好久,好久没到卡卡上来了,现在又临近放假,来卡卡上些个帖子^_^
还记得在瑞星2008公测试阶段,很多用户都看好瑞星,那时候真的感觉瑞星08真的很安全,但经过了一段时间,瑞星2008在4个月的时间表现欠佳,能骗过瑞星和杀掉瑞星的病毒也是有一些的。更为明显的是,能和瑞星木马强杀对抗的病毒也不少。于是有些用户又开始抱怨。
其实,瑞星2008为用户打造了一个不错的平台,让瑞星变得强悍一些其实不难,需要的只是一些设置巧。从江民的主动防御来看,构架了一个完整的注册表规则体系。因此,江民监控的敏感性相当可观,KV08更是以它宁肯让用户有些不方便,也要拦截掉所有可疑行为的高级安全设置策略著称。
其实从注册表下手的方法瑞星也有了,具体设置存放在瑞星系统加固中。
上图是当系统加固为推荐级别时的规则启用状态,其实用户可以有针对性的设置一些新的注册表规则。这里,列出一部分病毒经常篡改,添加或者删除注册表的地方。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy
Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
借用江民的思路,用户可以利用瑞星对流行病毒设置个性化的防御方案。
用户可以通过“程序访问量控制”来添加这些关键的注册表键位,具体设置方法是这样的:
首先选择“设置”菜单选择防御设置。然后选择“应用程序访问控制”点击“添加”按钮。在活动进程列表中选择*
在弹出的编辑框中点击“添加”,选择“注册表”
然后到规则设置页面,按下图进行设置,(注意填写规则名称,这个是主观的设置)然后点击确定,
以上设置步骤仅仅作为演示,该功能主要是针对瑞星系统加固中注册表监控默认设置覆盖不到的键位。用户也可以通过“选择”按钮人工选择监控的键位。从注册表项入手防御病毒,一般是比较有效的,建议大家多看看各大厂商的病毒技术分析,从而利用该设置预防病毒。使瑞星的注册表监控在拥有初始设置的同时个性化。(推荐大家去瑞星看看病毒分析的技术细节,也可以去毒霸看看木马播报,那里对流行病毒添加或修改的注册表键位有详细说明)
另外,有些朋友建议把系统加固的级别调到最高。这对于对系统熟悉的人来说确实不错,但是对于一般用户就不太适用了,那么多规则,就算瑞星提示规则被触发,用户一般容易稀里糊涂的选择“放过”。
比较适中的办法,用户可以在系统加固“推荐”级别的基础上进行自定义设置(如图)
以后,在你没有安装软件,安装系统补丁更改启动组和编写计划任务的时候,如果动作被触发,一律拒绝!
相当多的病毒喜欢光临以上文件夹,特别警惕启动组和计划任务,以及IE安装目录,对于喜欢玩游戏的朋友们,还要警惕系统目录位置。
还有不得不说的是瑞星的监控设置,很早以前,就有不少朋友对我说,瑞星的监控很垃圾,有毒就是不报,其实这是真的,不过,大多数的情况和瑞星的监控策略有关,瑞星工程师“狮子”给我的回答是瑞星会阻止病毒运行,但病毒不被激活时,就不报警,理由很简单·为了提高速度。
不知道大家怎么想,但我是觉得这样做没有必要,相反,有些不爽,用户会认为瑞星很垃圾,解决的办法是在“文件监控”的高级设置中取消“智能监控”的构选状态。
另外说一句,不排除瑞星监控存在漏报的可能性,如果有人真的发现漏报的BUG请向瑞星客户服务中心反应,也请各位在有可能的情况下把BUG截图(尽量详细)发到我的邮箱panxiaoting1127@yahoo.com.cn
至此,瑞星的人工设置就基本上完成,如果大家有更好的人工方案,欢迎交流。
附:本文是从本人的博客转载过来的,希望能给不熟悉瑞星的朋友们一点帮助,由于网络质量差异,有些图片可能无法浏览,这里提供原文网址:http://hi.baidu.com/%CD%F8%BD%A3%B5%C4%BF%D5%BC%E4/blog/item/98bac210a06282f8c3ce79c2.html
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
