瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星杀毒软件V16+ » 瑞星规则不全,应改进
shulun743 - 2014-10-12 12:43:00
系统:win8.1  32

浏览器:ie11  猎豹


操作:运行clt测试软件


结果:发现瑞星有很多项目不拦截,怀疑是系统加固规则缺失!!!










测试项目

动作

防御方式以及说明




9. Invasion: DebugControlProtected

没有日志,没有询问

访问物理内存



10. Injection: SetWinEventHook

安装全局事件钩子d:\tool\测试工具\clt\plugins\setwineventhook.dll

安装全局钩子阻止


12. Injection: SetThreadContext挂起其他进程的线程 c:\windows\explorer.exe

操纵其他进程及线程阻止



14. Injection: ProcessInject修改其他进程的内存 c:\windows\system32\svchost.exe

访问其它进程内存阻止



19. Injection: AdvancedProcessTermination调试其他进程 c:\windows\explorer.exe



24. Impersonation: DDE
访问COM接口
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} Security Manager

创建新进程 c:\program files\internet explorer\iexplore.exe


25. Impersonation: Coat

访问网络


修改注册表值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*


创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\*.gif


创建文件 D:\TOOL\测试工具\CLT\logo.gif

26. Impersonation: BITS

创建文件
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\53L0CQ5Q\logo[1].gif


创、修、删文件
C:\Documents and Settings\Administrator\Local Settings\Temp\*.tmp


修改文件 \Device\NamedPipe\lsarpc


删除文件
C:\Documents and Settings\Administrator\Local Settings\Temp\test.gif


• Background Intelligent Transfer Service(BITS):这个系统服务能利用HTTP 1.1
在网路閒置时于背景传送资料,
Windows Update会用到这项系统服务。
不建议设为停用。


31. Hijacking: StartupPrograms

修改注册表值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms



用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER
立刻回答 - 2014-10-12 22:17:00
系统加固去掉那两个优化选项的勾再测试
瑞星工程师12 - 2014-10-13 9:29:00
请楼主提供clt测试软件,上传至网盘http://pan.baidu.com/并提供下载地址。
您的内核加固是如何设置的?请发截图来看看。
并且请把瑞星日志的db文件压缩发来。
1
查看完整版本: 瑞星规则不全,应改进
© 2000 - 2025 Rising Corp. Ltd.