用户体验系列4论主动防御
序言 继前面
3篇以后,本篇论文专门专门来论一论目前的主动防御第一章 单点
API保护从
08开始瑞星不在只是单方面来杀毒,开始注重起防御来。于是乎一个全新的防御体系出现在瑞星的产品结构中。我首先要提到的就是系统加固。虽然08的主动防御比较弱但是还是有一定效果的。系统加固其实从
08-2010都只是做了少量改变基本一样。有点类似于看门狗一类的软件。比起2010我个人认为08的提示框显得更加专业可以提供的信息业更多。第二章 初级行为防御
行为防御也是
08开始加入的新产物。由此可见瑞星早就想到了防御为主的思路。只不过那时的行为防御弱到不行。第三章 应用程序保护
这个才是我要说的重点。
所谓的账号保险柜应该就是此功能的阉割版本吧?我看中的是防止进程结束的功能。怎么理解这句话?我解释下吧。
1我可以根据这个功能来保护进程不被结束。再加上系统加固中的加载驱动控制我可以真正做到我的电脑我控制。2由防止结束进程功能衍生出的想法。如果我吧这个功能扩展下做到
api的监控那么可以很大程度的加强自保。为啥呢?其实原理很简单,在R3下结束进程调用的函数是可以被控制的。也就是说不加驱的病毒试图结束任何软件都可以被发现。有点类似于SSM吧。这样发现敏感操作提示的话用户可以更加灵活的对待病毒。自保也是一样的。当程序试图结束瑞星的时候则反过来终止那个程序。这样就可以比较好的保护电脑。我知道
2010的行为防御有类似的规则。不过我更希望有些东西可以让用户来掌控。至于普通用户不会使用的问题可以吧有些功能做成不主动开启。第四章 应用程序控制
多的没什么说的
还是老生常谈
1
通配符2
我觉得是不是可以考虑加入程序启动控制呢?08版本09版本都是存在的。比如说现在我要想控制启动
CMD我就要禁止读取CMD这个是不是有点。。。。。很多程序使用的时候也是会检测到CMD这个文件的。如果设置成提示那每天弹窗太多了。如果加入启动控制并且支持通配符我可以通过黑名单匹配的方式来阻止常见病毒。规则也可以更加灵活,何乐而不为3
加驱控制这个问题不想多说,不控制加驱规则再好,程序再好,功能在完善都是白搭
.4
更加灵活的处理方式我希望应用程序控制可以更加灵活。比如拒绝并终止进程,拒绝终止进程后删除文件。多了这些规则方面可以更加如虎添翼。
这些我希望可以实现。全民一起来主动防御才是王道。
第五章 自我保护
主动防御很大一部分源于
R0的工作权限。如果现在不控制加载驱动那么自保必须加强。否则功能再好依然白搭。方式我也不想多说。多说无益因为我并不是很懂这方面的东西。不过我认为尽可能利用系统保护才是王道,比如使用NTFS保护关键文件等。具体的看你们这么想了。先说这么多吧。
2011表现怎么样才是我所期待的。或许现在说这些有点早但是这些话必须要说。2010已经比较完善了。下个版本要向哪方面努力我这里已经指明的方向。让我们期待2011带来的惊喜吧。用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
