瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 2012版瑞星杀毒软件公测专区 » 【dong0022】关于系统加固的个人见解
dong0022 - 2012-3-10 18:00:00

  关于系统加固的个人见解


  最近看到很多朋友对2012全功能没有系统加固而感到“痛心疾首”,这里我想谈谈自己的看法。

  首先瑞星在2012版之前的防御架构是单步hips拦截+高规则行为分析,这里的系统加固(hips)不像传统hips软件对每个点都拦

星为了用户使用的易用性和减少误报对系统加固做了相当多的精简,默认设置更是设置为低模板。






  而行为分析(木马防御)才是防御核心的精髓所在!我不知道为什那么多朋友“忘情的”迷恋系统加固而忽略了木马防御的重要

性。测试我就不做了,前段时间的横评和纵评已经写过很多了,如果有没看过的朋友可以重点看下我的纵评测试(一):瑞星2012和

瑞星2011中的主动防御一项的比。

文章地址:bbs.ikaka.com/showtopic-9159640.aspx

  今天重点要说的是木马防御强度调节的加入的紧迫性要高于系统加,我这里说一下测试的过程,有兴趣的朋友可以自己在虚拟机

下测试。

(1)选用瑞星2011版,首先把系统加固开到高模板,关闭木马防御双击病毒测试,看系统加固可以拦截到几个点动作?

(2)再次关闭系统加固,把木马防御开到最高规则,再双击病毒看下拦截率。没有特殊情况,定是单开木马防御最高规则拦截率

高。

  因为行为防御先天性的缺陷就是对单一动作不拦截,所以才需要系加固作为辅助,辅助不能代替主力更不可能取代主力。系统加

固只对一些点做拦截,而主要拦截任务还是在木马防御上!所以大家要过于纠结于系统加固,而更应该关注木马防御这个防御主

力身上!

  某些朋友看了半天好像没看懂我写这篇帖子想说明什么,中心思想没抓住:kaka6:这里我再强调一下,我通篇也没有说过系统加固不

重要,而是把系统加固在瑞星整个防御体系中起到的作用说了一下,完全基于实践测试,大家可以自己动手在虚拟机中测试。

  如果2012后续版本加入系统加固功能,我会在专项测试中继续跟进测试。至于2011版的实在不想再测了,那位说系统加固抑制、灭

活的朋友,您把帖子后面那个锁屏病毒(11楼)下载后,关闭文件监控,把系统加固开到最高模版双击运行病毒,看看结果吧,有没有

灭活?有没有抑制?我支持讨论但不要说一些其他东西,boring、tedious!
846860493 - 2012-3-10 19:24:00
同意。。。分清主次的同时,还是希望两者兼具。或者把加固移到防御中。
红到时 - 2012-3-10 21:09:00
系统内核加固想法很好,只是瑞星没有把它做好而已
红到时 - 2012-3-10 21:17:00


引用:
原帖由 dong0022 于 2012-3-10 18:00:00 发表

  关于系统加固的个人见解


  最近看到很多朋友对2012全功能没有系统加固而感到“痛心疾首”,这里我想


如果在面对未知免杀病毒时,你觉得是木马行为防御有效,还是单步的系统内核加固能更好的发现异常
dong0022 - 2012-3-11 9:07:00
当然是木马防御更有效,行为分析就是专门针对未知病毒和免杀病毒的,因为即使再加壳、反汇编病毒的行为动作是不变的,一个强盗即使穿着再光鲜,一旦有恶意动作照样拦截。
您只看了我第一句话,后面的您应该没有仔细看,瑞星的系统加固精简了相当多的传统hips功能,单开无法起到最大保护作用,只是辅助行为分析做一些点动作的拦截!
我下面不是说了测试过程了,您可以用病毒在虚拟机中测,看是单开系统加固拦截高,还是单开木马行为防御拦截更高
系统加固和行为分析密不可分,我也不是想说哪个重要,因为同等重要!但很多朋友过于纠结系统加固,我只是开帖说一下,单就瑞星的防御架构而言还是高规则的木马防御起主要拦截作用!
红到时 - 2012-3-11 9:33:00
系统内核加固关键是自定义,这个帖子里的已经说的很清楚了http://bbs.ikaka.com/showtopic-9164655.aspx
拦截的目的不是杀毒,而在抑制病毒,减小或者起到灭活的效果,降低或消除病毒所造成的破坏性 ,这和木马行为防御有本质区别
dong0022 - 2012-3-11 11:22:00
我的意思您还没懂,我从来没说系统加固不重要!而是提醒一下过于纠结系统加固的朋友,木马防御也相当的重要,而且在瑞星防御体系中起到主要拦截作用!
您再不懂我也没有办法解释了,只要能看懂的人能明白就好了
DoctorLc - 2012-3-11 16:13:00
这样讨论讨论,热闹一些,活跃下论坛气氛也不错:kaka12:
紫水晶888 - 2012-3-11 17:24:00
同意楼主的意见,从以前在卡饭测试的来看,90%上都是木马行为防御拦截的,很少有系统加固。
所以应当加回木马行为防御的调节并且改善其中的规则,当然最好也加回系统加固而且要支持通配符和自定义,这样才能形成一个瑞星特色的防御体系,把中毒的可能性将至最低
dong0022 - 2012-3-11 18:55:00
我支持讨论,但他貌似没明白我这篇帖子的意思。他的意思是说增强系统加固监控范围,增加通配符,这些属于建议而不在我这篇帖子所说的范围内。
而且发了三帖,有一篇说什么“明着赞扬,实为暗讽”,也不知道他咋看出来的,蛋疼啊
反病毒学习元 - 2012-3-12 8:44:00
如果 瑞星能开发出云防御功能 也就是会放弃系统加固功能 个人觉得会出云防御功能 搞不好 界面都会换 系统加固整合进云防御里面
红到时1 - 2012-3-12 11:13:00


引用:
原帖由 dong0022 于 2012-3-11 18:55:00 发表
我支持讨论,但他貌似没明白我这篇帖子的意思。他的意思是说增强系统加固监控范围,增加通配符,这些属于建议而不在我这篇帖子所说的范围内。
而且发了三帖,有一篇说什么“明着赞扬,实为暗讽”,也不知道他咋看出来的,蛋疼啊
你的意思是让瑞星改进木马行为防御,添加强度调节,我的意思是瑞星啊,你顺带保留和改进系统内核加固,没有系统内核加固的木马行为防御,你觉得可靠吗,我希望是两个都要
dong0022 - 2012-3-12 13:48:00
我通篇也没说去掉系统加固,只是说了大家过于关注系统加固而忘记了行为分析的强度调节。
您的意思我很早就看出来了,现在都明白了交流就畅通多了
瑞星工程师12 - 2012-3-12 14:28:00
建议已收集反馈。感谢您参与公测活动!
1
查看完整版本: 【dong0022】关于系统加固的个人见解
© 2000 - 2026 Rising Corp. Ltd.