1   1  /  1  页   跳转

[原创] 针对瑞星升级宝宝的解决方案个人建议

针对瑞星升级宝宝的解决方案个人建议

说实话,虽然我是瑞星正版,无赖管理电脑太多,也用过瑞星升级宝宝

http://www.mys530.com

看见瑞星升级宝宝和瑞星之争,不杀之,正版用户不能平衡,杀了,敌人更新太快,弄大的还是不断更新的病毒库,看杀瑞星升级宝宝总是取特征码,特征码勤快人会千变万化的,看来没杀到关键,以下希望开发工程师参考

两个根源杜绝它

根源1升级无非是调用setup.exe或update.exe,调用程序必然有个父进程的pid,如果是瑞星升级宝宝调用的,瑞星可认定之为恶意程序杀之,只有调用pid为瑞星进程则合法升级,见附图



根源2.

瑞星肯定有网络认证服务器,可确定发申请更新指令的程序是否是瑞星程序,不是则可认定之为恶意程序杀之,只有调用者为瑞星进程则合法升级。

瑞星升级宝宝既然可以突破注册码而升级,必然是抓包高手或曾是瑞星内部人员,能分析升级网络数据包,验证的代码都必须重写并有加密,合法升级应该验证注册码,程序厂商,程序路径(是否瑞星安装路径),MD5值,是否被破解修改,针对丁香鱼重新打包,数字签名等数重复合认证。

微软有一文件,大小仅1k,却维护全系统帐号,且无人可在正常运行中访问和删除它,为什么,很简单的驱动保护。
C:\WINDOWS\system32\config\sam

并应该全力加固升级程序,就算他人也安装驱动复制访问升级程序时,这时文件监控应该会发现吧。并可仿效微软Ntfs格式,只有瑞星程序能访问和启动之,否则违反了Api规则。并拒绝其加入白名单中骗取瑞星信任。

再不然,升级模块合办入瑞星主程序中,升级时候需要验证码,取瑞星的一个算法,合法升级主程序内置应答,外部程序即使调用到了这里,退一万步而言,还有验证码这关。

个人愚见,仅供参考。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 2.0.50727; MAXTHON 2.0)
最后编辑weiyi75 最后编辑于 2008-09-20 08:22:27
分享到:
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

LZ的意见很好
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议



深思已久。
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

这里没斑竹啊?好像不以为然。
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

楼主的建议已经帮你上报瑞星公司了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT