文件监控机制欠妥
瑞星的文件监控现在是除了高级监控之外,默认只监控可执行程序。但是这样的方式真的欠妥。
你是不是以为回收站里的文件不能运行?你是不是以为只有带有可执行文件扩展名的可执行文件才能执行?错了!
举个例子:有一个木马下载器将病毒文件写到磁盘中,但写入磁盘的时候他将被写入的文件的扩展名设置成.txt,此时瑞星文件监控不会报毒,然后那个下载者将释放的文件读入内存然后运行。这样的话相当于直接过了瑞星的文件监控。
测试方法:
设置文件监控等级为低
双击预处理神器.exe(这不是病毒,但是里面的区段免杀处理释放的文件瑞星报毒,符合我所说的情况,所以用这个程序进行测试)
选择“区段免杀处理”——启动免杀工具。
这个时候这个处理工具会释放一个没有扩展名的文件到磁盘中,然后把释放的这个文件当作可执行文件运行,直接过了瑞星文件监控。
然后现在我们把等级调到中测试,瑞星依然被过。
接下来调到高测试,需要特别注意的是,这个时候文件监控会报毒,但是由于报毒在文件运行之后,文件被占用,瑞星无法成功处理,这也就相当于过了文件监控。(由此可见瑞星开发驱动级强制读写文件(→用于清除操作)、强制删除文件(→用于删除操作)功能的重要性!)
由此可以得出结论:瑞星文件监控在监控机制、拦截机制和处理机制上都存在问题
总结:
监控上:监控全部类型文件、金控所有路径
拦截上:不要采用修改系统函数的方式来拦或挂起截进程启动,发现病毒进程运行第一部是拒绝进程创建操作(就像拦截U盘中可执行文件的运行那样),然后再弹窗提示用户如何处理。
处理上:开发驱动级文件强制读写、注册表强制读写,实现对文件和注册表的完全控制。
测试样本:
链接:
http://pan.baidu.com/s/1gd3TQvh 密码: mom4
测试视频链接:
http://pan.baidu.com/s/1mgBRjXA 密码: u4v5
用户系统信息:Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
