瑞星卡卡安全论坛

讲师：万事达

讲义地址：http://bbs.ikaka.com/showtopic-8941128.aspx

本次课程答疑时间：2011年1月17日 14:00-16:00

提问方式：回复本帖提问（即跟帖）,不要通过QQ群提问,讲师会在答疑时间，编辑提问帖进行答疑！

瑞星杀毒软件2011版下载：http://rsdownload.rising.com.cn/middle11/ravfree_11.exe

沙发？2011版的，看看占座提问

讲义如果大家想下载的，我已经打包保存在群共享了，大家自己下载不

小皮大哥，可不可以打个包提供给我们下载啊？一张张另存为挺累的

提个问题：文件监控的智能提速模式是什么？有什么用？

万事达回复：瑞星智能提速能在每一个更新版本的第一次查毒过程中，自动记录文件信息，将无毒文件信息记入知识库，下一次查毒和监控时便可自动继承上一次的扫描知识，将无毒文件略过，从而大幅度提升查、杀毒、监控速度

瑞星杀毒软件已经下载安装了。
瑞星防火墙、瑞星全功能软件、瑞星上网助手卡卡都没下载成功，是应该用试用版呢还是要花钱买呢？
能给“贩毒学员”提供这些产品吗？

万事达回复：
防火墙免费版本：http://shop.rising.com.cn/download/fh_02.html
全功能免费版本：http://pc.rising.com.cn/risd.html

卡卡本身就是免费的官网下载即可。

注：安装了瑞星杀毒软件和防火墙就不需要再安装全功能软件了。

智能提速

　　采用第二代智能提速增量查杀毒技术之后，文件不需要使用旧病毒库反复重新扫描，只需使用新病毒特征库进行扫描，因此极大地提高查杀毒速度。NTFS流隐藏数据查杀
　　针对NTFS磁盘格式的流查杀技术，能够彻底清除隐藏在NTFS流中的病毒和恶意程序，不留任何病毒隐藏的死角，解决了长期困扰Windows系统的安全难题。未知病毒查杀（专利号：ZL 01 1 17726.8）
　　瑞星杀毒软件2007版采用“未知病毒查杀”专利技术，不仅可查杀 DOS 、邮件、脚本以及宏病毒等未知病毒，还可自动查杀 Windows 未知病毒，在国际上率先使杀毒软件走在了病毒前面。八大监控系统

来自百度百科http://baike.baidu.com/view/717964.htm
---------------------------------------
我想问的是，新旧病毒库有什么区别？什么文件采用新病毒库？什么文件采用新病毒库？或者说判断的标准是？还是说旧病毒库已经不用了？

万事达回复：这个百科里的介绍还是2008版本。
智能提速简单的说就是第一次扫描或监控后会给安全的文件做个标记，当下次扫描或监控时就自动跳过不再监控，这样提升了速度。
目前的病毒库分为活跃的和不活跃的
不活跃的就是指比较老的病毒，有可能这些病毒都不会对现在的系统有危害；活跃的则反之。

瑞星产品下载地址：http://shop.rising.com.cn/download/index.htm
卡卡下载地址：http://tool.ikaka.com/

应该怎么学？以后弄什么，我不是太清楚

万事达回复：可以先看讲义熟悉下瑞星的相关产品（后续还有其他培训），不明白的可以在实习生版里提问，有一定基础后就可以解答其他人的提问了。

6楼有提到“文件不需要使用旧病毒库反复重新扫描，只需使用新病毒特征库进行扫描，因此极大地提高查杀毒速度”，为什么采用新病毒库就可以提高查杀速度呢，为什么使用新病毒库就不需要反复重新扫描呢？


万事达回复：看下6楼的回复吧

6楼有提到“流查杀技术”，请问流查杀技术是什么技术啊？

万事达回复：NTFS数据流是微软NT系统分区格式提供的一种功能，可以用来保存文件附加数据。不少病毒、木马开始采用NTFS数据流进行隐藏。瑞星NTFS流隐藏数据查杀技术就是针对该类病毒的技术。

病毒能够利用办公软件的安全漏洞进行攻击，办公软件防护功能采用的内核加固技术是什么含义呢？

万事达回复：该技术是指一些内置规则组成的主动防御体系

虚心学习，虚心学习。。嘿嘿:kaka1:

为什么在2011版的杀毒软件中取消了开机扫描功能、:kaka2:


万事达回复：该功能还有，做了优化调整：在文件监控开启的状态下不进行开机扫描以节省系统资源。

对于能查出来的毒，但杀不掉的怎么处理:kaka2:

万事达回复：如果是瑞星杀毒软件提示”不处理“可以检查瑞星病毒隔离区是不是满了，如果不是的话就需要样本分析了。

个人认为，目前电脑所中的病毒是以新病毒居多，而旧病毒库太冗长，扫描起来太没效率。而将新病毒单独成库，且新病毒库不太大，扫描起来效率高。个人看法，不对请指出~~

对于一个现阶段完全免杀过瑞星的木马、、瑞星怎么在以后的日子里入库、、

万事达回复：如果客户端开启了云安全功能，瑞星的启发扫描会自动分析是否为可疑文件，云安全功能会自动上报样本。

使用了一段时间瑞星后发现防御事件有很多，但全是u盘防御，而且防御的都是各个磁盘的autorun.inf，不能不报这个问题吗？对免疫文件不能和病毒文件区分吗？:kaka2:


万事达回复：
2011瑞星的主动防御会常规性的阻止访问autorun.inf文件的企图，并记录日志，哪怕没那autorun.inf文件，也一样阻止一次并记录日志。 也就是阻止并记录一次桌面程序的访问autorun.inf文件的命令。                                       

希望不报的建议已收集反馈

瑞星2011的隐私保护功能体现在哪里呢？

万事达回复：
杀毒软件中主要指的是主动防御部分，可以设置监控文件、注册表、系统文件等来达到保护隐私的目的。
此外瑞星还提供了加密盘，账号保险柜等软件保护隐私。

万事达老师：
请教几个问题
1、电脑防护是不是可以认为是动态的，程序一直在运行；而查杀是静态的，我控制它运行才运行。我知道查杀是很占内存、cpu，那防护程序占用的是不是不多？如果可以把查杀做成动态的，实时的；那是不是更安全（当然很耗电脑资源）。但是既然防护可以是实时监控的，那为什么查杀做不到低消耗资源且实时呢？而且还有个问题，既然我有实时防护了，那查杀是不是可以当做是个补充功能？即是说假定我的电脑因为有防护是安全的，偶尔查杀一下病毒。
2、讲义的9楼的协议的端口不懂。为什么是这两个端口？（我也可以自己去查资料，不过老师能够解答的话，不胜感激！）
3、在电脑防护中，为什么要把办公软件单独列出？可能是瑞星考虑到办公群体，但是个人认为办公软件没有太特殊的地方？
PS：我不是计算机专业的，可能问题不够专业，望老师见谅~~:kaka12:

万事达回复：
1.是动态的，所以建议实时监控要一直开，查杀时一段时间进行一次，没必要天天杀毒。
2.110端口是为POP3（邮件协议3）服务开放的，，目前POP3使用的比较多。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。
25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。
如果不是这2个的话可以手动设置。
3.浏览器和办公软件都单独列出了，规则不同。

那该无毒文件是否会被感染？如果被感染后，略过的话，是否会有问题？

万事达回复；也会被感染，一旦感染就不是原来的文件了，会重新扫描。

回复得好快:kaka9:

竞争对手都有在做轻量级的系统防护，以此和杀软达到互补（比如金山卫士，360安全卫士等）。我们瑞星有没有考虑出相关产品呢？

万事达回复：瑞星一直有卡卡上网安全助手是类似产品。

扫描完U盘后，100%未发现病毒，迷你扫描框就一直悬浮在屏幕上。能否考虑让其自动消失，只弹出一个气泡提示，一定时间后自动消失？仅个人建议O(∩_∩)O
在超级兔子里的开机优化->启动项里，瑞星的图标是个空框，为什么不是瑞星的图标？:kaka2:

万事达回复：
1.该问题已经反馈相关部门
2.这个应该是超级兔子问题吧。。。

瑞星2011版的浏览器防护功能 能防护浏览器的什么呢？

能否给浏览器补上浏览器的已知的漏洞？

如果不开启浏览器防护 比如 不添加 世界之窗浏览器防护

在使用世界之窗浏览器时进行上网浏览，瑞星是否还会对世界之窗进行防挂马等防护？


目前瑞星2011版的能阻止所有端口扫描吗？
  是拒绝端口扫描 还是 端口隐身？

万事达回复：
1.IE，sogou，遨游，火狐，世界之窗等
2.修复漏洞是卡卡上网助手的功能，杀软没有该功能
3.如果是指关闭浏览器防护监控，就不会就行防挂马防护。
4.不能阻止所有端口扫描，目前是拒绝端口扫描以达到隐身目的。

在火车上，打字不太方便。
向万事达老师提问：有点不解为何2011版的瑞星杀毒软件和瑞星防火墙关闭监控默认是无验证码验的。病毒程序只要获取关闭监控的句柄，把杀毒软件和防火墙的监控关掉，那装了杀毒软件和防火墙岂不是失去它们的作用了么？

万事达回复：关于验证码和密码问题，以前的版本很多用户反馈希望去掉，不希望提示，所以2011版本增加了针对该功能的开关，高级设置/软件安全中，可以根据自己需要来设置。

2011版本较之前版本增加了浏览器防护和办公软件的防护，我想问一下，这样会不会更多的占用系统资源，影响用户体验呢？

万事达回复：2011版本的引擎是重新开发的，整体优化，较之前的版本系统资源更小。

有的时候办公原件或者浏览器程序崩溃，瑞星会提示阻止了xx对其的攻击，我想问一下，具体瑞星这边是怎么确定这个是属于攻击而不是软件本身崩溃的原因导致的呢？

万事达回复：根据内置规则来判断的。

请问杀毒完毕后，提示病毒/木马已清除，是这个病毒/木马本身被清除了，还是这个染毒文件直接被删除了？如果是直接被删除，是不是就是在隔离区里？如果是重要的文件染毒，被放到隔离区里，提出来还有毒那该怎么办？
所谓计算机病毒的寄生性是什么意思呢？是他的代码直接被写进染毒程序？还是怎样？

万事达回复：该清除提示是根据病毒的不同而不同，如果是病毒本体，就是指删除，如果是感染了正常的文件，那就是清除病毒、保留原文件。
隔离区的文件除非自己确认不是病毒，否则不建议恢复。
寄生性：这样的病毒往往隐藏在其他文件里，具有寄生能力，而且有较长的潜伏期，能悄悄地传播.繁殖。
病毒的寄生性决定了这种病毒的传染方式。

病毒的寄生性又可分为覆盖式寄生性、代替式寄生性、添充式寄生性、链接式（及间接链接式）寄生性和转储式寄生性五种。
覆盖式寄生性是指病毒程序用其部分成全部代码部分或全部地覆盖被攻击的合法宿主，使原宿主部分或全部的功能被破坏，如 512病毒。

代替式寄生性是指病毒用自身代码代替原合法程序的代码，但病毒自身的代码能够完成（或简单地完成）原合法程序的主要功能，如Unprinting病毒（2708 病毒）传染硬盘的主引导区。

扫描计划里有“空闲时扫描”，请问这个“空闲时”具体是如何界定的？

万事达回复：是根据资源占用情况判断。

瑞星采用什么引擎？对于加壳加花瑞星又是怎么完成的呢？关于很多用户反映2011版皮肤太过于娱乐化了，瑞星准备怎么去完善这一点呢？

万事达回复：自主研发的反病毒引擎。皮肤后续还会推出其他版本

对于加壳加花瑞星又是怎么完成的呢？这个你指的是什么？