瑞星卡卡安全论坛企业产品讨论区瑞星2009公测瑞星2009测试版问题反馈瑞星杀毒软件2009公测 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

1234   2  /  4  页   跳转

[意见建议] 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

四、工具部分:
08版本几乎相同,多了一个卡卡助手的安装。但却少了一个08的最大亮点:帐号保险柜。是不是在正式版推出09的新版帐号保险柜,尚不得而知,但这个功能是不可缺少的。





五、安检部分:和08版本几乎相同,仅增加了检测是否加入“云”计划的功能。


gototop
 

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

六、软件设置部分


这里只介绍09增加的内容。


1.空闲时段查杀:这个功能应该是整合了原先的屏保查杀和定时查杀。并可以自定义某个时段查杀。


2.查杀设置部分


查杀的病毒类型里面新增了对“可疑文件”的查杀(瑞星的启发扫描?尚不得而知)


优化部分:增加了报壳名和深度扫描两部分。深度扫描(瑞星的启发扫描?尚不得而知)


gototop
 

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

软件功能测试


一、
自我保护测试


    自熊猫烧香时代开始,病毒似乎开始变“被动挨打”为“主动进攻”。他们在实施各种行为(下载木马等)之前会对杀毒软件进行攻击,因此杀毒软件的强壮与否也直接决定这场斗争的“你死我活”。


在基于对各种病毒的了解基础上,我们得出以下病毒通常的破坏步骤恢复SSDT使得杀毒软件钩子失效,结束杀毒软件进程,删除相关注册表键值,对杀毒软件进行映像劫持,并配合查找相关窗口发送关闭等消息阻止用户打开杀毒软件。


下面我们就分别使用这几种手段对瑞星09进行“破坏性”测试。最后还将使用几个流行病毒测试瑞星09的自我保护能力。



1
.恢复SSDT


瑞星08在恢复SSDT后,便可以对其“胡作非为”看看09的吧。


我们使用rootkitunhooker09SSDT钩子进行恢复,恢复后再用rootkitunhooker扫描发现瑞星09的钩子又自动挂上了。在使用了冰刃等工具恢复SSDT后也有同样的效果,钩子被自动恢复了。看来瑞星09加入了该功能,如果真的是这样的话,那么目前恢复钩子的病毒对瑞星应该就没有用了吧,一会我们再用病毒看~


2.结束杀毒软件进程


由于挂了相关钩子使用任务管理器等当然无法结束瑞星进程。其他工具如冰刃等仍可结束进程,但这并非是判断自我保护是否有效的方法,后面我们用病毒测试。


3.映像劫持


模拟病毒:关闭瑞星自我保护,结束瑞星监控进程,打开注册表编辑器建立对瑞星各个进程的映像劫持项。







试验中对RsMain.exeRavMond.exe,RsTray.exe(小伞)等进行映像劫持


发现瑞星主程序在映像劫持的情况下仍可以正常开启。


RavMond.exeRstray.exe无法被开启


但我们利用cmd命令启动RavMonD服务,此时RavMond进程被顺利启动,瑞星监控启动,RsTray.exe也可以启动了。








由此证实瑞星可以在一定条件下可以不被映像劫持所影响。但尚待进一步使用其它方法证实。


4.模拟发送消息


我们使用spy++软件对瑞星主界面发送关闭等的消息


很可惜,我们可以自由的对瑞星主界面发送消息。这点甚至还不如08的自我保护。












下面开始进行病毒对瑞星自我保护的攻击测试,在此我们选择“磁碟机”病毒







因为磁碟机几乎集合了上述所有的破坏功能。恢复SSDT,结束杀毒软件进程,发送模拟消息等。


关闭瑞星所有监控,只开启自我保护





运行磁碟机病毒,发现瑞星的各个进程均未被结束,且弹出自我保护的提示。







但打开瑞星主界面后,仍然由于磁碟机频繁的发送垃圾消息而崩溃。







该测试也证实了我们之前所推测的,恢复SSDT对瑞星已经无效但仍可以发送消息关闭瑞星。


重启计算机试试,重启后发现瑞星小伞(RSTray.exe消失)。但其他进程(RavMond.exe等)仍健在。也就是说其实瑞星监控仍然在开启。由于瑞星主界面和小伞已经被干掉了,虽然监控还在,但已无法与用户进行交互了,所以此时瑞星已经相当于一个“哑巴”,有话也说不出来了。





gototop
 

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

二、主动防御测试:


下面 关闭瑞星的文件监控,开启瑞星所有的主动防御功能测试其拦截功效


此时我们使用瑞星默认的拦截功能测试某U盘病毒对系统的攻击。


主动防御拦截到病毒正在修改时间,选择阻止



病毒通过替换beep.sys加载恶意驱动,选择阻止


之后病毒试图结束瑞星但没有成功。


主动防御拦截到病毒创建各个分区下的autorun.inf,选择阻止



本以为这样病毒被我们成功防住,但不一会又反复出现了相同的主动防御对话框,难道刚才没拦住?不是。究其原因是因为瑞星只是拦截了病毒的相关动作(修改时间,创建autorun.inf)但未对病毒本身进行任何操作(结束进程,删除文件等)。这样的直接后果就导致瑞星主动防御即使发现了病毒可疑行为,但瑞星病毒库中没有该病毒的记录,那么普通用户仍然不可能杀掉该病毒,该病毒的威胁(后台下载木马等)继续存在。测试中我们看到瑞星可以和病毒很“和睦”的相处。




三、网页挂马拦截测试:


瑞星09的网页入侵拦截可以拦截到大部分网马,下图是拦截到病毒时候的提示




但测试中发现有些网马拦截不到,病毒还是运行了。


最后编辑K的二次方 最后编辑于 2008-09-19 00:54:33
gototop
 

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

测试总结以及改进建议


一、瑞星2009的四大亮点


1 木马入侵拦截

此为瑞星09的最大亮点,在当前病毒爆发的时代,杀毒软件更新的速度已经明显慢于病毒更新速度,且病毒对于杀毒软件的反击功能越来越强大。但病毒入侵电脑的途径是明确的,甚至是单一的。目前病毒入侵电脑的两大途径主要是:U盘传播和网页挂马传播。堵住了这两个传播的漏洞,我们就基本上可以高枕无忧,这就是瑞星09带给我们的全新理念。在此可以总结为“杀毒诚可贵 防毒价更高”。


2 瑞星的自我保护功能比08更强大

测试中发现瑞星的SSDT钩子可以自动恢复,许多依据恢复钩子挂掉杀毒软件的病毒应该已经失效。


3 瑞星安全计划

刚开始听起来似乎是个噱头,但从瑞星09的设置来看,云安全计划远远没有想象中的那么简单。它是一张网,一张铺的很大的网,它能让每个网民都能为中国的互联网事业做一份贡献。你进入了一个挂马网站,恶意网址被大家分享,随即加入到瑞星相关产品的恶意网址库中;他中了一个新的病毒,病毒上传到瑞星公司进行了分析,随即加入到瑞星各个产品的病毒库中,供全网升级,那么他之后就不会再有人中相同的病毒了。但这可能需要一个积累的过程,而且需要广大网民的配合,和瑞星一起编织一个保护中国互联网安全的大安全网。


4 断点续查

断点续查有效解决了用户因为时间问题停止查杀而下次又从头查杀的不便。杀毒从此也可以“断点续传”了。


5 启发式扫描?

测试中发现了瑞星的扫描设置里面增加了深度扫描和扫描可疑文件的选项,这是否是瑞星的启发扫描呢,这还需我们进一步进行观察。


二、瑞星2009的五大人性化设置


1.白名单

瑞星09的白名单重新进行了设计将其独立了出来,并且可以将用户在主动防御弹框后放过的程序自动加入到白名单,避免了反复提示给用户带来的不便。


2.验证码问题

以前关闭监控或者进行软件设置都需要输入验证码,且每次都需要。瑞星09在输入一次后且在不重启的情况下无需再重新输入验证码,充分考虑到了用户的需求。


3.瑞星密码

曾经有很多人提出要设置密码保护自己机器上的瑞星不被人为篡改,09增加了这个功能,并可以对各种操作进行设置。


4.报壳问题
    由于某些壳频繁被病毒利用,因此很多杀毒软件将某种壳列为病毒查杀,该类 病毒名一般以“packer”打头,但加该壳的也不一定都是病毒,这样可以提供用户选择是否报这些以“壳”为特征加到病毒库中的病毒。避免造成“误报”

5.开机扫描不自动勾选
以前的开机扫描默认是勾选的,但可能大多数人会觉得很烦,而且瑞星有了强杀功能后,此项功能已经基本上没有太大用处。因此默认设置中未勾选开机扫描,实为一个小的人性化设置

三、对瑞星2009的几个改进性建议

1.自我保护增加防止模拟发送消息 关闭瑞星
现在很多病毒都可以模拟按键发送WM_CloseWM_Destroy等消息关闭瑞星,但瑞星09似乎对于这些消息无法拦截,因此强烈建议瑞星09增加对这种按键消息的拦截。

2.主动防御提示对话框增加结束进程选项
主动防御对话框下方建议增加结束进程选项。这样可以避免上述测试中瑞星与病毒和睦相处的情况。但不需要增加删除文件的选项。这样可以不必担心系统被弄坏。我们知道现在有一些病毒是通过向其他进程中注入dll工作的,此时如果我们结束掉被注入的进程可能造成系统暂时出现异常(比如结束explorer.exe造成桌面消失)但不至于造成系统被“杀”坏。重启还会恢复正常。且这类病毒还是少于进程型病毒的。





3.网页防御问题,测试中发现瑞星的网页入侵防御不是能够100%防住所有类型的挂马,需要加强。

4.自我保护应该对每个瑞星的程序都“一视同仁”
测试中发现很多病毒可以搞死瑞星的小伞和瑞星的主界面,但此时监控仍在,为什么小伞和主界面程序不能像瑞星监控那样强壮呢,这样即使监控还在,但用户无法与瑞星进行正常交互了,监控的存在还有什么意义呢。另外自我保护应该增加对于瑞星防火墙卡卡助手等进程的保护。

5.恢复帐号保险柜和应用程序保护功能。
作为瑞星08的一个亮点,不希望在09中失去。

6.有毒状况下的安装
很多用户往往都是在中毒之后才想起来安装杀毒软件,但此时由于映像劫持,模拟发送消息等原因,杀毒软件已经无法正常安装到机器上,希望瑞星也像某软件一样在安装之前先对影响瑞星安装的病毒和某些注册表键值进行清理,比如清理映像劫持项目,安装界面标题随机等等。

7.建议瑞星的监控实现双进程或者线程守护
现今瑞星的自我保护有了恢复SSDT钩子的功能,但病毒通常的做法是恢复钩子,结束杀软进程,而且这两个动作通常是连续的,在瑞星将钩子恢复之前可能还是会造成瑞星监控被结束,希望像卡巴那样增加双进程(线程)守护,一旦一个进程挂掉,另一个进程马上恢复它,保证瑞星监控不这么容易挂掉.

8.解决所谓的解压缩后杀毒的情况
08的瑞星杀软中,通常碰到这样一种情况,解压缩后杀毒,此种情况应该是瑞星杀到了某个无法解压的安装包中存在病毒,但无法将其删除,应该在杀毒过程中做这样的判断。如果再出现解压缩后杀毒,应提供直接删除整个“安装包”的选择。

9.增加一个瑞星的工具专门检查隐藏隐藏进程,隐藏文件
不知道为什么09去掉了隐藏进程检测的工具,但这个功能还是很重要的。对于高级用户来说,可以通过检测隐藏进程或者文件查找到某些中毒的症状。建议在工具栏中提供一个工具,能够检测挂在SSDT表级别的rootkit。(该驱动的级别要比瑞星的深,不要只限于SSDT


本帖被评分 4 次
最后编辑K的二次方 最后编辑于 2008-09-19 00:58:19
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

值得工程师好好看看
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

分析的很好!谢谢楼主分享,希望工程师们能重视一下!
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

您的建议我们已收集,感谢您的支持。
gototop
 

回复:杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

不错的帖子啊 优点缺点都说出来了哦  希望瑞星工程师好好看看吧
gototop
 

回复: 杀毒诚可贵 防毒价更高-瑞星杀毒软件2009测试报告及建议(第一阶段)

不错。一定要支持这个建议
gototop
 
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT