瑞星卡卡安全论坛

近来再群里和大家聊天有提到防御的问题。便想到了V17中算是阉割版的主动防御。心想拿来测试一下。

测试环境：虚拟机 windows 7 ultimate with sp1 纯净环境。
两个虚拟机分别装配瑞星全功能安全软件2011
瑞星杀毒软件V17，瑞星防火墙V16
样本:10个

 附件: 您所在的用户组无法下载或查看附件

从外网找的，其中有木马，病毒还有一些盗号软件。 技术菜的抠脚，虽然保证都是恶意软件（病毒），其中可能有些并不适合主防测试。所以结果不一定具有普遍性。仅供参考。

下面是两款软件的扫描测试结果。、

 附件: 您所在的用户组无法下载或查看附件                     
 附件: 您所在的用户组无法下载或查看附件
明显V17的引擎扫描结果好的多。
为了测试主防，我将两款软件的文件监控全部关闭。而且保证是最新版本。

 附件: 您所在的用户组无法下载或查看附件     
 附件: 您所在的用户组无法下载或查看附件       
 附件: 您所在的用户组无法下载或查看附件
瑞星杀毒软件V17和瑞星全功能安全软件的系统加固等级均为中等。

样本1

 附件: 您所在的用户组无法下载或查看附件               
 附件: 您所在的用户组无法下载或查看附件
双方均为防火墙报警。主动防御无反应。
这个样本应该是密码窃取。不知是否有测试价值。

样本2
双方均无反应。

样本3

 附件: 您所在的用户组无法下载或查看附件     
 附件: 您所在的用户组无法下载或查看附件 
 附件: 您所在的用户组无法下载或查看附件
双方均有系统加固提示。选择阻止以后病毒进程未退出。但是应该阻碍了病毒进程的正常运行。

 附件: 您所在的用户组无法下载或查看附件
病毒的操作应该是陷入循环了。没有正常运行。不断地添加启动项
样本4 经过验证应该是无效了。这个是系统自带Windows Defender 报毒，但是关闭WD以后依然无法运行。

样本5,6,7,8,9,10 V17均无反应。
在中等级别的系统加固下，瑞星全功能安全软件2011可对 5.6.8.10号样本进行拦截。

 附件: 您所在的用户组无法下载或查看附件 
 附件: 您所在的用户组无法下载或查看附件 
 附件: 您所在的用户组无法下载或查看附件   
 附件: 您所在的用户组无法下载或查看附件
提升一级系统加固后，2011版可拦截7号样本
这个系统加固的弹窗我没截下来，选择阻止后，和样本3类似，样本的操作卡在循环中。



用户系统信息：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36

我又尝试了下将监控等级和内核加固等级都提升到最高等。

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件



样本3有了挂钩提示

 附件: 您所在的用户组无法下载或查看附件

最后崩溃了。。

 附件: 您所在的用户组无法下载或查看附件



样本7与9也进行了关键步骤拦截。

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

通过测试结果可以看出。在较低或者中等的防御等级下有木马行为分析功能的瑞星2011版本有着较高的防御率。


瑞星在V16以及V17版本对主动防御部分进行了精简。我个人理解是为了方便用户使用，减少弹窗数量。但是却是以安全为代价，降低防御率为代价。


反而我觉得具有木马行为分析，夹杂着中级甚至是低级的系统内核加固进行使用，既可以减少不必要的弹窗数量。又可以保证安全。


我另一种想法是可能是为了64位适配主动防御才做出的精简。建议加回木马行为防御。


个人意见。。瑞星从来都不是一个做不好技术的公司。但是总觉得会迷失方向。总是走极端。
着急免费一下全免费搞得刚刚买的用户愤愤不平，很多问题到现在都还没有解决。


为了用户体验就砍掉一切弹窗复杂的功能。 联盟版甚至软件自身的弹窗都没有。。。（任何对防御事件的提示）


当初数字的胜利绝对不仅仅因为是免费(尽管免费是一个必要的条件)。毕竟在翻天之前数字就已经有了数字免费杀毒软件。但是那粗制滥造的作品即便是免费也没有人用。


后来产品的不断优化。才吸引了更多的人。 瑞星2011的确没有在当时用户最重视的 外观，性能上吸引到客户。


但是时代总是进步的，人们也越来越多的了解计算机，产品也越来越人性化。


感觉产品上努力在去做，但是有时候让人觉得总是得不偿失。V16 17 极力的进行精简，但是却忘记了有一大批热爱技术的老用户。


既能满足初级用户的需要，又能满足爱好者折腾的需要。我知道很难。但是我觉得最好的产品肯定是这样。


金子总会发光的。


瑞星从来都不是一个缺如金子一般技术，一般的产品的公司。


个人愚见。 献丑了。

还有一些意见。
瑞星V16界面存在一点BUG




 附件: 您所在的用户组无法下载或查看附件

界面右半边。有一大片模糊的地方。有时候小工具名字会消失。


V17的设置会有滞后效应。有的时候重启才能生效。


V17联盟版感觉像受气了的媳妇。。即便关了免打扰。所有的安全提示自动执行并且记录在日志里。不提示用户。觉得这点没必要吧。必要的提示还要提示用户的。（我在所有设置中设置了提示我。）

样本在这。

附件: 样本.zip

该用户帖子内容已被屏蔽

瑞星V17的主防有待加强，默认设置下监控有点宽松。

哎呀，废话不看没事好歹工程师们进来收下样本嘛:kaka11: :kaka11: :kaka16:

那个防火墙的界面bug我很久以前就反馈了结果一直没解决……:kaka6:

该用户帖子内容已被屏蔽

样本目前已经可以全部查杀了= =

估计是看了。没回复而已:kaka11: