瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星安全云终端软件 » 关于瑞星全系列产品自我保护的建议
立刻回答 - 2017-4-26 13:05:00
在windows 8.1及以上系统中,微软发布了AM-PPL技术(Anti-Malware Protected Process Light),可以用于保护反恶意程序的进程,希望瑞星能在本身自我保护的基础上,将此技术用于自身以提高自我保护强度。

Anti-Malware Protected Process Light:
AM processes can run critical user-mode service components as AM-PPL which is at a higher level than an Admin thus can help shield itself from admin level malware
PPL的权限比超级管理员权限还高,不加钩子和驱动(让系统蓝屏那种攻击不算)的话,即使是获得超级管理员权限也干不掉。如果使用PPL对瑞星进程进行保护,那么procexp.exe连瑞星进程加载的模块都看不了。

AM-PPL白皮书:https://msdn.microsoft.com/en-us/library/windows/desktop/dn313124(v=vs.85).aspx

AMP介绍见附件

用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0

附件: Batchelder-VB2015.rar
麦青儿 - 2017-6-27 17:35:00
谢谢,这建议已在考虑了:kaka1:
1
查看完整版本: 关于瑞星全系列产品自我保护的建议