对于瑞星系统加固的改进建议!
建议瑞星改进系统加固!!!
1、建议系统加固 能使用滑块来调节!
2、添加进程控制: 结束其它进程和线程;发送信息到其它程序中;使用其他程序的接口;
进程入侵控制:安装钩子;注入代码和线程;更改系统模块;重复处理!!!
修改系统控制:截屏;直接访问物理内存;
系统修改控制:创建隐藏的进程;创建隐藏注册表键值;创建隐藏的文件(rootkit方式);创建文件硬链接!!!
权限控制:调试权限;
网络控制:使用浏览器程序接口;使用系统程序接口(dns);使用命令行参数隐藏启动浏览器
3、添加程序分组,按照安全级别分为白名单、低威胁、高威胁 黑名单(卡巴的分类为信任、低威胁、高威胁、不信任);并用动态启发引擎分组。
启发引擎判断程序威胁程度为 低的话 ,就将程序加入低威胁组;
启发引擎判断程序威胁程度为 高的话,就将程序加入高威胁组;
启发引擎判断程序威胁程度为0的话,那就加入信任组吧!
若启发引擎30秒内 ,没判断出来的话,就将程序暂时划入低威胁组,启发引擎在后台一直跟踪并判断程序的威胁程序,最后将程序划入相应的组中!!!
总结: 用启发引擎判断的威胁程度为0的程序, 放入信任组,这样就不会打扰用户了!!!
用启发引擎判断的威胁程度为低的程序,放入低威胁组,这样跳出的拦截窗口就很少!!!
用启发引擎判断的威胁程度为高的程序,放入高威胁组,拦截自然也就多!!!
若瑞星也采用这样的策略,不就解决了 用户将系统加固设为高,弹窗太多的弊端,若默认设为初级模板,弹窗是少了,安全性不就降下来了!!!
若采用启发分租的策略,默认将系统加固设为高,不就一次解决了弹窗和系统安全性的矛盾了!!!卡巴斯基通过分租,在设置窗口可以看出90%的程序都被卡巴划入信任组,就是有程序不确定也被划入了低威胁组,通过卡巴的云 更新这些程序划入哪个组的规则,也可以缩短程序启动时被拦截的时间,也可以防止程序被误分租带来的隐患!!!
低限制的权限:
高限制的权限:
卡巴斯基的工作逻辑 ,通过启发分租,通过设置窗口可以看出90%的程序都被卡巴划入信任组,就是有程序不确定也被划入了低威胁组,这样的策略几乎无懈可击,就是暂时划入信任或低威胁组的程序,卡巴启发一直在后台跟踪,直到将程序划入相应的组为止!!!通过卡巴的云 更新这些程序划入哪个组的规则,也可以加快程序启动时被拦截的时间,也可以防止程序被误分租带来的隐患!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome
