使用SSM辅助测试瑞星2010的木马行为判断和主动防御
视频是使用SSM辅助测试瑞星2010的木马行为判断和主动防御的。
经过测试,得出的结论是:智能化,应该分等级。
1、默认级别:可以使用智能化的木马行为判断。(如果方便的话
,最好是也增加一个驱动加载拦截、磁盘底层访问拦截。等比较危
险的有可能成功加载之后会破坏杀毒软件的地方。)
2、最高级别(针对比较了解的人群):对于一些比较危险、一些
敏感的动作(比如注入进程、修改EXPLORER.exe进程等,在视频里
出现过。)使用手动处理方式。方便的话,最好是能默认像防火墙
一样内置一些规则(比如:system32目录下创建/修改文件,fonts
目录下创建/修改文件,服务创建/加载等),只不过默认不生效(
不勾选),当用户有需要可以勾选生效。
3、软件有功能,应该制作一些文档或者是视频教程教会用户使用
,毕竟功能有了,但用户不明白不知道怎样使用,很可惜。
建议是:智能化的同时,在一些情况下配合一些手动操作(比如:
用户安装游戏要加载驱动、安装迅雷要访问磁盘底层,这些只提示
一次,并且默认勾选允许,提示信息是:
您正在安装XXXX游戏,您正在安装迅雷,有了一些这样的“白名单”,其它的小程序创建、
加载驱动,就报一次,然后默认勾选阻止,提示信息是:
您正在创建一个驱动,可能会发生危险操作,请您确定是您在安装可信任的程序。当用户发现的确是他需要安装时,他可以允许,否则就默认
阻止了(这个提示最好是只提示一次,并且是每次安装都提示,这
样用户发现不正常,重新双击安装时,可以选择允许)。这样病毒
混水摸鱼的破坏杀毒软件的可能性会小很多)。
视频中的一些操作及样本,希望工程师能认真的看完,了解一些病
毒(老病毒)的常见操作,及时更新木马行为判断或者是增加相应
的规则(比如:HB蝗虫系列规则),这样在以后的测试中能测试更新后的规则是否有误报等情况。
视频下载地址:
http://www.qiannao.com/space/show/znhygsd/上传分享/3.exe/.page复制或者是点这里吧,好像论坛自动链接有点问题视频有些没有录好,将就吧,应该主要的还是录到了。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; baiduds; .NET CLR 1.1.4322)
