瑞星主防改进----综合整理篇！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 瑞星主防改进----综合整理篇！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 瑞星主防改进----综合整理篇！

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2009-02-28 19:56 \| 只看楼主短消息资料字号：小中大 1楼瑞星主防改进----综合整理篇！以前发表一些帖子，主要就是针对瑞星的改进建议！由于仓促，帖子有很多不足，所以才有了此文（对以前帖子的整理）瑞星应向以下几点改进！！！、、、 1.瑞星功能改进！！！ a：现下主流的hips软件都会在初次安装或有新的软件运行时，hips会将此软件自动分级并放入相应的组中（信任未信任）卡巴2009也添加了此功能，有此功能可以进一步的降低安软的系统占用，减少拦截窗口的弹出次数等好处（自动分级将系统进程和模块以及认证为安全的软件加入信任组，在信任组中的软件，安软是不监控的，所以系统资源降低了！弹出窗口减少了！但威胁操作，应拦截，防止用户误将未知进程放入信任组，卡巴有此功能）！！！信任.jpg (92.79 K) 2009-2-28 19:55:53 b：对进程的控制！瑞星的主防没有控制以下操作：访问其他进程数据 - 修改其他进程的内存及内存属性，或者在进程间复制句柄。操作其他进程及线程 - 创建远线程，结束、挂起或修改其他进程的线程，结束或挂起其他进程，或者调试其他进程。进程间消息操作 - 向其他进程发送消息，或者从其它进程接收消息（如：病毒虚拟发送消息关闭瑞星）。底层键盘操作 - 直接读取键盘状态，或者模拟键盘输入。特殊方式写注册表 - 使用注册表配置单元文件替换注册表项，重命名注册表项，或者创建注册表链接。创建远程线程（拦截注入）加载库文件远程调用com对象安装键盘钩子（卡巴有此功能）模拟键盘鼠标操作（如：磁碟机）系统设备控制（卡巴有此功能）注册表转储（hiv）访问服务管理器 c：对文件的控制！！！瑞星只对系统文件夹进行了保护！而对C:\Program Files文件夹以及其他磁盘的文件都没有保护！！！若遇上感染性的病毒------无疑是一场灾难!!! 虽然瑞星有行为引擎，但是有很多用户连“工具”--检查更新都不运行，如何配置引擎呢？？？这不是夸张，我自己身边就有这种情况！！！ d：对注册表的保护！！！一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截. 1.cmd运行前执行的程序(被动启动) HKEY_CURRENT_USER\Software\Microsoft\Command Processor AutoRun REG_SZ "xxx.exe" 2.session manager(自启动) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager BootExecute REG_MULIT_SZ "autocheck autochk * xxx" 瑞星就来了一个bsmain，用来开机查毒不过xxx.exe必须用Native API，不能用Win32API 3.屏幕保护程序(被动启动) HKEY_USERS\.DEFAULT\Control Panel\Desktop SCRNSAVE.EXE REG_SZ "xxx.scr" 其实屏幕保护程序scr文件就是PE文件 4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run "MSCONFIG"="%SystemRoot%\\xxx.exe" 另外,还有一个偷换控制面板文件来被动启动的方式，控制面板文件在C:\windows\system32\下的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧! 以上键值------------经我测试，瑞星一个未拦！！！ 5. 现在很多安软采用了隐藏进程等技术保护自身不被恶软发现（如：x；江民；卡巴；魔法盾等）其中Malware Defender的驱动可以在重启中，自动变形！！！（重命名驱动）希望瑞星在重启的过程中，驱动和进程能自动变形，能隐藏自身进程，并且卡卡助手的进程管理使用驱动，否则如何查看隐藏进程呀？？？在装有卡巴、x或江民的机器上安装卡卡助手，卡卡却看不到上述软件的进程，不是很郁闷吗？上述软件看不到还好说，要是恶软呢？希望瑞星能周期性自动挂钩hook！！！ 2.瑞星的主防窗口改进！！！ 1.瑞星的拦截窗口提示不尽人意！！！ 2.jpg (60.07 K) 2009-2-28 20:07:01 到底是什么进程，释放了临时文件来删除这个驱动！！！ 3.jpg (40.29 K) 2009-2-28 20:07:01 到底是什么进程调用此服务，来创建注册表项！！！无标题.jpg (39.67 K) 2009-2-28 20:07:01 为何就不能添加信任选项，这样我可以创建常用的调用！！！若把explorer加入白名单，那此进程调用任何进程都不提示，降低了安全性！！！ 3.瑞星的云安全应用改进！！！感觉瑞星的云安全应用还有提高的余地！！！金山网标可以依据“可信认证”-----自动放行安全的连接！！！这一点很智能，就像瑞星那个自动放行带有签名的进程！！！ d9eecd085a528df9eb32ce829eff38f0.jpg (36.47 K) 2009-2-28 20:31:31 若瑞星能将安全（文件诊所认证）的进程或模块自动放行，再加上“自动分组（信任组未信任组）”和白名单，瑞星会变的非常易用！！！ 4.瑞星日志的改进！！！ %e6%9d%80%e8%bd%af%e6%97%a5%e5%bf%97.JPG (132.93 K) 2009-3-20 14:43:27 对于日志中提示的操作，瑞星是阻止了还是放行了？？？ 5、瑞星卡卡诊断日志的不足！！！ 360.jpg (258.29 K) 2009-3-20 15:25:51 金山.jpg (203.85 K) 2009-3-20 15:25:51 用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729) 本帖被评分 1 次本帖被评分 1 次 shulun743 最后编辑于 2009-03-20 15:25:51
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2009-02-28 19:59 \| 短消息资料字号：小中大 2楼回复：瑞星主防改进----综合整理篇！希望瑞星能周期性自动挂钩hook！！！后来因为软件冲突的原因取消了
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

丨A丨B丨C丨拙长孩提狮帖子:165 注册: 2009-01-15 来自:	发表于： 2009-02-28 20:05 \| 短消息资料字号：小中大 3楼回复：瑞星主防改进----综合整理篇！瑞星如果变成了了MD，comodo这样的HIPS，又没有很好的白名单，用的人会很少很多吧……一些专业HIPS的AD的功能，应该没有几个收费杀软敢加吧
丨A丨B丨C丨拙长孩提狮帖子:165 注册: 2009-01-15 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT