12   1  /  2  页   跳转

[评测] 瑞星杀毒软件V17的个人介绍

瑞星杀毒软件V17的个人介绍

我尽可能将产品使用说明书中没有的内容告诉你们,让你们注意使用中的细节。






      入坑须知:
      首先确认一下自己是否适合使用瑞星杀毒软件v17v17版的Bug先前比较多。好消息是自从开启vip收费模式后修复Bug速度明显加快了。如果你是关注国产信息安全技术的,愿意折腾的,希望看到国产安全软件未来的,可以考虑试试。






      关于更新机制:


      病毒库更新机制上,瑞星杀毒软件v17,更新服务器是自动化无人值守的,每日提供5个版本的病毒库更新,有时候是6个甚至是7个,节假日不停更。


      产品版本,瑞星一直都在改进,所以一直会有小版本更新推进,但是瑞星家显然没有写详细更新日志的习惯,以前的更新程序至少还能看出更新了哪些组件,现在新的更新程序也没了。




刚安装完成的瑞星杀毒软件需要做一些事情才能基本正常工作。
1.运行第一次更新。这很重要。
2.将DNS改成国内一些DNS服务器提供的DNS服务。否则可能导致连不上云引擎服务器。
3.重启一遍计算机,避免一些不必要的引擎误报。

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
最后编辑dg1vg4 最后编辑于 2018-10-09 22:12:30
天下没有免费的午餐,人是安全中最薄弱的环节。
分享到:
gototop
 

关于收费

初次安装完毕,瑞星会提示你如下3个选项:


选择中间的,就是以免费+看广告模式使用瑞星杀毒软件,如果你不喜欢广告,则可以选择左侧的按钮,付费成为VIP用户,也可以点击右侧的按钮,今天无广告,然后在第二天再次面临一次选择。(小哥,要苹果吗?)



      没付费时的主界面是这个样子的。



      付了费后是这个样子的。



瑞星目前的收费模式,是建立在免费模式基础之上的。对联网设备来说,只是免广告;对于离线设备来说,则是离线升级包专供。就我看来,这套收费机制比较简陋却几乎无法钻空子。在薅羊毛这方面我可是没少动过脑筋,但是在坛友桑德尔的帮助测试下,我只能无奈地告诉各位,瑞星个人版产品在反收费盗版上的工作做得非常好。


具体该怎么说呢,不同的反病毒厂商的收费模式,各不相同,卡巴斯基和诺顿是到期自动停止保护组件的运行,像ESET则是停止提供更新,Avast!则是比较猥琐发育,靠免费版吸引用户,然后对网上流传的高级版的Key文件睁一只眼闭一只眼,等到你用上这些Key文件之后不久告诉你:你用的是非法的授权文件。



而瑞星呢,每次更新的时候瑞星的更新服务器会检查一遍你的收费授权,当你第一次用序列号激活授权时,瑞星的更新服务器会记录你所用的杀毒软件所在电脑上的一个机器编码,并与你所用的序列号关联。仅仅是免广告和提供离线病毒库的VIP收费模式,当检测到序列号授权非法,或者是过期之后,瑞星不会停止提供更新,也不会停止保护,只是会提示你,然后重新打开广告和锁主页的开关。



注意,在这里,瑞星的限制逻辑不是不提供保护或是停止更新,而是单纯的广告开关,从一开始盗版就没有多少硬需上的意义。



如果你重做了一次系统,再次安装瑞星杀毒软件,并输入序列号时,瑞星会提出一个警告:激活次数超限制!不要害怕,这只是更新服务器检测到电脑环境发生了变更,简单地关闭这个提示窗口即可,瑞星的更新服务器会自动地将现在的机器码与你的序列号相关联,然后你就可以继续安心地用你的电脑了。



但是,这只是一个开始,如果你的授权到期了,会发生什么?



之前已经说了,当检测到序列号授权非法,或者是过期之后,瑞星会提示你,然后重新打开广告和锁主页的开关。但是我们之前已经提到了,瑞星每天会提供5个版本的病毒库更新,每次更新完成都会提示一次授权到期,原本免费模式是每天两到三次弹出广告,现在又添加了授权到期提示,是不是变得更烦了?最关键的是瑞星现在没有留下在本机删除现有授权的通道,即便是卸载重新安装,授权信息也不会删除,除非重装一遍系统,也就是说一旦你使用了收费版授权,就像ギリギリ爱,停不下来了。所以就目前而言,其实我是建议在座各位想购买收费授权试试的人三思,因为一旦你开始收费模式,就回不到免费模式了,除非重装一遍系统。(至少我本人不知道如何手动删除授权信息),至少目前是这样的。



在上述情况下,千万别试图把单设备授权的序列号输入到第二台电脑上,除非第一台电脑打算不用这个收费授权了。原理和上述的一样,更新服务器会在两台电脑之间反复变更,而你也会在这两台电脑上反复收到激活超次数的提示,这种神烦程度还不如去看广告呢。而且我也不知道更新服务器变更授权信息是否存在次数限制,要是因为超次数而注销该授权,那就亏大了,要想打破这种局面,要么,其中一台电脑不用这个授权了,具体方法是卸载不用,或者是重装一遍系统。要么,给第二台电脑购买新的授权,所以不要试图去薅瑞星个人版产品线的羊毛,没把你的羊毛薅下来已经算是谢天谢地了。(你们为什么这么熟练啊?)



但是不得不提的一点是,任何一种试图挑战用户逆反心理的设计,通常最终只会招致用户的反感。我建议瑞星尽早给用户一个删除授权信息的按钮。




至于离线设备用户,具体的激活方法以及离线升级包使用方法,其实官方的说明网站写得更详细点,你们可以自行阅读:http://antivirus.rising.com.cn/help/v17/regguide.html

离线更新包本质就是一个带了病毒库的安装包,但是安装或者第一次运行更新时需要输入序列号



目前官方只明面提供单设备授权,但是,实际上瑞星方面可以为企事业单位定制多设备授权序列号,而且可以根据需要灵活定制。



瑞星目前的这套收费模式,可以说是一个紧急回血,赞助性意味较浓的收费模式。就目前的情况而言,在收费之后,瑞星杀毒软件的软件改进已经明显加快,如果收费用户能更多的话,或许能成功奶活瑞星的全功能安全软件项目开发。
最后编辑dg1vg4 最后编辑于 2019-02-28 20:40:31
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

简单的设置讲解

下面按图讲解。

常规设置


常规设置没什么好讲的,不过加速球,加速球我个人是关闭的,因为个人感觉这个没有什么用,而且越看越烦。

扫描设置

扫描设置中,我建议把图示两项关掉,手动扫描的时候,用户的需求是准确性第一,性能需求才是其次。

病毒防御

这里涉及到文件监控的设置,从低级到高级,不仅仅是监控点的增多,注意,这里个人不建议打开高级模式,因为由此带来的不仅仅是电脑整体效率的下降,误报也会飙升,个人猜想是高级模式打开了一个启发式引擎组件,总之体验非常不好。
至于仅扫描流行病毒,个人建议根据自己的电脑性能,自行判断选择。

内核加固

在这里,系统内核加固可以直接自己编写FD,RD类规则,可以在这里生成规则包,并且分享出来。
注意划线处,建议关闭,个人认为,直接禁止可移动磁盘内所有可执行文件的运行十分无脑,有些因噎废食,其实这里完全可以像OutPost防火墙那样设计,仅阻止没有合法数字签名的可执行文件运行。

软件保护

免费模式虽然强制锁主页,但是主页在允许的范围内是可换的,个人建议这里换成hao123的,因为默认的瑞星安全网址导航实在是太难受了,刚进页面就要灰屏显示一个广告,你要让那些正准备向搜索框里输入内容的人怎么想?

其他设置

图中划线处,最后的两项,根据需要开启



之前这两项,我是不建议开启的,因为之前因为这两项防御项造成的阻碍不小,但是随着瑞星对这套程序的不断改进,现在已经可以说是非常人性化了。有助于保障电脑清洁程度,减少维护频率。
最后编辑dg1vg4 最后编辑于 2018-04-16 18:20:39
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

值得重点讲解的技术性功能

云引擎与DNS:
据部分人反应,部分DNS会使瑞星杀毒软件无法连接到瑞星云引擎,这会使瑞星杀毒软件的联网检测率大大降低,多为国外的 DNS,目前已知的有谷歌的8.8.8.8,港澳台地区等,如果出现这类情况,只需要把DNS改成国内的一些DNS即可。









垃圾清理,在17年下半年的这场界面大更新后,瑞星杀毒软件的垃圾清理得到了很大的提升。虽然不知道这股突然提升源自哪里,具体可以自己体验一下。




文件监控,瑞星的文件监控引擎,和扫描查杀所用的引擎有一点点区别,主要是在性能上做了妥协,只采用了部分引擎组件以提升电脑响应速度性能,事实证明这套优化行之有效,因为保留了包括云辅助引擎在内的几个重要的引擎部件,从而保证了安全性,具体可见PAL家族问:http://bbs.ikaka.com/showtopic-9341049.aspx



系统加固,现在又叫系统内核加固,你可以理解为瑞星的一套简单的HIPS,你能够定制的就只有FD,RD类规则,早期时候默认规则较弱,但是现在默认规则做了一番加强。你也可以自定义规则,然后生成规则包分享出来。
需要注意的是,如果有程序试图加载未经数字签名的驱动的话,瑞星的系统内核加固就会自动拦截,这个过程没有弹窗提示,只是瑞星的日志记录里会有拦截记录。



瑞星杀毒软件的病毒隔离区,每次更新之后会自动检查一遍隔离区内文件,并将上次误报的文件还原到原始位置,虽说很智能,但是一个缺点就是,日志中不会记录回滚事项,也不会有任何回滚提示。



软件静默安装拦截系统,现在又叫流氓推广拦截,在经历了又一番更新之后,现在可以说是相当人性化了,只拦截一个应用的部分组件安装,而主程序功能仍能基本正常使用,上一回,爱奇艺的UWP客户端4.3版利用Win32应用转制规则中掺入P2P上传的Win32组件那次,从一开始瑞星的这个流氓推广拦截就给拦截下来了,当时我们还以为是瑞星误拦了,随着后来的报道,我们才知道到底发生了什么。



官方给这个的防御模块的解释感觉很复杂,就我个人感觉似乎有基于数字签名的黑白灰名单,有一定程度上的行为防御,还有对系统内核加固等防御组件默认规则的进一步加强,所以事实上这个防御模块,一定程度上可以防毒,有一次样本区里双击一个勒索样本居然是靠它拦截下来了。在瑞星个人版完全免费的时候,这个模块一直在更新,而且每次更新都有明显更好的防御体验,我感觉这个防御模块绝对有来头,不然我想不明白为何官方会对这个模块的更新如此执着。唯一值得吐槽的就是它那蛋疼的描述,什么“非用户主动下载安装”。可以说平庸的瑞星杀毒软件v17,为数不多值得一提的几点之一就是这个了。




说起瑞星的反病毒工作,当在互联网中捕获到一个新的病毒样本时,瑞星一般都会是先云端拉黑,然后再在接下来的几天时间里跟进特征库更新。
对MD5/sha1拉黑的看法:
    有些人可能认为这种方法太low,但我觉得这事得从厂商的实际情况来考虑一下,如果说刚刚发现的一种威胁,很有可能在全网扩散,而这个时候特征码还没来得及生成,病毒数据库还没来得及更新到每一个在线用户的电脑中,机器学习或者是人工智能引擎还没有完成对该样本的学习,这个时候如果不在云端拉黑MD5/sha1,难道还要允许威胁再传播几分钟甚至几个小时?
    当然我并不反对对反病毒软件做这种抗MD5/sha1免杀的测试,至少一定程度上,这种测试能反映出各家反病毒软件的技术水平以及相关工作的成效。

瑞星的病毒特征库,尤其是malware.rmd文件,其根据版本的不同,会对扫描结果有着直接的影响,比如现在的v17正式版,这个文件的大小为30.6MB,联盟版则1MB不到,这个区别对两者的静态扫描成绩影响非常大,你们可以去样本区跑一跑,联盟版扫描成绩会明显比正式版弱,尤其是化石包,现象会更明显,这点和趋势科技很像。据称这个rmd文件是一个多维的数据库,每次更新病毒库都是从更新服务器下载病毒库增量文件,然后一个增量文件一个增量文件的合并入这个rmd数据库中,这个过程比较消耗时间,如果更新时间隔得太久,可能半个小时都不一定能更新完毕,所以为了节省用户的时间,官方提供的安装包内,病毒特征库其实为空,只有第一次更新才能获得病毒库,而没有病毒库的瑞星杀毒软件,扫描、文件监控基本上就是瞎子,所以刚安装完瑞星杀毒软件,请务必进行一次更新、离线用户官网有提供离线更新包(现在已经是收费版用户专享了)。我记得B站流传的一个熊猫烧香过瑞星杀毒软件v17的视频,具体见:

https://www.bilibili.com/video/av14989599
https://www.bilibili.com/video/av19929570
那里Up主显然没有把病毒库更新一下,结果可想而知,我不知道该从哪里开始吐槽,因为我真的不知道该从哪里开始吐槽。


另外一个严重影响瑞星杀毒软件扫描成绩的,就是Virtualbox虚拟机。
我不知道为什么,在Virtualbox下运行瑞星杀毒软件测试静态扫描,和在实机测试成绩差距实在太大,仿佛云引擎就这样失效了一般,换Vmware则没有任何问题。


不过不管如何,既然是采用了云引擎,在联网下的瑞星的扫描成绩才能达到最大。
最后编辑dg1vg4 最后编辑于 2018-10-09 21:56:12
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

关于RDM+引擎

RDM+,这个瑞星声称使用了机器学习和人工智能技术的恶意程序文件检测引擎,不是一个单独的引擎,而是一个包含云引擎,本地基础引擎,决策启发引擎等在内的一个整体的称呼,其中包含rdmk,tfe等一些新引擎部件,到目前为止,这个引擎的整体还没有正式列装实际产品,只是发布了一个技术PPT  http://www.rising.com.cn/avsdk/,以及一个社区交流版作为工程样品,而且表示这套引擎可以出售使用权,具体可见:http://www.rising.com.cn/2016/engine/。至于这个引擎整体具体的实效如何,你们可以自己在这个链接http://bbs.ikaka.com/showtopic-9339894.aspx 下载使用一下。






虽说没有正式列装任何一个产品,但是其实部分引擎组件已经列装投入使用了,如图所示,比如说上面所提到的rdmk组件,已经装载入了瑞星云辅助引擎部分(其实我还是对这一点存疑,因为看到了社区交流版的rdmk报了ET#99%而杀毒软件却没报毒的现象,或许实验室内的引擎版本已经迭代了好几代了吧。),瑞星杀毒软件个人版,以及瑞星安全云终端,瑞星ESM3.0现在已经可以直接享受到这个引擎部件的保护,以及更多的误报#逃
然而就算这个引擎再怎么厉害,没有实装就没有意义,就看这次VIP收费模式能不能加快瑞星个人版的产品线的研发速度吧。
最后编辑dg1vg4 最后编辑于 2018-06-02 17:22:22
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

吐槽

瑞星的病毒疫情监测网,其实直到现在还在工作,而且数据还在更新。http://alert.rising.com.cn/  有的时候看着这个网站的数据,我就能知道每天的瑞星杀毒软件的误报情况。

机器学习,有时候会制造出一些玄学误报,有些时候要是误杀直接影响了程序的运行的话,这将很影响用户体验 ,这也正是这套引擎目前还没完全列装杀毒软件。虽然这个rdmk相比于上代的rdm误报低了不少,但还是要提一提,基本上各家都宣称机器学习和人工智能引擎使用的用户频率越高,误报会越低,所以几乎所有第三方引擎开发厂商都很羡慕嫉妒恨WD的用户基数。所以如果你要去用瑞星杀毒软件个人版的话,没碰上误报是最好的,如果碰上了,请最好准备好注册一个卡卡论坛账号以便随时上报误报文件,尤其是那些使用大量不常用应用的人,并且学会享受这一个过程。#逃




而瑞星有的不仅是玄学误报,还有抽风误报,多见于文件监控,如图所示,突然性的发生误报,又迅速恢复正常。你就是想找人去解除误报也找不到,因为你就是不知道误报是怎么发生的,再扫描隔离区的样本却怎么也复现不了当时的报毒现象,虽然隔离区有自己的误报自动恢复机制,但是这种抽风误报经常是发生在文件监控,真的是很影响用户体验,我建议瑞星方面好好检查一下文件监控这边模块的代码。

关于U盘防护,禁止所有可执行文件运行前面已经说过了,我听说现在v17的U盘防护,在扫描U盘发现病毒之后,对于隐藏正常文件或文件夹的U盘病毒,在删除病毒原体之后,不能将U盘中的隐藏文件还原,以前的2011可是能还原啊,难道是这方面瑞星反而退步了吗?
最后编辑dg1vg4 最后编辑于 2018-04-17 10:58:42
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

回复: 瑞星杀毒软件V17的个人介绍

真是非常非常有诚意的一篇介绍,手动点赞

“一旦你开始收费模式,就回不到免费模式了,除非重装一遍系统  删除授权信息的按钮”,针对这个问题会增加 可解除授权信息的按钮。
gototop
 

回复 6F dg1vg4 的帖子

然而我的联盟版感觉=收费版了哈哈哈
gototop
 

关于软件冲突和兼容性问题

软件冲突:

1.卡巴斯基系列,包括卡巴斯基反病毒软件,卡巴斯基安全软件,卡巴斯基全方位安全软件都有可能引发蓝屏(卡巴斯基方面已向用户尽了告知义务)
2.电脑管家,有可能导致瑞星杀毒软件崩溃。详见:http://bbs.ikaka.com/showtopic-9341552.aspx
3.金山毒霸11,在安装有金山毒霸的电脑上下载瑞星杀毒软件的安装包时,会导致瑞星安装包下载失败,一种缓解方法是任务栏退出金山毒霸再下载,更好的方法是,只用一款杀软。在安装有瑞星杀毒软件的电脑上安装金山毒霸,毒霸会通过诱导用户进行多次开机优化,逐步穿透瑞星杀毒软件的自保,并最终禁止了瑞星杀毒软件的启动,修复,和卸载。
4.360:在安装了360卫士的机器上安装瑞星杀毒软件,安装程序会卡在90%的位置无法移动。


兼容性问题:
1.目前仅支持中文简体语言环境操作系统,其他语言环境系统可能存在问题,比如英文版系统,详见:http://bbs.ikaka.com/showtopic-9353510.aspx
最后编辑dg1vg4 最后编辑于 2018-07-17 10:46:23
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 

关于瑞星的病毒检测类目

V17 前段时间做了调整,不再报 PUA、 PUP 的文件,而安全云依然会报。
最后编辑dg1vg4 最后编辑于 2018-07-17 19:19:28
天下没有免费的午餐,人是安全中最薄弱的环节。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT