瑞星在防御方面的不足!!!
1、建议瑞星能防御用户的数据,注意 不是说的通过制定系统加固规则 来保护 我的文档 浏览器设置 电子钱包 即时通讯(QQ) 邮件客户端等个人数据,而是通过修改瑞星策略,添加到 监控中保护,拦截没有签名或没有存在云安全中的程序访问!!!添加这项功能 ,保护用户的隐私!!!
2、瑞星保护了自身进程 线程 不被结束 和暂停,建议瑞星改进保护策略,在系统加固中增加拦截其它进程 线程 被结束或暂停的功能!!!当然对于向其它进程发送消息 也要拦一拦!!!使用其他程序的接口 就更不用说了!!!都是在系统加固中实现!!!
3、建议瑞星能挂接 hook ,拦截 截屏操作!!!
4、加强 反rootkit能力,对于 隐藏的文件、注册表键值 和进程都要拦截!!!通过系统加固实现!!!
5、控制调试权限,拦截程序获取 调试权限,并询问!!!
6、加强 网络控制!!!经常发现 木马 后台调用ie ,因此 使用命令行启动浏览器 使用浏览器的接口 或系统程序接口 (dns)都要拦截!!!
以上功能希望能在系统加固中实现!!!
有人会说 在行为引擎中 能实现,请给用户选择的权利 ,可以通过 强度 调节(高中低)!!!
或这样说 “这样拦截窗口不就增多了吗”
我们可以开发应用程序控制 ,利用应用程序控制 将程序分组!!!
若有签名或存在云安全中,就将此程序 加入信任组!!!
毕竟 上传云分析 需要一定的时间,我们可以暂时利用启发引擎将程序分组,瑞星的系统加固不是有三个等级共调解吗???
我们可以设置四个组-----信任 低威胁 高威胁 黑名单!!!!
将有数字签名或存在云安全中文件 加入 信任组!!!
将启发引擎判断威胁低的加入低威胁组!!!
将启发引擎判断威胁高的 放入高威胁组!!!
因为不同的组触发的规则数目是不同的!!!
通过这样来实现 拦截窗口的 弹出数量!!!
我的意思是这样的:::
利用启发引擎分组,这样 系统也安全,拦截窗口也不会增多!!!
白名单组------- 存在签名或在云安全中的文件 ------不拦截!!!
低威胁组-------没有数字签名,不在云中,启发判断威胁低-------瑞星系统加固 初级模板!!!
中威胁组-------没有数字签名,不在云中,启发判断威胁中-------瑞星系统加固 中级模板!!!
高威胁组-------没有数字签名,不在云中,启发判断威胁高-------瑞星系统加固 高级模板!!!
黑名单组-------没有数字签名,不在云中,启发引擎报警 -------提示用户处理,询问添加黑名单!!
建议改进@@@
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.62 Safari/534.3 TheWorld Chrome
