瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件V16+ 对系加的功能策略以及拦截提示的改进建议

1   1  /  1  页   跳转

[意见建议] 对系加的功能策略以及拦截提示的改进建议

对系加的功能策略以及拦截提示的改进建议

瑞星的系统加固缺少了程序类的AD,这样降低了弹窗率,是以牺牲安全为代价的,建议添加程序类的拦截点!!!

    其实要降低弹窗率 ,我们完全改进拦截策略,来降低弹窗多少!!!

1、功能篇

      瑞星系统加固应该增加程序类的控制,发现v16的系统加固只保留了文件和注册表类的控制,对于程序类的控制反而取消了,这反而不妥了!!!

如::金山 360 卡巴和火绒都有程序类的控制,瑞星怎么为了减少弹窗而降低安全呢?

这不是因小失大吗?虽然行为分析有相应的拦截点,但配合系统加固程序类控制,安全性可以增强不少~~~~!如下图







请增加程序类(ad)的拦截提示:

程序启动控制            挂全局钩子

子程序运行控制          驱动加载控制

远程注入                权限改变,主要是调试权限

也可以像金山 360一样 ,只添加程序运行控制 和驱动加载控制 若加上权限控制就好了!

这样 hips ad 拦截功能,瑞星就有了,我说的是 系统加固的弹窗拦截提示。。。。。。


2、拦截策略

    我们完全可以改进拦截策略,以期待拦截窗口的减少!!!有两大技术趋势来降低弹窗率,一类代表是瑞星、金山;第二类是卡巴.下面详细分析:

(1)如金山 360都是通过云安全和签名实现的,大大降低了弹窗率,安全性反而没有降低多少!!!若说将低了,只能是怕这些杀软的云不靠谱,若分析错误就将“坏人当做好人待了”

呵呵 玩笑,几率很低!!!

瑞星也是使用了类似的技术,有效的降低了弹窗率,既然弹窗率降下来了,为何还要砍掉程序类的拦截提示呢???一个程序运行,若它不是有签名就是有云验证,文件和注册表策略不触发,那么基本上程序类的规则也就不会触发,为何还要牺牲系统安全性呢???真不知道这帮人是怎么想的???

(2、)在这里重要讲述卡巴,感觉不仅使用了第一类的那种技术,并且在不牺牲安全性的基础上改进了防御策略,即下面我重点介绍的,进一步的降低了 弹窗的数量!!!


A、卡巴即使用了云安全和签名的方式降低了弹窗率,又使用了程序自动分组的方式降低弹窗率,这个功能与瑞星的不同就是,我感觉卡巴的分组就是一个程序的控制规则集合,换句话说就是程序的控制设置窗口,在下面我详细说明!

B、详细说说卡巴的程序分组,卡巴就是通过此项功能进一步降低弹窗的。

卡巴的程序控制就是与类似与瑞星的系统加固规则合一





希望瑞星能增加此项 功能,进一步降低弹窗率。这样瑞星就在不降低安全性的基础上,弹窗也少了,用户就不会因为弹窗而感到苦恼,前提是瑞星恢复以前系统加固,并增加程序控制。

我个人理解 就是卡巴做了个 能对程序的行为 ,如:对文件、注册表和进程方面能够进行设置的功能,就像瑞星自己开发的那个 程序控制~

如下图





综上所述,卡巴就是将程序加入了 控制窗口中,然后启用相应的 文件、注册表和设备的访问规则,卡巴就是将所有运行的或曾经运行过的程序都加入如上图所示的窗口中~

然后由程序控制窗口中的规则生效,让系统加固功能不再起效,换句话说就是让程序控制接管系统加固的工作,来减少拦截窗口的弹出  ~  ~  ~

当然了 关键是 云安全和数字签名 最重要了,如下图

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; LBBROWSER)
最后编辑shulun743 最后编辑于 2013-07-08 22:09:22
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复: 对系加的功能策略以及拦截提示的改进建议



卡巴的策略就是 检测程序的 安全信息 ,如:云安全和 签名

打个比喻:::::::以QQ为例!瑞星的 ad9个规则~~~~~~~





如上图 ,瑞星的AD  9个 规则 !!!


接下来 继续举例说明 卡巴的防护策略:

检测 QQ 的 安全性 ,当然是通过 云安全和 签名,若是安全的就显示 “安全”

然后 在程序控制 中启用 规则 数  是   0 

也就是说 一个规则也不启用,当然了 文件监控和 行为分析 要监控啊!!!

这样 , 既兼顾了 系统性能 ,又增强了 安全性 ,最重要的事--------弹窗数量 不是也很好的解决了吗???


如下图:::::::::





你想啊 ?这不是很好的解决了 电脑性能 和 安全性吗???


并很好的改善了  用户体验  吗???


也不会有那么多的 拦截提示 窗口了!

1、下面 我详细说说 卡巴的工作流程:

初次安装 卡巴 时 ,如下图

卡巴会扫描 系统中有哪些 常用的 程序,如:QQ 迅雷 等等





我看到瑞星防火墙 在初次安装也是有扫描,并添加电脑中常用程序的联网规则,所以瑞星杀软完全也可以通过把防火墙中此项功能移植到杀软汇中。






如上图::::::::





就像上图所示,瑞星杀软移植防火墙功能,自动添加控制规则
最后编辑shulun743 最后编辑于 2013-07-08 22:11:12
君素雅达,必不致令我徒劳往返也
gototop
 

回复: 对系加的功能策略以及拦截提示的改进建议

下面我详细说说 改进后的瑞星 工作流程和 防御策略:

1、瑞星要扫描并添加 所有运行的程序 ,并将检测到的程序添加到程序控制中去!!!

最好就是 像瑞星防火墙一样 ,初次安装并扫描 系统中有哪些常用程序,并添加到程序控制中




你看看这就是我说的 在初次安装 会自动生成 信任程序名单!!!

就像下图所示“”“”





然后打开程序 ,你能看到 信任的程序 控制名单!!!




2、瑞星 要有三套 模板。


A、信任模板;以 AD举例:“瑞星的ad有9个规则”    如下图




                                  如上图所示,这就是瑞星AD的9个规则 !!!


a、信任模板 :瑞星的信任模板就是 将上图中的 9个 规则 都添加到程序 控制中!!!

但是 这9条规则 ,也就是将这九条 都添加进去,但是都不要勾选启用!!!原因我也不说了,都是安全的嘛!!!

b、低威胁模板:也都将九条规则都添加到 程序控制规则中!

    但是只启用部分规则,如只启用6条 ,这个你们自己琢磨启用哪些规则,以及数量的多少


c、高威胁模板:导入并启用所有9条规则!


这样我们有模板了,有什么样的进程就套用什么样的模板

若QQ.Exe 是安全的(云安全和签名),就套用信任模板,启用0条规则!

若QQ.Exe 是未知的(云安全和签名),就判断套用低威胁或高威胁模板
并分别套用6条规则或全部启用9条规则!!!


3、下面我们分析程序运行时的工作状态::::::::::

            若QQ运行时,自动添加程序控制规则。




瑞星检测到程序QQ 运行,自动将其添加到 程序控制 中 并导入模板:

接下来 ,我们看看导入哪个模板呢???

A、QQ 是安全的(云安全和签名),导入信任模板,启用规则数------0

B、QQ 安全性未知(云和签名未知),由行为引擎和启发引擎判断威胁度并导入相应地模板是 低威胁 还是高威胁,并启用规则数是 6条 还是9~~~

C、其实卡巴是设定了30秒判断未知进程的安全程序并匹配规则的,若判断不出来自动匹配低威胁模板的,也就是启用6条规则!!!其实卡巴默认就是低威胁模板,在这里可以设置的!

D、对于bc这两种情况,卡巴有个特点就是 程序启动控制

如下图::::::::::::::::::::::::::::






在这里 ,若你点击 “是的,我信任”,那卡巴将对程序匹配信任模板,并启用0条规则~~~


若你点击“限制”,卡巴就会匹配 低威胁模板,启用6条规则,也就是说会有6次弹窗提示!


阻止 那就是添加到高威胁模板 ,并启用所有规则,换句话说 程序就被打入冷宫了,被禁止运行了!!!

总结:你看 若 这里换成瑞星的话 ,那就是这种情景了:

1、若程序是安全的,瑞星启用了 0 条规则,匹配的是信任模板


2、程序是未知的,会弹出上图所示的程序运行提示窗口,询问你是添加到信任组去?还是放到低威胁组,并启用六条规则呢???还是直接放到高威胁组中 ,并启用9条规则呢???


3、放到高威胁组,就被干死了,被禁止运行了!!!


其实瑞星也可以将系统加固的AD功能精简为 :

程序启动控制  加载驱动  权限控制,这三样就行啊!!!

若加上个沙盘 就更安全了 ,卡巴 有 金山有 ,360还有,为何瑞星不开发呢???


若不愿意开发,那就直接添加 到瑞星自己的虚拟机中也行啊

这样程序若是个病毒,并且还是个恶性病毒时,也就不会对系统造成多大的损害呢!!!

当然了 若瑞星能将程序放到自己的虚拟机中是最好,起码不会由于兼容性产生诸多的bug

当然 必须严格控制驱动加载,防止恶性病毒穿透瑞星的虚拟机






很多程序都有 虚拟机 或 沙盘 ,唯独瑞星没有!!!

附件附件:

文件名:文档 1.rar
下载次数:131
文件类型:application/octet-stream
文件大小:
上传时间:2013-7-8 21:55:16
描述:rar

最后编辑shulun743 最后编辑于 2013-07-08 22:17:46
君素雅达,必不致令我徒劳往返也
gototop
 

回复 3F shulun743 的帖子

此建议已收集。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT