1   1  /  1  页   跳转

[安装/升级/卸载] 针对瑞星升级宝宝的解决方案个人建议

针对瑞星升级宝宝的解决方案个人建议

请您按照模板格式提交相关信息:

操作系统及补丁情况:必填
浏览器及版本:必填
瑞星软件版本:必填
涉及的其它软件版本:怀疑与其他软件存在兼容性问题时必填
问题现象:必填
出现问题前的操作步骤:必填
问题能否复现:必填(必现/经常/偶尔)
如有能够破坏瑞星软件的病毒样本、怀疑误报的文件、发生蓝屏后的内存转储文件等,请您将其压缩后作为附件上传。

说实话,虽然我是瑞星正版,无赖管理电脑太多,也用过瑞星升级宝宝。

http://www.mys530.com/rs/


看见瑞星升级宝宝和瑞星之争,不杀之,正版用户不能平衡,杀了,敌人更新太快,弄大的还是不断更新的病毒库,看杀瑞星升级宝宝总是取特征码,特征码勤快人会千变万化的,看来没杀到关键,以下希望开发工程师参考。

两个根源杜绝它
根源1.

升级无非是调用setup.exe或update.exe,调用程序必然有个父进程的pid,如果是瑞星升级宝宝调用的,瑞星可认定之为恶意程序杀之,只有调用pid为瑞星进程则合法升级,见附图。




根源2.

瑞星肯定有网络认证服务器,可确定发申请更新指令的程序是否是瑞星程序,不是则可认定之为恶意程序杀之,只有调用者为瑞星进程则合法升级。

瑞星升级宝宝既然可以突破注册码而升级,必然是抓包高手或曾是瑞星内部人员,能分析升级网络数据包,验证的代码都必须重写并有加密,合法升级应该验证注册码,程序厂商,程序路径(是否瑞星安装路径),MD5值,是否被破解修改,针对丁香鱼重新打包,数字签名等数重复合认证。

微软有一文件,大小仅1k,却维护全系统帐号,且无人可在正常运行中访问和删除它,为什么,很简单的驱动保护。
C:\WINDOWS\system32\config\sam

并应该全力加固升级程序,就算他人也安装驱动复制访问升级程序时,这时文件监控应该会发现吧。并可仿效微软Ntfs格式,只有瑞星程序能访问和启动之,否则违反了Api规则。并拒绝其加入白名单中骗取瑞星信任。

再不然,升级模块合办入瑞星主程序中,升级时候需要验证码,取瑞星的一个算法,合法升级主程序内置应答,外部程序即使调用到了这里,退一万步而言,还有验证码这关。

个人愚见,仅供参考。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 2.0.50727)
最后编辑weiyi75 最后编辑于 2008-09-20 08:23:57
分享到:
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

您的建议我们已收集,感谢您的支持。
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

补充意见,全力加固升级程序,只有瑞星程序能访问和启动之,否则违反了Api规则。

并拒绝其用户加入白名单中。
最后编辑weiyi75 最后编辑于 2008-09-18 11:09:18
gototop
 

回复:针对瑞星升级宝宝的解决方案个人建议

再不然,升级模块合办入瑞星主程序中,升级时候需要验证码,取瑞星的一个算法,合法升级主程序内置应答,外部程序即使调用到了这里,退一万步而言,还有验证码这关。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT