看看瑞星在中毒后的表现增加建议
测试环境
这个环境中系统已经中毒。。。(瑞星在自我保护开启的情况下被干掉因为没开主防)
接下来打开瑞星
启动主程序的时候自动把监控也一并打开了。这不错。。口头表扬
之后所有的提示我就点清除或阻止
并执行一个快速扫描
之后
一堆一堆的删除失败和杀毒成功。。。
在我看来这些没什么。。。。因为实际上没有杀掉接下来重启
重启之后启动的时候卡了一下,然后
观察了下进程。。没什么异常。。
但是弹出了提示
另外请注意托盘也没有了。。。只留下了空空的监控
之后我又扫描了一下。。
提示没有发现病毒
我想刚刚那些杀毒成功和删除失败应该是重启后处理掉了。。。
其实重启后删除还是存在的只是没有提示罢了。。
再来检测下运行卡卡扫一扫晕了。。。。镜像劫持居然没删除。。。
在运行
ARK一看更晕。。。
一堆一堆的注册表项目没有删除。。。
另外。。运行的过程中系统一直弹出缺少COMRES.DLL
没办法因为大概是感染了病毒被瑞星删除了。。所以只好网上下了一个。。
随后瑞星升了级。。在重启看看托盘是不是恢复了
重启后托盘依然没有恢复
而且还弹出监控错误的提示
已经是第N次出现了。。。。。。
之后我把瑞星修复了一下。。。再次重启托盘终于出现。。。
至此我想提一点建议。。。
1加强自保。。
自保不一定是HOOK多深。我们不妨换一种思路。当病毒试图结束瑞星进程的时候瑞星是不是可以再没被结束之前进行反击,反过来结束病毒的进程树???
这样可以解决系统不稳定的问题。。只要瑞星驱动的HOOK可以顶住那一瞬间然后反结束就可以啦。。
或者我们是不是可以增加选项让用户自己选择自保的强度呢??比如默认自保等级为低,使瑞星可以抵抗R3下的进程结束。自保为中时可以顶住大量R0下的结束操作。自保为高时。。。。。。。
一点建议仅供参考
2杀毒不透明
1重启删除就是重启删除。写明不就是了。。非要写删除失败干吗??添堵???
2注册表残留的问题。。。
注册表残留我有几个办法解决
1对于DLL首先反注册DLL然后删除。。
2杀毒完成后自动运行清毒流程。
比如清空host,dns,winsock,镜像劫持,然后自动在注册表中查找有关于病毒的有关注册表项目。
这个希望重视一下。
3希望增加一个可以快速修复瑞星启动项和系统文件的小工具。
在这次的实验中,系统文件被感染后瑞星一删了事但是如果那个文件很重要呢??那系统不是完了??
所以说利用云安全来查找损坏的文件并自动联网修复是很重要的。瑞星的启动项我就不用说了。。上面有结果。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
