1   1  /  1  页   跳转

[原创] 瑞星主防改进----综合整理篇!

瑞星主防改进----综合整理篇!

以前发表一些帖子,主要就是针对瑞星的改进建议!由于仓促,帖子有很多不足,所以才有了此文(对以前帖子的整理)
瑞星应向以下几点改进!!!、、、
1.瑞星功能改进!!!
        a:现下主流的hips软件都会在初次安装或有新的软件运行时,hips会将此软件自动分级并放入相应的组中(信任  未信任  )卡巴2009也添加了此功能,有此功能可以进一步的降低安软的系统占用,减少拦截窗口的弹出次数等好处(自动分级将系统进程和模块以及认证为安全的软件加入信任组,在信任组中的软件,安软是不监控的,所以系统资源降低了! 弹出窗口减少了!但威胁操作,应拦截,防止用户将未知进程放入信任组,卡巴有此功能)!!!


    b:  对进程的控制!
瑞星的主防没有控制以下操作:

访问其他进程数据 - 修改其他进程的内存及内存属性,或者在进程间复制句柄。

操作其他进程及线程 - 创建远线程,结束、挂起或修改其他进程的线程,结束或挂起其他进程,或者调试其他进程。

进程间消息操作 - 向其他进程发送消息,或者从其它进程接收消息(如:病毒虚拟发送消息关闭瑞星)。

底层键盘操作 - 直接读取键盘状态,或者模拟键盘输入。

特殊方式写注册表 - 使用注册表配置单元文件替换注册表项,重命名注册表项,或者创建注册表链接。

创建远程线程拦截注入

加载库文件

远程调用com对象


安装键盘钩子卡巴有此功能

模拟键盘鼠标操作(如:磁碟机


系统设备控制卡巴有此功能

注册表转储hiv

访问服务管理器
          c:对文件的控制!!!
      瑞星只对系统文件夹进行了保护!而对C:\Program Files文件夹以及其他磁盘的文件都没有保护!!!若遇上感染性的病毒------无疑是一场灾难!!!
虽然瑞星有行为引擎,但是有很多用户连“工具”--检查更新都不运行,如何配置引擎呢???这不是夸张,我自己身边就有这种情况!!!
          d:对注册表的保护!!!
          一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动)
  HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun            REG_SZ              "xxx.exe"
2.session manager(自启动)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute        REG_MULIT_SZ          "autocheck autochk *      xxx"
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动)
  HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE    REG_SZ      "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试,瑞星一个未拦!!!



5.      现在很多安软采用了隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)
      其中Malware Defender的驱动可以在重启中,自动变形!!!(重命名驱动)
      希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程,并且卡卡助手的进程管理使用驱动,否则如何查看隐藏进程呀???
      在装有卡巴、x或江民的机器上安装卡卡助手,卡卡却看不到上述软件的进程,不是很郁闷吗?上述软件看不到还好说,要是恶软呢?

    希望瑞星能周期性自动挂钩hook!!!



2.瑞星的主防窗口改进!!!
 
  1.瑞星的拦截窗口提示不尽人意!!!

到底是什么进程,释放了临时文件来删除这个驱动!!!

到底是什么进程调用此服务,来创建注册表项!!!

为何就不能添加信任选项,这样我可以创建常用的调用!!!

若把explorer加入白名单,那此进程调用任何进程都不提示,降低了安全性!!!


3.瑞星的云安全应用改进!!!
      感觉瑞星的云安全应用还有提高的余地!!!
金山网标可以依据“可信认证”-----自动放行安全的连接!!!这一点很智能,就像瑞星那个自动放行带有签名的进程!!!

若瑞星能将安全(文件诊所认证)的进程或模块自动放行,再加上“自动分组(信任组  未信任组)”和白名单,瑞星会变的非常易用!!!
4.瑞星日志的改进!!!




对于日志中提示的操作,瑞星是阻止了还是放行了???
5、瑞星卡卡诊断日志的不足!!!





用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
本帖被评分 1 次
最后编辑shulun743 最后编辑于 2009-03-20 15:25:51
分享到:
gototop
 

回复:瑞星主防改进----综合整理篇!

希望瑞星能周期性自动挂钩hook!!!
后来因为软件冲突的原因取消了
gototop
 

回复:瑞星主防改进----综合整理篇!

瑞星如果变成了了MD,comodo这样的HIPS,又没有很好的白名单,用的人会很少很多吧……一些专业HIPS的AD的功能,应该没有几个收费杀软敢加吧
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT