回复: 瑞星工程师2009开发手记一,为什么瑞星不对冰刃做攻防
原帖由 路边一棵草 于 2008-9-26 10:56:00 发表
其实瑞星的自我保护也可以走走偏门,比如江民就是以随机数产生自己的进程,避免了病毒根据进程名称来关闭杀毒软件本身。不在乎瑞星杀毒软件对新病毒个个能防,但是如果在瑞星病毒库升级能辨认该病毒后,瑞星却起不来了,搞的用户还得重新作系统,那不是让用户觉得用你瑞星和没有用瑞星没有什么区别了?所以要求不高,只要你瑞星能在被病毒入侵后,能不被病毒关闭,哪么我相信会有更多人继续支持你的!
关于这问题,还是要说,确确实实制毒的在国内首选终结瑞星
然后再考虑其他的。
国外的安全软件,制毒的首选终结卡巴
这样的情况已经在这三年内有过几次大的网络挂毒情况了。
这病毒对付安全软件的手段已经不单单是局限于安全软件是否被关闭的问题了。
而是各种各样的手段一起上,终止一个是一个的形式了
也就是说,修改系统时间,映像劫持,终止进程,发垃圾消息等所有能对付安全软件的,都一齐上了。
就算不被终止进程又能阻止病毒了???
如果不被终止进程就能阻止病毒
那么为什么号称不会被终止进程的其他安全软件的官方也不断有求助的呢??
这不是能强撑着不倒,就一定能阻止病毒的。
例如现在的病毒,弄一个主病毒,做卡巴的免杀后,这主病毒程序卡巴不认,然后开始挂网页上,中毒的卡巴用户也一样不懂卡巴的跳出的提示的,一路放行
病毒运行后,开始修改注册表,修改系统时间,这些行为卡巴也跳了危险提示
但是使用者一直选择放行的,这在实际的很多办公场所大家应该都能见到的。
然后重启电脑后,就会发现卡巴不工作了,然后就是那个病毒主程序开始下载一堆病毒木马,并且这一堆木马病毒都是卡巴能杀的。但是仅仅就开始的第一个免杀的病毒主程序做了需要做的事,以后就一切通畅了。
这是所有杀毒软件都面临的情况,只有等到那个免杀的病毒主程序加入卡巴病毒库以后,才能阻止,如果病毒主程序一直不断做免杀,这就是一个很热闹的过程的。
有人曾经说,那个小点点是靠行为判断的,能自动阻止行为异常的程序,自动判断为病毒的。
那么我要问
当初磁碟机刚升级时,为什么小点点不断被病毒终止呢?
只到小点点升级后才能阻止
那么这意味着什么???
这意味着不管什么杀毒软件,它需要用户合理的使用它,需要升级病毒库,需要用户习惯为自己喜欢的杀毒软件提供自己可能遇到的病毒文件样本加可库。
没这些基础,其他的一切很难的
说到底一句话,制毒的人是根据安全软件的实际情况来制作病毒的。
安全软件升级强化到什么程度,它们病毒也会升级到相应的并且还是很奇怪的方式终结安全软件
就象2007年一整年里遇到的新病毒都千篇一律的修改系统时间为2004年之前
为什么呢???
就因为卡巴号称进程不会终止
那么病毒就用了个当时很奇怪,但是很有效的方式--------------修改系统时间
