本文旨在进行测试小结,谈一下自己的理解。最后给出一些建议!遇到的细节方面的问题己单独开帖陈述。
对于2010的查杀率问题,我想对于每一个试用过瑞星2010产品的人来说应该心知肚明,基于瑞星庞大的
云安全网络,以及快速的病毒响应系统,现在的样本收集和入库速度,包括以前大家逅病的升级频率等问题
都得到解决。
那么,我们从以下几个方面来看一下瑞星对病毒的处理。以下过程为层层递进式的,从病毒源头说起。介绍
瑞星的多层防御体系。
(一)访问挂马网页
有两种拦截途径:A.恶意网址拦截 B.木马入侵拦截
对于A种情况:我选择了几个网址:
http://www.yishang.com.cn/product_text.asp?id=19&;pid=
www.pz2z.com http://safety.nankai.edu.cn/ 
对于B类的情况,我想大家应该见到很多。
我们把恶意网址拦截功能关闭,直接去访问那些网站会怎样。试试就知道了!
运行第一个网址:被“木马入侵拦截”给拦截了,如图:
其它的也是可以拦截的,不再一一赘述。大家如果有虚拟机也可以试试,瑞星的拦截率很高。
(2)文件监控/查杀
如果防挂马也没有拦截到,病毒下载到本地了怎么办。
那就得靠监控了,瑞星对于文件的创建是有监控的。
最近的查杀率还不错,既然有 taylor05771 大哥2.34G的大包检测
(
http://bbs.ikaka.com/showtopic-8647648.aspx)那我也不在这里浪费时间,谈点直观感受,
在各个论坛里找些瑞星不报的样本真是困难。大家有兴趣的可以参考上边的那个帖子,不错。
在这里我再引用卡饭上的病毒测试帖作为说明(
http://bbs.kafan.cn/thread-522103-1-1.html)
感谢原作者(popfather)和病毒收集小组的辛苦努力。大家有兴趣的话可以关注一下,虽然样本数量
不多,但也算是个抽样检查吧。
(3)行为防御/系统加固
如果说我们没有查杀到而又运行了会怎么样了。其实还有行为防御,和系统加固保护。今天我特意找来了
在测试rav2010时只拦截了部分的样本(
http://bbs.ikaka.com/showtopic-8638413.aspx),当时递交样本
时,工程师的回复是,RIS2010中有网络行为识别,所以用该样本来测试RIS2010,关闭文件监控,运行该样
本。成功拦截。
另外我还运行了其它的样本,好的我就不说了,在默认的“中”级别下,其实还是有漏掉的,但高级别就很强悍了,我上报的样本其实好些是在“高"级别下拦截比较完美的。可惜默认不是“高”,估计是出于减少误报的考虑。其实并不出乎意料,瑞星向来对误报比较谨慎。不过普通用户在装好了软件之后,再将木马行为防御调到“高”也是一个不错的选择。下边是我上报样本:http://bbs.ikaka.com/showtopic-8648501.aspxhttp://bbs.ikaka.com/showtopic-8648503.aspxhttp://bbs.ikaka.com/showtopic-8648519.aspx(4)云安全网络
如果你行为防御也没有拦截,云安全网络就会自动上传这些未知的程序,现在的响应速度很快,在第
一阶段我已经说过了,这里也不废话了。所以此时你只要等待瑞星的升级,估计问题就会很快的解决。
这里既是一个被动又是一个主动的防御过程,对你来说可能是被动的,但对于其它的瑞星用户,它又是
积极主动的。它对于用户来说就是一个互助的网络。
个人体会&建议(1)自动放行有时很危险,进程查看器里的“安全”标准让人摸不透
这是我测试行为防御时体会到的,其中这个样本我也已经上传了
(
http://bbs.ikaka.com/showtopic-8648519.aspx),曾经一度以为RIS进行查看器中是以数字签名为标准,
但发现不是。而且与卡卡6.0中的进程查看器也不是统一的,运行了上边这个病毒后,虽然防御了部分
但是后边好多病毒文件都被防火墙自动防行。汗!
对于RAV和RFW的放行标准,我觉得应该寻找更好的标准,这个可能涉及到整体上的改动,虽然
12号工程师曾经解释过,但我依旧认为这里是个遗憾。让人多少觉得有点不灵活。所以也就再提下了
(2)对于RIS2010界面上的说明文字部分,我也有想要建议的地方。如图
(3)加大网站资源的整合
例如,木马入侵拦截的“详细信息”就做得很不错,把卡卡的文件诊所和软件吧联系在了一起。
那么恶意网址是不是也可以和卡卡的网站吧整合在一起呢。或者将整个卡卡平台都统一起来。
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)
