对系统加固的改进建议
一、现状:
1、为了提升用户体验,错误的删除监控点,以
牺牲用户安全为代价,换取
拦截弹窗的数量降低!
2、系统加固的
低
中
高
,已经不合时宜,
因为
它们的存在只是为了控制弹窗数量的多少,但是并没有对程序进行严格的权限和启动控制
,
应该换种策略,来替代系统加固!
3、利用签名和云安全信息自动放行
,也是
设计不太合理,因为
很多的带有签名的
或
云信息是安全的程序的
动作,
瑞星一直在拦截提示用户,如
底层磁盘访问?
二、改进方案
概论:
纵观近几年的发展,
国内的主防都向着弹窗少的方向
发展,这个本来是个好事?拼命的改进主防的易用性就该表扬啊?
但是碰上了
勒索
、敲竹杠病毒呢?全部趴窝后,我才发现原来是
精简了监控点,这不是本末倒置吗?
而国内又
拼命的玩弄文字游戏,炒作概念(如
360那样的防火墙,防毒墙?这也叫墙?),
又是
家家评测第一,直接影响了国内主防的发展方向。加上了国内外整体大环境,外加大流氓的免费策略,直接造成了劣币驱良币,
n多创业公司倒闭,更不用说主防的停滞不前了!而瑞星也受到这些思潮的影响,
乐呵呵
的挥刀自宫,阉割自己的系统加固(
2012)?并且把自己的应用程序控制也砍掉了,不得不说是个不小的损失啊,看来受国内舆论的影响,受害不浅!而国外呢
,拼命的改进主防技术,主要以卡巴
等为代表的
开发了强大的
hips + 行为
+沙盘的
模式的主防!而瑞星是最接近国际大厂的技术水平,却被国内带路党,搞混了方向,不得不说是一种悲哀啊,失去的四年!!!人生有几个四年?
方案:
1、系统加固直接
大改,重新写
,这个本来是
瑞星最大的亮点,现在却黯淡无光,不应该啊!!!
最近的测试,发现瑞星的拦截点都不存在了,
既没有控制病毒重启电脑,也控制不了病毒修改登录账号和密码,简直是败了!!!而病毒利用
ie和
explorer做坏事,
拼命的感染系统,而瑞星跟在屁股后面拼命的追,就没有想过
和平年代
给
ie和
explorer加把锁
,就让人家把它们当车开走了?
建议增加拦截点:
a、
进程、线程控制
启动、停止和暂停其它的进程和线程
b、保护进程
防御代码注入
询问
读
和
写
其它进程的内存
句柄控制
调试
和
窗口消息
c、操作系统保护
创建隐藏的文件、进程和注册表
重启或关闭操作系统
修改登录账号和密码
摄像头
键盘
钩子录音
和录屏?
2、做得自动放行和云安全中的文件这个功能
与
系统加固的很多规则相冲突,如
签名进程
底层访问磁盘,既然能自动放行了,这里还要询问???
这不是冲突吗???
我估计是瑞星对
签名和
云安全的文件也是不是很信任,怕有虫子
混在其中,对用户造成伤害把?干脆大改得了!!!
不要自动放行签名和云安全了,
而是直接
利用
信誉云
+签名数据库
+ 社区云的规则来自动放行吧?
卡巴的逻辑就是
利用了
信誉云
+ 社区云
+ 签名库
,来综合判断是否进程是安全与否,最终决定是否放行的!!!
这里
,我强烈建议
瑞星
开发
社区云
+ 信誉云,
利用社区强大的
力量来去除
误报和
漏报!!!
并且
卡巴
自己
建立了
签名
数据库,
无法确认的是放到了
不信任中的,也就是说
卡巴不信任这个证书!!!
同时
卡巴
利用社区云
,收集用户
程序
信息,
并上传到
官方服务器供客户端
下载使用,来避免了
一个进程
,
既没有
签名
又没有
云安全信息的
尴尬,并增强了
卡巴
hips的
易用性的!!!
上点图 ,太枯燥:::
1、拦截点
常见的AD行为有”加载驱动(设备驱动程序安装)“”安装钩子“”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“”结束\挂起进程(进程终止)“”修改其他进程内存(进程间内存写)“”直接访问物理内存“”直接访问底层磁盘“”获得键盘的输入记录“”获得屏幕内容“”窗口消息“”访问COM接口“
2、信誉云
comodo 也是
通过
主动
信誉扫描
,
快速
收集
程序的
安全信息
,并
通过
鉴定
迅速
确认是否存在
漏杀
现象!!!
据说
360 ,也是
通过
非白即灰 的
策略
,上传
exe ,
dll 等文件鉴定
,快速
收录
文件的信息!!!
建议
瑞星
能在
客户端,
开放
云信誉
查询
,
并添加
用户评分的
功能呢,
这样
也能快速
反馈是否存在误报
或
漏报的的问题
,
并且
可以给其它用户
分享
hips限制策略
!!!
用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 UBrowser/5.7.15319.202 Safari/537.36
