瑞星主动防御中的白名单功能请大家慎用!【讨论】
瑞星主动防御中的白名单功能请大家谨慎使用
瑞星主动防御中的白名单功能不同于其它HIPS软件中的添加规则那么简单,HIPS可以通过添加并保存程序规则的方式大大的降低弹出窗口数量但是规则中的程序仍然在其监控范围之内受到管制,而瑞星主动防御中的白名单不同,它的权力太大,过多的加入白名单虽然可以降低窗口弹出的数量但同时也会大大的降低瑞星主动防御的安全性。
可以拿SSM与瑞星主动防御做个比较
例如有程序A、B、C、D
我要实现这样一种情况
A做为父级程序能够启动子程序B(每次启动不提示直接允许)、启动C(每次启动都提示)、启动D(直接拒绝)
如果是SSM首先要创建四条程序规则,然后设置它们的子父级关系,按照要求打开程序A的规则设置然后在对象名称框中找到B的父级框然后打上钩、在C的父级框上打上“?”号、在D的父级框上打上红色禁止符
现在再来看看瑞星主动防御,当A做为父级程序分别启动子程序B、C、D时我们在提示框中只有三种选择:1、允许\拒绝一次 2、允许\拒绝这次直到重启电脑 3,直接加入白名单,选择1不能满足B和D的要求,选择2不能满足B(只是临时的实现了一下等到下次启动电脑后又会出现提示)、C(不能满足每次都提示的要求)、D(同B)、选择3不能满足C和D甚至还包括没有参加此次活动的E、F、G、H......,此时程序A将不在瑞星主动防御的监控范围内,它将拥有无上的权力启动任何程序、DLL、驱动等等当然也包括病毒在内,要知道还有一些专门针对主动防御漏洞的病毒一但启动就晚了。
现在做个实验来验证一下我的说法
分别使用IE浏览器来启动记事本、金山清理专家防挂马模块、讯雷下载、加载一个DLL模块,在没有将IE加入白名单之前,瑞星主动防御成功跳出拦截提示框(如图1、2、3、4)为了减少弹出窗口的数量按照遇到正常程序就送入白名单的错误指导思想当遇到图1中的提示时大多数人肯定会将IE和记事本一起送入白名单,现在再来启动一下其它程序,是的!提示没有了!本来只是想让IE启动记事本时不在提示的、现在到好IE启动任何程序都不在提示和拦截了,安是安静了但是安全谁来保证?这仅仅只是拿IE做了个例子而已,在系统中还有很多程序会被病毒和木马所利用,而这些程序又有相当一部分会被用户不小心的送进白名单,想想后果有多可怕吧,通过这个例子建议大家慎用白名单功能。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
