意程序吧！主动防御的会有提示。

万事达 - 2010-2-1 14:32:00

1.杀软有启发式扫描，根据文件的具体行为来分析是否可疑。
2.默认设置下，windows可执行文件都会扫描
3.上传文件会占一些网络资源，但是很少；如果xxx指的是隐私，瑞星只会分析可疑文件，不会收集隐私。
4.是指服务器端，分析是手动+电脑自动
5.通过云安全文件库比对
6.可以从病毒隔离系统中找回。
7.系统加固针对恶意程序容易利用的操作系统脆弱点进行监控、加固，以抵御恶意程序对系统的侵害。这些规则是默认的，可以选择是否启用。
对指定程序的分析可以通过“应用程序控制”来实现
8.关于使用，请参考：http://bbs.ikaka.com/showtopic-8575880.aspx这里有详细说明。

万事达 - 2010-2-1 14:34:00

1.通过云安全文件库比对，数据库是会优化的。
2.恩，可以自己进行设置。

万事达 - 2010-2-1 14:35:00

1.启发扫描是基于恶意行为分析与文件结构分析，利用虚拟机技术实现。
2.端口一般都是使用默认现有的，具体的端口根据自己的网络环境设置，可以咨询网管。
3.主动防御之应用程序控制是用来监控程序的运行状态，拦截进程的异常行为，此处设置需要监控的程序即可。

爱飞度 - 2010-2-1 14:35:00

智能加速是不检查已经确定为无毒的文件？那么病毒会不会利用这点来规避瑞星的查杀呢？会不会造成瑞星的漏洞？

无敌的鹤鹤 - 2010-2-1 14:36:00

对于应用程序的加固我有些疑问
1：需要加固的程序不是瑞星软件自己添加吗？
2：为什么需要自己添加需要加固的程序呢？加固程序对资源的使用很费吗？

爱飞度 - 2010-2-1 14:37:00

我用的是VISTA，怎么找不到啊:kaka4:

我是天宇 - 2010-2-1 14:41:00

附件: 您所在的用户组无法下载或查看附件1、我的瑞星杀毒是最新的，为什么我的没有启发是扫描？
2、根据http://baike.baidu.com/view/1016168.htm的解释：
启发式扫描技术 实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
既然是经验和知识的移植，那么误报率肯定是有的，能浅略讲述一下瑞星是怎样弥补的，怎样让瑞星不会出现卡巴一样的误杀现象？

穷小子cd - 2010-2-1 14:44:00

如果用户有特殊的程序想加固，这样也给用户提供的方便。可能瑞星默认只加一些指定的程序吧！

我是天宇 - 2010-2-1 14:45:00

对于瑞星的程序加固，目前我见到的默认加固是对微软的IE和office办公软件，对于常用的QQ或者是其他与系统内核无关联的软件程序，我认为需要自己手动加固。

万事达 - 2010-2-1 14:46:00

1.你问的应该是木马入侵拦截功能吧，这个是根据网页木马行为分析的。
行为查杀大体是驱动（包括网络的）把一些信息发给行为分析，
然后行为分析把这些信息综合起来判断是否是病毒行为，如果有提示用户，再发给驱动，根据用户操作做处理

2.这个你可以参考：http://safe.it168.com/a2008/1119/211/000000211360.shtml

万事达 - 2010-2-1 14:48:00

1.可以在防火墙里进行端口设置。
2.这个比较多了，可以百度搜索下。

于家小飞崽 - 2010-2-1 14:48:00

请问什么是启发扫描？瑞星木马入侵拦截对于火狐，遨游等浏览器是否适用呢！？

万事达 - 2010-2-1 14:49:00

无法杀毒或删除不掉，可以尝试安全模式下处理或者提供样本进行分析。

战雨晨 - 2010-2-1 14:52:00

请教一下老师：
瑞星的启发技术是否也是分为静态启发（分析文件结构）和动态启发（分析文件行为）？
如果有动态启发的话，那是否是在用户本地机上应用虚拟机技术，还是上传云端运用虚拟机分析啊？
瑞星是否会报壳啊？

谢谢老师~

无敌的鹤鹤 - 2010-2-1 14:52:00

我如何查询瑞星默认加固的软件有哪些？
在设置中瑞星添加加固软件中是空白的呀？

战雨晨 - 2010-2-1 14:56:00

在请教一下老师：
瑞星的木马行为分析是不是对一系列行为综合考量之后来判断是否是恶意行为，而不是对单步行为报警？
木马行为分析智能吗？

随缘92WJC - 2010-2-1 14:57:00

提问：
木马行为防御有关。当某款软件运行，瑞星拦截为木马行为防御，我们如何得知该软件违反的是何种行为特征？遇到拦截我们是拦截还是放行？
某些正常软件运行的确也会触发规则，但是作为一名普通用户，应当如何处理，同我上一个问题一样，如果是恶意的，拦截是好事，如果是正常的，拦截就等于是否认，如果将正常软件添加白名单，那么正常软件被感染时再次运行不也被放行了么？

我是天宇 - 2010-2-1 15:01:00

木马行为防御的拦截，与启发式扫描是否有关系？有何种关系？

穷小子cd - 2010-2-1 15:02:00

瑞星默认加固那些程序不知道，不知道是不是这样，等老师在解答一下！个人觉得它应该是有默认的

万事达 - 2010-2-1 15:03:00

1.监控的启发式扫描已经在2010正式版取消了。
2.邮件监控是监控默认的使用110，25端口的所有邮件客户端，不使用可以单独卸载该功能。
3.开机扫描和手动扫描没有可比性，开机扫描是根据特征码扫描。
4.瑞星的木马入侵拦截不支持非IE内核的浏览器。

万事达 - 2010-2-1 15:04:00

可以搜索到目前支持的应用程序，无需手动添加。

穷小子cd - 2010-2-1 15:05:00

瑞星默认加固那些程序不知道，不知道是不是这样，等老师在解答一下！个人觉得它应该是有默认的

万事达 - 2010-2-1 15:05:00

插入即杀毒？这个功能没有。

Luke8 - 2010-2-1 15:09:00

呵呵。来晚了
经过这次课。我学到了不少的东西，
不过也产生了一些问题以及对于瑞星的一些建议。
首先是问题：
1.我想了解一下系统注册表保护里面，
有一个选项是“.txt文件关联及打开方式”。
这个选项在瑞星杀毒软件选项里面没有选中，而教义中却选中了。
这是为什么？这个.txt是怎么样去影响我们的注册表的？
会造成什么后果？
2.请问oday是一个怎么样的漏洞？对于我们平时的网络生活会有什么影响？
一个建议：
也是刚才灵光一闪。我的电脑其实是老爷机，256MB内存，CPU也是单核的，所以运行起来很慢。加上瑞星有时候的自动查杀，我的机器有时候就直接假死。所以能不能有一个“简易模式”？（除了保持基本的查杀功能以及防御的功能外，其余的性能减少到最低，以系统流畅为最终目标。）。

这些是我这节课的一些问题和感受。谢谢斑竹，辛苦您了

穷小子cd - 2010-2-1 15:10:00

应用程序加固中有一个搜索支持程序可能找一些加固的程序吧！

O_TAKU - 2010-2-1 15:11:00

老师我想请问一下：
1.系统加固-----设备访问控制----底层磁盘访问。没有被设为默认,是因为主引导区不容易感染病毒没必要检查吗？那全盘扫描的时候会自动扫描底册磁盘吗?

穷小子cd - 2010-2-1 15:15:00

2.觉得0 day漏洞是攻击者自己找到的，没有通知软件厂商，这些漏洞只有攻击者自己知道，他们可以写一些exploit利用漏洞来做一些事情，这种没有公开的和没有修复的漏洞叫0day漏洞吧。不知道理解对不

瑞星卡卡安全论坛