在 杀毒诚可贵 防毒价更高－瑞星杀毒软件2009测试报告及建议(第二阶段)的帖子中，本人提到恶意行为检测需要增加敏感度，尤其是对于感染型病毒的敏感度。由于当时没找到合适的样本，所以没做这方面的测试，刚刚找到了一个“古老”的威金病毒，试了下，果然成功“绕过”了瑞星的主动防御和各项监控。
      测试步骤：
      假定该病毒为未知病毒，瑞星尚未入库。因此将瑞星文件监控关闭。

      1.把系统加固开到最高
     

        2.木马攻击拦截开到最高
     

      3.用瑞星扫描该样本，确认是威金病毒
     

      4. 运行该样本。未发现瑞星有任何动静。只是过了一段时间后弹出了瑞星自我保护的提示，因为病毒正在试图感染瑞星文件夹中的文件。
     

      5.为什么测试结果是这样呢？威金病毒也是写注册表开机启动的阿！
          细究发现：威金病毒写的注册表启动键值是HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\LOAD
      在瑞星系统加固中，为了确实的对系统进行“加固”，对修改该项键值的动作默认操作是拒绝，因此不会提示用户。


瑞星主动防御监测到了变化，但由于直接拒绝了，用户不知道。


      这样便给病毒带来一个绝对的“隐藏”空间，给他们了可乘之机。这期间普通用户根本无法了解到自己中毒了，瑞星主动防御不弹出任何提示，病毒只是在后台感染文件。虽然注册表被锁死，启动不了，但文件还是可以成功感染的。
      因此以后病毒蛮可以做的不声不色，不改动注册表，只下载木马或者感染文件。一样可以达到目的。

    综上，提出两点建议：
1.希望木马攻击拦截做的更敏感些，通过监控进程调用的API序列检测感染型病毒(FindFirstFile,FindNextFile,CreateFile,WriteFire等）或者下载者病毒(UrlDownloadToFile，Winexec等)。
2.虽然主动防御中增加了结束进程的操作，但那只限于规则中“提示”用户的那些规则，对于系统加固中直接“拒绝”掉的更加危险的动作，不但不提示用户，而且也没有去结束该进程。因此在遇到这类被规则直接拒绝的危险动作时，也应该出一个框提示用户，并且提供“结束进程”选项，且该选项应该默认勾选。  如图


病毒在附件中 密码123

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)

您的问题我们已收集，感谢您的支持。

很细心，楼主第三阶段测试帖未发完，先顶顶这帖。