1   1  /  1  页   跳转

[RAV] 新版的主防存在不足---望改进!!!

新版的主防存在不足---望改进!!!

感觉瑞星的主防与专业的hips相比------应向此方发展!!!瑞星的主防没有控制以下操作:
1.进程间的操作:

  a  加载dll文件
  b  创建远程线程(拦截注入
  c  读写其他进程的内存
  d  结束、挂起进程或线程
  e  远程调用com对象
  f   进程间消息操作(如:病毒虚拟发送消息关闭瑞星




2. 系统常规操作:

  a  安装键盘钩子(卡巴有此功能
  b  模拟键盘鼠标操作(如:磁碟机



3.系统高级操作

  a  系统设备控制(卡巴有此功能
  b  访问物理内存
  c  注册表转储(hiv
  d  访问服务管理器
 
                  建议改进!!!


      现在很多安软采用了隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)


      其中Malware Defender的驱动可以在重启中,自动变形!!!(重命名驱动
      希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程。



    希望瑞星能周期性自动挂钩hook!!!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)
分享到:
gototop
 

回复:新版的主防存在不足---望改进!!!

感谢您给我们的宝贵建议
gototop
 

回复:新版的主防存在不足---望改进!!!

瑞星不是专业HIPS
根据工程师的话说自我保护没有必要那么强
系统控制不完整的话。。。、要看工程师的意思
另外10的产品结构不会有多大改变的。
gototop
 

回复:新版的主防存在不足---望改进!!!

创建远程线程(拦截注入)
读写其他进程的内存
安装键盘钩子
访问物理内存
访问服务管理器

等操作 在木马行为防御中已经做了
需要满足一些条件 这些东西在系统加固中没有了 为了不给用户更多提示 但如果病毒有类似行为 是可以报出来的 欢迎提交瑞星木马行为防御不能报的样本
gototop
 

回复:新版的主防存在不足---望改进!!!

有待进一步完善瑞星下一代产品
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT