瑞星杀软改进 综合帖
一、引擎篇
1、加强自保,防止恶软干扰杀软运行,如:干扰加载引擎初始化。
2、加强反
rootkit能力。 可以仿照卡巴和江民一样 ,再做一套单独专门对付
rootkit的引擎,这个引擎只扫描是否存在隐藏的进程和文件(hook api 实现的) ,然后判断是否是恶意的文件!目前都采用了 磁盘解析和 文件系统解析 来判断是否存在隐藏的进程和文件(
hook 实现)而卡巴采用的不同,是采用快照比对的方式确定是否存在
rootkit。两个快照对比,一个快照在进入桌面后生成 ,另一个------也是最重要的 是在系统启动过程中 生成的,这样两个快照一对比 ,就能揪出 闹事的 sys文件了。http://bbs.ikaka.com/showtopic-9172007.aspx3、加强静态启发能力,就没有看到瑞星发现可疑文件过。
二、监控
加强监控,尽量采用云引擎来监控 ,提升性能。
降低内存占用 ,不是关键, 关键降低
cpu占用 ,防止杀软拖 explorer ,只要explorer反应快速 如丝般顺滑 ,其它程序响应快 ,就是多占用内存又如何 ???不要陷入误区,捡了芝麻丢了西瓜!!!
回归正传:“因杀软默认只加载近一年的病毒,这样很容易漏杀,老病毒杀软都不认了 如何防御呢?”病毒可不管你是不是 只杀新病毒!!!
因此云引擎 至关重要 ,不管是新病毒还是老病毒 都要入云库 ,并且监控和扫描都要引入云引擎,弥补只杀新病毒,不杀老病毒的 弊端!!!
三、主防与沙盘
1
、将加固规则和程序控制整合 ,也就是将系统加固的规则导入程序控制,摒弃系统加固,只保留程序控制!!!2、程序控制要智能化、自动化 ,将运行的程序自动控制起来并配备相应规则!!!
3、添加沙盘,自动将未知程序和文件放入其中养着,当然是这些程序要运行时,才放入!!!
防止客户机碰上恶软,如:磁碟机等病毒,虽说有行为引擎,但是就是行为报警,需要一定时间跟踪吧?这段时间内 会有很多文件中标,被感染的!!!因此添加沙盘至关重要!!!
4、解决数字签名漏洞
5、解决 dll利用白程序过主防的漏洞
四、增强自保
为了 稳定性 ,瑞星可以少量 挂钩 inline 也!!!NtOpenProcess inline 此函数 防止打开瑞星 进程NtTerminateProcess inline 此函数 防止瑞星进程被结束KeInitializeApc / KeInsertQueueApc inline 防插apcnt!PsGetNextProcessThread (8057b3b9) 遍历线程中的进程PspTerminateProcess 最终线程是通过被插入的APC调用PspExitThread而自杀的ObOpenObjectByPointer 则是为了防止其他进程打开nt!PsLookupProcessByProcessId (80573e8d) 根据输入的 PID 查询进程内核对象体的指针nt!ObOpenObjectByPointer (8056cbc2) 通过对象指针(PEPROCESS)得到句柄。ObOpenObjectByPointer 进程句柄 ; PspExitThread挂接 防止线程自杀ZwQueryVirtualMemory 来枚举进程模块使用ZwQuerySystemInformation的SystemHandleInformation号调用得到系统中的所有句柄通过ZwQueryInformationProcess来查询句柄对应的进程Id请完善 上述 挂钩 ,防止瑞星进程被结束!!!卡巴 江民 xxx 都是 挂接着 这些函数 为何瑞星那个不挂接 这些函数呢 这几个 你需要挂 啊!!! 五、云端改进!!!
1、白名单收集系统。
将系统中没有签名并同时云鉴定结果未知的程序上传并鉴定,这样云端就有了此文件的信息,如:
md5 ;其它客户机 扫描时就不需要 重新上传了!!!是前人种树后人乘凉!!!2、病毒自动鉴定系统
如:数字的
QVM ;金山的 KSC ; 费尔的 V8科普之“云端人工智能集群iRobots”
采用自动鉴定系统 ,加快病毒鉴定速度!!!
3、病毒行为自动鉴定系统
更好的 自动行为鉴定系统 ,如金山的 火眼金睛!!!
4、防误报系统!
A、监控、行为引擎和扫描若发现病毒时,应当连接防误报系统 配合白名单系统消除误报!
B、利用防误报系统和白名单系统为系统加固 ,提供自动放行的支持(白文件)!!!
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.3000 Chrome/18.0.966.0 Safari/535.12
