瑞星卡卡安全论坛

老师辛苦了！请问一下！
在[设置]-[电脑]-[防护]-[系统加固]-【自定义级别】-【设备访问控制】
设置那里的话会不会对一些正常的程序起到阻止作用！
他是怎样区分攻击的程序的？

万事达回复：
有可能正常的程序运行时会有台式，但不会直接阻止，可以根据提示选择放过。
根据程序的行为来判断。

老师您好：
    教材“什么是云安全”里有一段话提到瑞星云安全的运行模式：“瑞星服务器会不断扫描互联网上的网站，发现某个网页被侵入后，会自动提取其包含的木马样本，然后服务器会对病毒体进行分析， 。。。  这个地址会加入防火墙和卡卡的黑名单中 。。。 ”
这段话有一些疑问：
  （1）“不断扫描的服务器”，感觉自我搭建搜索引擎的成本太高，庞大的主机群和海量数据分析就是个大问题 是购买了第三方搜索引擎服务吗？
  （2）“发现某个网页被入侵后，会自动提取其包含的木马样本”，涉及到网页木马分析与提取吧？后台应该会有个维护病毒木马库的服务器，想知道这个数据库的量级是多少？
  （3） 从这里看云的运行机制 为服务器扫描整个网络，最后产出一份黑名单，百度了下云计算的定义：云计算其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。结合第一问：如果是使用了google的搜索服务，这里的云，是不是就是应该指使用了google的搜索引擎云服务？

万事达回复：
1.不是购买的第三方搜索引擎服务
2.这个数据不方便透漏。。

也许是程序行为分析吧
可以拦截程序的API，并和恶意行为规则 进行匹配，当匹配达到一定程度就能认为是恶意行为了。

请问下载到的本地文件夹在哪里？

万事达回复：
下载的路径是可以自己选择的

楼上可先看看这个：
启发式扫描技术，实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。
　　启发式扫描技术 实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。
　　因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”
　　一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h， 即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。 在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑的程序代码指令序列，如格式化磁盘类操作，搜索和定位各种可执行程序的操作，实现驻留内存的操作，发现非常的或未公开的系统功能调用的操作，等等，所有上述功能操作将被按照安全和可疑的等级可以排序，根据病毒可能使用和具备的特点而授以不同的加权值。 随便举个例子，格式化磁盘的功能操作几乎从不出现在正常的应用程序中，而病毒程序中则出现的几率极高，于是这类操作指令序列可获得较高的加权值，而驻留内存的功能不仅病毒要使用，很多应用程序也要使用，于是应当给予较低的加权值。如果对于一个程序的加权值的总和超过一个事先定义的阀值， 那么， 病毒检测程序就可以声称“发现病毒！”仅仅一项可疑的功能操作远不足以触发“病毒报警”的装置，如果不打算上演“狼来了”的谎报和虚报来故意吓人，最好把多种可疑功能操作同时并发的情况定为发现病毒的报警标准。

木马行为防御中有可能出现误报，那么如果在常规设置中设置发现病毒时“清除病毒”，它会不会把误报的文件清除呢，还有我怎么判断误报？（我是菜鸟！！）。如果只是怀疑误报就将提示程序添加到“行为分析白名单”，是不是也有可能把真正的病毒、木马放过呢？还逃过了以后的查杀！

万事达回复：
如果选择了“清除病毒“，在发现病毒时会删除到瑞星的病毒隔离系统。
如果是自己经常用的文件突然被报毒了，那有可能是误报；如果对文件的安全性不能肯定，不建议直接添加白名单。
可以将文件发给瑞星再次分析。

去瑞星吧去看看了，发现有网友问瑞星升级的事儿，也有人提出不能访问瑞星网站的问题，关于升级好像通过防火墙网络设置中“检测网络连通性功能”可以解决，但一直没有相关信息，我想问问是不是有别的什么原因？

万事达回复：升级的问题需要根据提示来判断，希望提供截图。

目前各大黑客网站、免杀网站随处都可见针对国内杀软的免杀视频教程，其中就包括有瑞星。
而且这只是免费公开的部分，背后肯定还有不少收费隐藏的免杀手法。
免杀给用户带来了威胁和不安。
请问，瑞星是否有独特的功能专门针对免杀的病毒呢？或者是否需要这样一个部门去搞反免杀

万事达回复：无论杀毒软件用什么手段，都会有逃避该手段的方法。

尊敬的万老师，您好！讲义已经仔细看完，现在有几个问题想请教您，此外想谈谈这节课的感受！

【FAQ】
1）针对我使用的瑞星杀毒软件2010版本中，窗口工具栏中的病毒库U盘备份工具，在运行后即对U盘进行备份的过程吧？看界面上的提示是可以结合瑞星杀毒光盘引导系统进行杀毒，我想知道备份在U盘上的病毒库是否可以通过某种方式上传到电脑安装的杀软的病毒库对应存放的文件夹中?之所以这样设想，是因为这样或许可以以后在重新安装杀软时，并且无联网的条件下，可以随时将备份的新病毒库调用。

2）Linux引导杀毒盘制作工具，这个对我来说，我以前常用U盘引导装系统，现在发现这个很实在，很有意义可以进行杀毒；我的问题是：讲义中提到U盘必须是“引导型的U盘”，此话和后面的“制作过程会格式化U盘”有一定的出入？因为，格式化必定会导致U盘的引导文件（比如我用老毛桃做个U盘启动）丢失，我想“引导型的U盘”的理解是否是指U盘只要能支持主板引导就OK？此外，U盘的大小容量限定在1G以内，我很好奇，能否给我做个简单的解释；如果有此大小限制，这与市场上目前常见的2G 4G等U盘岂不是不能“和谐”下去嘛，导致此功能不能完全被大众接受？

3）讲义中提到的“启发式扫描”，实在很抱歉，我认真的审视了瑞星杀软很久，还是依旧没有发现，能否给我提示在哪里看到这个功能？

4）最后一个问题是：讲义中提到的"历史记录"，很显然我在2010版杀软上没有看到；但是，此问题我已发现，就是“历史记录”在主界面上更改为“日志”。

【本节课感想】
    认真的学习了2010版瑞星杀毒软件后，个人认为瑞星杀毒软件很贴近人性化，比较适合大众使用；至于我感兴趣的就是FAQ中的前三个问题，在此感谢您的讲义教程，也希望您能帮我解答下我的问题？谢谢您万老师！


万事达回复：
1.暂时无法实现这样的功能，你的建议我会反馈相关部门参考。
2.“引导型的U盘”是指U盘支持主板引导；关于U盘大小这是受ZIP兼容方式的限制。
3.打开查杀设置/自定义级别就可以看到。
4.历史记录指的就是”日志“

瑞星密码中，如果忘记密码需要卸载后在重新安装。这个过程有些麻烦，我觉得可以使用一些信息的认证过程找回密码，省去卸载，这样就方便多了。个人愚见。呵呵~

对，我对云安全也有点不太了解，各方也许出于不同的角度有不同的定义，但对于这个云这个不太懂，望多解释解释，指导指导。。。。。。

如果你在常规设置中设置发现病毒"清除病毒"，那么毫无疑问你的误报文件会被删除的。(不过误报的可能性很小，你要相信瑞星，除非是一些系统级工具，你未将它们加入白名单中)
一些系统工具，你在运行之前可以把它们加入白名单中，这样当这些工具触及到一些规则时就不会被误报删除了。
只有你认为是安全的程序，你才能将它们加入白名单。

感觉瑞星就是云，瑞星庞大的用户群就是水滴，水滴组成云，云又保护水滴

首先感谢万事达老师讲义，通过学习，有以下三点问题：

1、专家模式里采用交互方式处理是什么意思？
2、在设备访问控制里，异常的加载与访问调用能具体解释一下么，主要是异常加载那不明白，是硬件方面的还是其他？
3、使用智能提速时，确认的无毒文件是否是前几次确认的，是像做些标记么？如果是第一次查杀的话智能提速还能有作用么？

麻烦老师解答，谢谢

1.交互式就是与用户的互动性，该模式有较多的提示，将选择权交回了用户手中。
2.请提供相关截图
3.如果是第一次查杀智能提速不起作用。前一次扫描确认的，前提是之间没有升级，如果瑞星升级了，再次扫描时是对所有文件进行扫描。

呵呵 有点理解了 谢谢啦~:kaka12:

我回答下第一个问题不介意吧。
专家模式下，交互处理，就是如果触发主动防御的规则，瑞星给出提示，用户来选择处理的方式；
而家庭模式下，瑞星自动处理。

就是讲义上说的这样吧。

交互就是问你怎么办 让你处理 是给有基础的人准备的

呵呵，好多概念可以看百度的，呵呵，不客气，互相学习嘛，我开始也不明白的

第二个问题我有一个想法：首先 U盘重新量产，分出一个200m的区，来做引导，其他的空间就可以留下来做别的了，不过有个缺点：一个U盘插进去 会显示两个盘符

万事达回复：可以详细说说。

辛苦老师，很想详细了解一下“行为检测”查杀的方式，比如，究竟有哪些行为才被视为病毒，有没有对恶意行为进行分级处理？

万事达回复：
这个不好举例说明了，例如异常进程远程联网
从行为防御的自定义级别就可以看出是分级处理的了。

刚去贴吧看到关于瑞星云安全的信息：人民日报海外版：近年来，病毒产业链日益向完全互联网化方向发展，针对这一趋势，早在2008年，瑞星技术研发中心大胆预测，只有将计算机安全的概念和安全范围不断延伸，让安全产品互联网化，才能应对新的病毒传播形式，在投入了近5000台云端服务器和300多名研发队伍以及几千万研发资金后，瑞星病毒防治模式开始进入了互联网化，这也开启了国内信息安全的“云安全”时代。
云安全保证了我们的上网环境，具体技术不太了解，咱更该好好珍惜瑞星产品，珍惜瑞星每一个人的努力......

我来答复你：
  （1）专家模式里采用交互方式处理就是 工作在专家模式下时，瑞星采用弹出对话框或者提示框询问用户下一步如何处理的方式 例如：瑞星弹出对话框：是否需要删除某某文件？然后给个确定按钮和否定按钮让你选。 这里的交互方式是指计算机计算机人机交互技术，可以百度一下“人机技术”获得更多信息。
第二个和第三个不知道怎么回答了 能力有限，见谅哦

谢谢老师！我明白了！

恩，因为电脑太多，每一款杀毒软件不可能把所有的病毒都收集到，所以只有“云安全”才是王道啊

谢谢老师！老师好认真！辛苦了老师！

请问瑞星“云安全”是如何实现的？

万事达回复：
建议参考：http://it.rising.com.cn/new2008/ ... 6112552d48434.shtml

云安全，我感觉可以看看百度百科上面对其的解释。

利用病毒特有行为来监测病毒的方法。通过对病毒的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

还有一个问题，瑞星防火墙可以拦截ARP攻击吗？

万事达回复：防火墙有该ARP欺骗防御监控可以拦截。

请问一下万老师！
“云安全”的确使防毒能力达到很高的地步，但同时也会带来经济上的负担！
  老师请问一下，要把杀毒软件做的更好，最有可能就是在“云安全”这一块加强前进的步伐，那么瑞星的许可授权费用会升高吗？

万事达回复：
费用问题关注官网新闻吧，不会让大家失望的，呵呵