【dong0022】关于系统加固的个人见解 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 2012版瑞星杀毒软件公测专区【dong0022】关于系统加固的个人见解

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【dong0022】关于系统加固的个人见解

本主题由大版主 zgr稳得起于 2012-3-10 18:41:30 执行移动主题操作

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2012-03-10 18:00 \| 只看楼主短消息资料字号：小中大 1楼【dong0022】关于系统加固的个人见解关于系统加固的个人见解最近看到很多朋友对2012全功能没有系统加固而感到“痛心疾首”，这里我想谈谈自己的看法。首先瑞星在2012版之前的防御架构是单步hips拦截+高规则行为分析，这里的系统加固（hips）不像传统hips软件对每个点都拦截，瑞星为了用户使用的易用性和减少误报对系统加固做了相当多的精简，默认设置更是设置为低模板。系统加固1.jpg (155.88 K) 2012-3-11 15:26:05 系统加固合并.jpg (578.30 K) 2012-3-11 15:26:05 而行为分析（木马防御）才是防御核心的精髓所在！我不知道为什么那么多朋友“忘情的”迷恋系统加固而忽略了木马防御的重要性。测试我就不做了，前段时间的横评和纵评已经写过很多了，如果有没看过的朋友可以重点看下我的纵评测试（一）：瑞星2012和瑞星2011中的主动防御一项的对比。文章地址：bbs.ikaka.com/showtopic-9159640.aspx 今天重点要说的是木马防御强度调节的加入的紧迫性要高于系统加固，我这里说一下测试的过程，有兴趣的朋友可以自己在虚拟机下测试。（1）选用瑞星2011版，首先把系统加固开到高模板，关闭木马防御双击病毒测试，看系统加固可以拦截到几个点动作？（2）再次关闭系统加固，把木马防御开到最高规则，再双击病毒看下拦截率。没有特殊情况，肯定是单开木马防御最高规则拦截率高。因为行为防御先天性的缺陷就是对单一动作不拦截，所以才需要系统加固作为辅助，辅助不能代替主力更不可能取代主力。系统加固只是对一些点做拦截，而主要拦截任务还是在木马防御上！所以大家不要过于纠结于系统加固，而更应该关注木马防御这个防御主力身上！某些朋友看了半天好像没看懂我写这篇帖子想说明什么，中心思想没抓住这里我再强调一下，我通篇也没有说过系统加固不重要，而是把系统加固在瑞星整个防御体系中起到的作用说了一下，完全基于实践测试，大家可以自己动手在虚拟机中测试。如果2012后续版本加入系统加固功能，我会在专项测试中继续跟进测试。至于2011版的实在不想再测了，那位说系统加固抑制、灭活的朋友，您把帖子后面那个锁屏病毒(11楼)下载后，关闭文件监控，把系统加固开到最高模版双击运行病毒，看看结果吧，有没有灭活？有没有抑制？我支持讨论但不要说一些其他东西，boring、tedious！ dong0022 最后编辑于 2012-03-11 15:26:05
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	分享到：

846860493 自信弱冠狮帖子:464 注册: 2009-02-28 来自:	发表于： 2012-03-10 19:24 \| 短消息资料字号：小中大 2楼回复：【dong0022】关于系统加固的个人见解同意。。。分清主次的同时，还是希望两者兼具。或者把加固移到防御中。 846860493 最后编辑于 2012-03-10 19:27:17
846860493 自信弱冠狮帖子:464 注册: 2009-02-28 来自:

红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:	发表于： 2012-03-10 21:09 \| 短消息资料字号：小中大 3楼回复 1F dong0022 的帖子系统内核加固想法很好，只是瑞星没有把它做好而已
红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:

红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:	发表于： 2012-03-10 21:17 \| 短消息资料字号：小中大 4楼回复: 【dong0022】关于系统加固的个人见解引用: 原帖由 dong0022 于 2012-3-10 18:00:00 发表关于系统加固的个人见解最近看到很多朋友对2012全功能没有系统加固而感到“痛心疾首”，这里我想如果在面对未知免杀病毒时，你觉得是木马行为防御有效，还是单步的系统内核加固能更好的发现异常红到时最后编辑于 2012-03-11 07:42:36
红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2012-03-11 09:07 \| 只看楼主短消息资料字号：小中大 5楼回复：【dong0022】关于系统加固的个人见解当然是木马防御更有效，行为分析就是专门针对未知病毒和免杀病毒的，因为即使再加壳、反汇编病毒的行为动作是不变的，一个强盗即使穿着再光鲜，一旦有恶意动作照样拦截。您只看了我第一句话，后面的您应该没有仔细看，瑞星的系统加固精简了相当多的传统hips功能，单开无法起到最大保护作用，只是辅助行为分析做一些点动作的拦截！我下面不是说了测试过程了，您可以用病毒在虚拟机中测，看是单开系统加固拦截高，还是单开木马行为防御拦截更高系统加固和行为分析密不可分，我也不是想说哪个重要，因为同等重要！但很多朋友过于纠结系统加固，我只是开帖说一下，单就瑞星的防御架构而言还是高规则的木马防御起主要拦截作用！
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:

红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:	发表于： 2012-03-11 09:33 \| 短消息资料字号：小中大 6楼回复 5F dong0022 的帖子系统内核加固关键是自定义，这个帖子里的已经说的很清楚了http://bbs.ikaka.com/showtopic-9164655.aspx 拦截的目的不是杀毒，而在抑制病毒，减小或者起到灭活的效果，降低或消除病毒所造成的破坏性，这和木马行为防御有本质区别红到时最后编辑于 2012-03-11 09:43:57
红到时初生襁褓狮帖子:27 注册: 2012-03-03 来自:

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2012-03-11 11:22 \| 只看楼主短消息资料字号：小中大 7楼回复 7F 红到时的帖子我的意思您还没懂，我从来没说系统加固不重要！而是提醒一下过于纠结系统加固的朋友，木马防御也相当的重要，而且在瑞星防御体系中起到主要拦截作用！您再不懂我也没有办法解释了，只要能看懂的人能明白就好了
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:

DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:	发表于： 2012-03-11 16:13 \| 短消息资料字号：小中大 8楼回复 8F dong0022 的帖子这样讨论讨论，热闹一些，活跃下论坛气氛也不错
DoctorLc 特邀体验者帖子:2994 注册: 2007-06-02 来自:

紫水晶888 拙长孩提狮帖子:82 注册: 2008-06-11 来自:卡饭-heaven888	发表于： 2012-03-11 17:24 \| 短消息资料字号：小中大 9楼回复 1F dong0022 的帖子同意楼主的意见，从以前在卡饭测试的来看，90%上都是木马行为防御拦截的，很少有系统加固。所以应当加回木马行为防御的调节并且改善其中的规则，当然最好也加回系统加固而且要支持通配符和自定义，这样才能形成一个瑞星特色的防御体系，把中毒的可能性将至最低
紫水晶888 拙长孩提狮帖子:82 注册: 2008-06-11 来自:卡饭-heaven888

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2012-03-11 18:55 \| 只看楼主短消息资料字号：小中大 10楼回复 9F DoctorLc 的帖子我支持讨论，但他貌似没明白我这篇帖子的意思。他的意思是说增强系统加固监控范围，增加通配符，这些属于建议而不在我这篇帖子所说的范围内。而且发了三帖，有一篇说什么“明着赞扬，实为暗讽”，也不知道他咋看出来的，蛋疼啊
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT