瑞星卡卡安全论坛瑞星2008全功能体验杀毒软件[已关闭] 【原创】瑞星2008RD测试以及对HIPS模块的理解。2007-8-18

1234   1  /  4  页   跳转

【原创】瑞星2008RD测试以及对HIPS模块的理解。2007-8-18

收藏
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-08-18 14:05 | 只看楼主 短消息 资料
字号: 1楼

【原创】瑞星2008RD测试以及对HIPS模块的理解。2007-8-18

TOM2000

在FD测试中实在令我抓狂,于是转到RD测试项目。其实测试非常简单主要使用xyzreg编写的BypassRegMon对2008的注册表监控进行测试,这个测试原理是先在资源中写好一个可供导入的注册表配置文件,调用regedit将hiv文件的内容转储到runkey的上层目录然后改回到真正的启动项去。但是瑞星似乎只能防御常规方法B...

做完这个测试之后,我突然想到一句禅语“顿悟之前,劈柴挑水;顿悟之后,挑水劈柴。”

我一直在说安全软件集成的HIPS和单体HIPS是不同的,但是我们的“测试”是否是在用“用户”的力量正在把瑞星2008推向HIPS误区中呢?

长期以来困扰安全软件的一个问题就是,病毒破坏安全软件本身进程和文件后达到感染的目的。HIPS的出现刚好解决安全软件面临的这个难题,所以很多安全厂商都在自己的产品中引入HIPS机制,但是HIPS本身的一些缺陷又成了安全厂商新的困扰。首先就是兼容性的问题,不用说其它软件但是微软操作系统中的内核保护以及VISTA中新的安全机制的引入这些对HIPS的兼容稳定性都构成巨大的挑战。再次就易用性的问题,编写思想在超前,内部规则在强大的HIPS在更多的时候还是要靠提示框跟用户进行交互操作来达到保护系统的目的。这就必须要求使用者对计算机知识有相当程度的了解,否则看不明白这些提示HIPS还是起不到效果。但是有多少用户能看懂这些提示?就算能能看懂在多如牛毛的提示中有几个人能避免非技术上误操作?所以在安装HIPS的用户中更多的人把HIPS设置成“学习模式”其实这样还不如卸载HIPS.....

但是安全软件要面对的就是最普通的用户,他们不会因为你一个什么HIPS而去深入的学习枯燥的计算机知识,所以安全厂商就必须在HIPS实用性上和易用性稳定行之间做取舍。最后妥协的办法就是安全软件集成的HIPS不会象单体HIPS那样对整个系统进行保护,而是在保护安全软件自身的情况下最大限度对系统关键部分进行保护。

但是即便是这样,对于用户来说HIPS还是“太复杂了”以往版本中的瑞星详细设置就没有多少用户可以根据自己的要求进行设置,而新HIPS引入则更让用户“望而兴叹”。而且从目前测试论坛反映的情况来看排除BUG和界面因素,更多用户表现出来还是对HIPS的不适应。

写这篇帖子我用了很长的时间,因为着之中有太多的矛盾。安全软件需要HIPS,但是HIPS不是一般用户“玩”,而安全软件又要面对最普通的一般用户...解决矛盾只有妥协,但是妥协的答案在“瑞星2008实战小浩病毒”一文中就有了,这不仅仅是瑞星的答案也是所有有HIPS功能的软件的答案!我唯一希望就是但愿瑞星2008能寻找到一个“完美”平衡点!





[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑2007-08-28 10:02:00.403000000
分享到:
gototop
 
ras7
头像
在线技术支持工程师
  • 帖子:61
  • 注册: 2007-07-28
  • 来自:
发表于: 2007-08-18 14:47 | 短消息 资料
字号: 2楼

看来阁下终于领悟了。今年主动防御的概念在中国这个混乱的市场里很快会烂掉,对于绝大多数用户杀软最重要的还是查杀率,查杀率是当前各个厂商比拼的内功。
gototop
 
★蓝色羽毛★
头像
版主
  • 帖子:4322
  • 注册: 2004-02-22
  • 来自:
论坛8周年活动礼物幸运草论坛9周年纪念09欢乐圣诞10温馨圣诞
发表于: 2007-08-18 15:16 | 短消息 资料
字号: 3楼

补充一下,我赞成瑞星把自己的HIPS简单化,当然简单不意味着无效,现在大多数用户都是装完杀毒软件就万事大吉,有多少用户会自己弄规则?在电脑城装机时,许许多多的装机员哪个不是GHOST一个系统,装一个杀毒软件就收工了。有谁还会去研究瑞星的HIPS?
所以要想使瑞星的HIPS起到真正的效果,只能辛苦工程师,增加规则,或者在以后有热心会员发布自己的规则让大家使用。
如果把杀毒软件弄得太复杂,可能将失去一部分用户,我想这是不能不让我们考虑的。

所以说高手们提的建议不错,但是有些只是理论上说得过去,实际将很难实现。
gototop
 
ras7
头像
在线技术支持工程师
  • 帖子:61
  • 注册: 2007-07-28
  • 来自:
发表于: 2007-08-18 15:36 | 短消息 资料
字号: 4楼

随着测试的进行,我们会提供更多的保护内容。大家多多拍砖就是了。最终正式版的样子取决于大家的问题和工程师们对安全的理解。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-08-18 16:43 | 短消息 资料
字号: 5楼

引用:
【ras7的贴子】随着测试的进行,我们会提供更多的保护内容。大家多多拍砖就是了。最终正式版的样子取决于大家的问题和工程师们对安全的理解。
………………



这个HIPS本来就是附属产品,坛子里太多人讨论这个干嘛?

瑞星能做好并更新基本默认规则已不错了:-)

公测要求里根本就没有,大家没看见?

ras7不必太在意这些功能,花些工夫到基本程序,一会我把这一版报告提交到数据库。
gototop
 
8897603
头像
锋芒艾服狮
  • 帖子:1177
  • 注册: 2005-01-14
  • 来自:
发表于: 2007-08-18 20:55 | 短消息 资料
字号: 6楼

实在不行来个"推荐设置,让系统自动作出判断”
此时可以使用程序比对瑞星网络特征数据库
(建立一个瑞星网络特征数据库)
查询配置,进行网络比对。
类似于SSM的新手模式
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-08-18 21:00 | 短消息 资料
字号: 7楼

引用:
【ras7的贴子】看来阁下终于领悟了。今年主动防御的概念在中国这个混乱的市场里很快会烂掉,对于绝大多数用户杀软最重要的还是查杀率,查杀率才是当前各个厂商比拼的内功。
………………



烂掉倒可能不会,就希望不是乱炒......
这篇报道还是有点启示的。《防病毒软件 莫让主动防御成炒作噱头》:
http://www.ccn.com.cn//xbyw/2007-08-15/1187139652d287666.html
gototop
 
有情人终成眷属
头像
飘泊而立狮
  • 帖子:582
  • 注册: 2005-03-30
  • 来自:
发表于: 2007-08-18 21:19 | 短消息 资料
字号: 8楼

引用:
【horseluke11的贴子】


烂掉倒可能不会,就希望不是乱炒......
这篇报道还是有点启示的。《防病毒软件 莫让主动防御成炒作噱头》:
http://www.ccn.com.cn//xbyw/2007-08-15/1187139652d287666.html
………………



支持一下这个回复。

消费者报怎么也插个手?
gototop
 
电脑应用
头像
特邀体验者
  • 帖子:4097
  • 注册: 2005-02-04
  • 来自:帆船之都~~~
发表于: 2007-08-18 21:24 | 短消息 资料
字号: 9楼

引用:
【ras7的贴子】


晕啊  工程师怎么在测试时说出这样的话呢?现在安全形势,瑞星公司的主动防御可以说是非常好的,只是在软件研发的初始状态作的还不是很好罢,很多中国的用户这么相信你,希望你在集中了软件开发人员后能把好的安全产品拿出来,1楼说的好,关键如何引导用户正确高效的使用这样的功能,毕竟大多数人也是不明白的,那么既然你们没有当作鸡肋抛弃就说明有用的,就需要你们作好一点教育工程,我们也需要自己学习下,而不是只是面子问题,但得承认,查杀率确实很重要,但问题是现在恶性木马这么多,我们必须考虑到"主动"保护自己系统.自己的杀软,不要动不动,监控没有了,双击瑞星没有反映了,服务自己自动关闭了,甚至自己的进程被熊猫线程注入了........
个人观点
gototop
 
ras7
头像
在线技术支持工程师
  • 帖子:61
  • 注册: 2007-07-28
  • 来自:
发表于: 2007-08-18 23:00 | 短消息 资料
字号: 10楼

很感谢大家的支持。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT