关于系统内核加固高级模板
对瑞星2011的系统内核加固提两点建议:
1. 希望瑞星2011的系统内核加固高级模板自己添加规则时能支持通配符,这样才方便添加规则。
2. 希望瑞星在提示有程序触发系统内核加固模板规则时能提示详细些,比如说提示有程序加载驱动时,究竟加载的是哪个驱动文件,在SYSTEM32下新建文件,究竟是新建的哪个文件,?修改注册表键值是修改成的啥,并在日志中记录,这样才能根据提示判断出这个程序是否有威胁,并且就算点允许了后发觉不对,才能准确找到修改的地方或文件进行分析、处理。你们现在这样简单的提示,我想问下就是你们公司的技术工程师能不能根据现在的提示信息判断出这个程序是正常行为还是被感染了病毒。
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; aff-kingsoft-ciba; staticlogin:product=cboxf09&act=login&info=ZmlsZW5hbWU9UG93ZXJ3b3JkMjAwOS5leGUmbWFjPUNGNTFBM0FGQTk0MTQ4NENCRTUwQjVEMTc0RDY5NjVEJnBhc3Nwb3J0PSZ2ZXJzaW9uPTIwMDkuMDUuMjUuMy4yNzImY3Jhc2h0eXBlPTE=&verify=61178e2d444a21a938420474acfda2cc)
