瑞星卡卡安全论坛瑞星产品区瑞星杀毒软件[已关闭] 08版瑞星杀毒软件“主动防御”功能分析

1   1  /  1  页   跳转

08版瑞星杀毒软件“主动防御”功能分析

08版瑞星杀毒软件“主动防御”功能分析

08版的瑞星杀毒软件增加了主动防御功能,现在给朋友们简单分析一下:

打开08版杀毒软件主界面,能看到一个新添加的功能“防御”,点击后能看到该功能下有6个模块。如图:


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £

附件附件:

您所在的用户组无法下载或查看附件

最后编辑2007-09-26 14:15:45.653000000
分享到:
gototop
 

其中有3个模块可以进行详细定义,来达到防御目的。

这3个可以自己定义的模块为“应用程序访问控制”,“应用程序保护”,“程序启动控制”

下面分析这3个模块的具体功能

1.应用程序访问控制:顾名思义是对添加进去的可疑程序进行监控,以限制其访问计算机资源的范围,该功能主要是针对一些可疑的程序。

应用程序访问控制的监控和限制有如下2项。如图:>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

a.系统动作限制:把程序添加进去后,可以对其进行系统动作(限制加载驱动,限制全局挂钩 ,限制启动子进程 ,限制打开物理内存设备 )的时候作出监控、限制,默认设置为“放过",可以根据自己需要修改为“拒绝”或“提示”。

b.注册表和文件访问控制:可以分别添加注册表和文件控制,可以对该程序访问文件和注册表起到监控、限制作用,文件和注册表的添加界面基本一致,将指定的文件或注册表添加后,在使用过程中,如果该程序对指定的文件或注册表有如下操作:修改、删除、创建、访问,则会触发相应的动作。

所以根据上述能看的出来,这个功能主要是针对一些可疑程序,自己不清楚该程序是不是正常的,也不知道它运行后都做了什么操作,对系统有什么影响,在该功能里设置后,在可疑程序运行的时候,就可以根据瑞星弹出的提示框以及历史记录来分析出该文件都做了什么,对于自己分析、判断问题有很大的帮助。

2.应用程序保护:可以保护指定的应用程序不被恶意程序攻击。可以自行添加游戏软件、即时通讯软件等,对它们进行保护。将自己要使用的程序(如QQ,网银,股票软件等等)添加进去,进行规则设置,默认的处理状态都为“放过”,可以将其改为“拒绝”或“提示”,这样该程序就处于保护状态下,可以放心使用。杀毒软件/工具里有一个功能“帐号保险柜”,里边有些瑞星已经添加进去的软件,只要在保险柜里有的软件并且在电脑上已经安装,都会在应用程序保护模块里出现,只要在该软件前打勾,就可以启用对该程序的保护。如图:
>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

所以根据上述能看得出来,这个功能主要是起到保护作用,重在防御,保证重要程序和内容不被攻击篡改和盗取。

3.程序启动控制:程序启动控制功能允许用户监控指定可疑程序的启动过程,有助于阻止并截获未知恶意程序,并可以用于发现指定的应用程序是否被篡改。此功能可以选择启动者和目标程序,再进行程序启动控制规则的设置,设置完毕后,当开启此功能时候,程序启动控制功能生效。启用后,可以防止用户指定的程序被未知用户指定的程序启动,达到防御病毒的目的。

例如:现在有一个绝密文件1.dll,为了防止其他程序2.exe(或者所有程序)对其访问,可以将这2个文件都加入规则。如图:
>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

按照提示将2.exe也添加进去>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

设置后2.exe在运行的时候如果要访问1.dll,则瑞星会根据当初的设置对其进行“提示”或者“拒绝”等等。

所以根据上述能看得出来,这个功能也是对文件起到保护作用,但是和应用程序保护也有不同:

应用程序保护是根据一些固有的规则进行设置,起到保护作用。

程序启动控制设置后,被保护的程序就不能被指定的程序访问(安全级别更高)。
>Dfížç—bbs.ikaka.com¹Kæd¸ç ` £
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT