针对瑞星升级宝宝的解决方案个人建议
说实话,虽然我是瑞星正版,无赖管理电脑太多,也用过瑞星升级宝宝
http://www.mys530.com看见瑞星升级宝宝和瑞星之争,不杀之,正版用户不能平衡,杀了,敌人更新太快,弄大的还是不断更新的病毒库,看杀瑞星升级宝宝总是取特征码,特征码勤快人会千变万化的,看来没杀到关键,以下希望开发工程师参考
两个根源杜绝它
根源1升级无非是调用setup.exe或update.exe,调用程序必然有个父进程的pid,如果是瑞星升级宝宝调用的,瑞星可认定之为恶意程序杀之,只有调用pid为瑞星进程则合法升级,见附图
根源2.
瑞星肯定有网络认证服务器,可确定发申请更新指令的程序是否是瑞星程序,不是则可认定之为恶意程序杀之,只有调用者为瑞星进程则合法升级。
瑞星升级宝宝既然可以突破注册码而升级,必然是抓包高手或曾是瑞星内部人员,能分析升级网络数据包,验证的代码都必须重写并有加密,合法升级应该验证注册码,程序厂商,程序路径(是否瑞星安装路径),MD5值,是否被破解修改,针对丁香鱼重新打包,数字签名等数重复合认证。
微软有一文件,大小仅1k,却维护全系统帐号,且无人可在正常运行中访问和删除它,为什么,很简单的驱动保护。
C:\WINDOWS\system32\config\sam
并应该全力加固升级程序,就算他人也安装驱动复制访问升级程序时,这时文件监控应该会发现吧。并可仿效微软Ntfs格式,只有瑞星程序能访问和启动之,否则违反了Api规则。并拒绝其加入白名单中骗取瑞星信任。
再不然,升级模块合办入瑞星主程序中,升级时候需要验证码,取瑞星的一个算法,合法升级主程序内置应答,外部程序即使调用到了这里,退一万步而言,还有验证码这关。
个人愚见,仅供参考。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 2.0.50727; MAXTHON 2.0)
