关于“主动防御”的几点建议
主动防御是对付未知恶意软件的有效技术,但是由于目前主动防御技术的局限性,其误判率极高,在实际的使用过程中,主动防御拦截到的软件大多数是正常的软件,所以,要想使主动防御技术有效地发挥作用,与用户的交互是必不可少的。在瑞星中,与用户的交互体现在提示窗口上。与2008版相比,提示窗口提供了更多有用的信息。但令我不解的是,提示窗口会在15秒后自动采取措施。即使对于电脑高手来说,这个时间也是太短了,更不用说那些普通用户了。难道就不能象访问控制的提示窗口那样,把时间设得长一些,并增加暂停功能吗?
在注册表监控和文件监控中,是否能增加自定义功能,去监控用户指定的注册表键、文件和文件夹。
应用程序保护是2008中的一个很好的功能,由于主动防御全开的话,一些普通用户是无法适应的,但可以利用保护功能把常用的一些程序保护起来,并设置为“拒绝”模式,这样既能有效地保护系统,又体现了软件的易用性。比如很多恶意软件是利用资源管理器和浏览器为害系统的,这样就可以把它们加入到程序保护中。
主动防御的安全等级模式设计过粗。目前只有三个等级。默认是中级,根据我的经验这个等级并不能有效得保护系统。但是如果把等级开到最高,则会出现大量的提示窗口,一般用户难以使用。所以应该把安全的等级分得细一些。比如,大多数的拦截出现在安装程序时,但大多数程序并不执行加载驱动之类的高危险动作,相反,它们往往会在系统目录下生成和修改临时文件,这样的拦截占了相当大的一部分,如果定义一个安全等级,功能全开,而只把这个功能关闭,就能大大减少与用户交互的交数。
在我接触到的客户中,几乎没有人把主动防御全开,其中的原因,除了对用户对主动防御技术要有一定的了解之外,易用性差就是最大的原因了。这也是瑞星和卡巴斯基相比一个很大的不足。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
