瑞星内核加固不行
能不能恢复2011的内核加固规则,现在这个根本不能对系统底层操作进行监控了
好歹以前还有个“底层磁盘访问”、“启动子进程”、“mbr”。。。。。。很多很多的监控项目,现在根本不能监控,内置规则要不断完善,但不代表要删除许多重要的规则,尽管他很繁琐。而且系统加固还要依托service服务进行拦截,这是一个巨大的致命弱点,病毒程序只需运行一个批处理 sc stop service,将这个服务干掉,瑞星系统加固就全部失效,望改进。
举个不拦截的例子:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
这两项同样都是启动项的注册表路径,而瑞星只能对HKEY_LOCAL_MACHINE下的进行监控,而HKEY_CURRENT_USER下的全部失效,根本不能拦截,不信你可以自己测试。
现在的内核加固貌似智能监控HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE,至于HKEY_CURRENT_USER、HKEY_USERS、HKEY_CURRENT_CONFIG,一点用也没有。
估计可能有两个原因:
1、系统加固设计有缺陷
2、系统加固内置模板没有针对于此项目的规则
还有,现在瑞星好像不拦截删除、修改重要的系统文件了,也不拦截释放未知文件到系统关键目录了。
综上所述,我还是觉得恢复2011的内核加固吧,就算不支持x64也无所谓,好歹比一个不能对系统进行全方位监控的系统加固要强。
用户系统信息:Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0; QQBrowser/7.3.8581.400)
