针对瑞星升级宝宝的解决方案个人建议
请您按照模板格式提交相关信息:
操作系统及补丁情况:必填
浏览器及版本:必填
瑞星软件版本:必填
涉及的其它软件版本:怀疑与其他软件存在兼容性问题时必填
问题现象:必填
出现问题前的操作步骤:必填
问题能否复现:必填(必现/经常/偶尔)
如有能够破坏瑞星软件的病毒样本、怀疑误报的文件、发生蓝屏后的内存转储文件等,请您将其压缩后作为附件上传。
说实话,虽然我是瑞星正版,无赖管理电脑太多,也用过瑞星升级宝宝。
http://www.mys530.com/rs/看见瑞星升级宝宝和瑞星之争,不杀之,正版用户不能平衡,杀了,敌人更新太快,弄大的还是不断更新的病毒库,看杀瑞星升级宝宝总是取特征码,特征码勤快人会千变万化的,看来没杀到关键,以下希望开发工程师参考。
两个根源杜绝它
根源1.
升级无非是调用setup.exe或update.exe,调用程序必然有个父进程的pid,如果是瑞星升级宝宝调用的,瑞星可认定之为恶意程序杀之,只有调用pid为瑞星进程则合法升级,见附图。
根源2.
瑞星肯定有网络认证服务器,可确定发申请更新指令的程序是否是瑞星程序,不是则可认定之为恶意程序杀之,只有调用者为瑞星进程则合法升级。
瑞星升级宝宝既然可以突破注册码而升级,必然是抓包高手或曾是瑞星内部人员,能分析升级网络数据包,验证的代码都必须重写并有加密,合法升级应该验证注册码,程序厂商,程序路径(是否瑞星安装路径),MD5值,是否被破解修改,针对丁香鱼重新打包,数字签名等数重复合认证。
微软有一文件,大小仅1k,却维护全系统帐号,且无人可在正常运行中访问和删除它,为什么,很简单的驱动保护。
C:\WINDOWS\system32\config\sam
并应该全力加固升级程序,就算他人也安装驱动复制访问升级程序时,这时文件监控应该会发现吧。并可仿效微软Ntfs格式,只有瑞星程序能访问和启动之,否则违反了Api规则。并拒绝其加入白名单中骗取瑞星信任。
再不然,升级模块合办入瑞星主程序中,升级时候需要验证码,取瑞星的一个算法,合法升级主程序内置应答,外部程序即使调用到了这里,退一万步而言,还有验证码这关。
个人愚见,仅供参考。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 2.0.50727)
