六、软件设置部分

这里只介绍09增加的内容。

．空闲时段查杀：这个功能应该是整合了原先的屏保查杀和定时查杀。并可以自定义某个时段查杀。

1.JPG (46.88 K)

2008-9-19 0:14:19

2．查杀设置部分

查杀的病毒类型里面新增了对“可疑文件”的查杀（瑞星的启发扫描？尚不得而知）

优化部分：增加了报壳名和深度扫描两部分。深度扫描（瑞星的启发扫描？尚不得而知）

2.JPG (31.21 K)

2008-9-19 0:14:19

软件功能测试

一、
自我保护测试

    自熊猫烧香时代开始，病毒似乎开始变“被动挨打”为“主动进攻”。他们在实施各种行为（下载木马等）之前会对杀毒软件进行攻击，因此杀毒软件的强壮与否也直接决定这场斗争的“你死我活”。

在基于对各种病毒的了解基础上，我们得出以下病毒通常的破坏步骤恢复SSDT使得杀毒软件钩子失效，结束杀毒软件进程，删除相关注册表键值，对杀毒软件进行映像劫持，并配合查找相关窗口发送关闭等消息阻止用户打开杀毒软件。

下面我们就分别使用这几种手段对瑞星09进行“破坏性”测试。最后还将使用几个流行病毒测试瑞星09的自我保护能力。

1．恢复SSDT

瑞星08在恢复SSDT后，便可以对其“胡作非为”看看09的吧。

我们使用rootkitunhooker对09的SSDT钩子进行恢复，恢复后再用rootkitunhooker扫描发现瑞星09的钩子又自动挂上了。在使用了冰刃等工具恢复SSDT后也有同样的效果，钩子被自动恢复了。看来瑞星09加入了该功能，如果真的是这样的话，那么目前恢复钩子的病毒对瑞星应该就没有用了吧，一会我们再用病毒看～

2．结束杀毒软件进程

由于挂了相关钩子使用任务管理器等当然无法结束瑞星进程。其他工具如冰刃等仍可结束进程，但这并非是判断自我保护是否有效的方法，后面我们用病毒测试。

1.JPG (70.17 K)

2008-9-19 0:26:06

2.JPG (73.20 K)

2008-9-19 0:26:06

3.JPG (69.59 K)

2008-9-19 0:26:06

由此证实瑞星可以在一定条件下可以不被映像劫持所影响。但尚待进一步使用其它方法证实。

4.模拟发送消息

我们使用spy++软件对瑞星主界面发送关闭等的消息

很可惜，我们可以自由的对瑞星主界面发送消息。这点甚至还不如08的自我保护。

4.JPG (47.28 K)

2008-9-19 0:26:06

5.JPG (49.17 K)

2008-9-19 0:26:06

下面开始进行病毒对瑞星自我保护的攻击测试，在此我们选择“磁碟机”病毒

6.JPG (53.58 K)

2008-9-19 0:26:06

因为磁碟机几乎集合了上述所有的破坏功能。恢复SSDT，结束杀毒软件进程，发送模拟消息等。

关闭瑞星所有监控，只开启自我保护

7.JPG (61.10 K)

2008-9-19 0:26:06

运行磁碟机病毒，发现瑞星的各个进程均未被结束，且弹出自我保护的提示。

8.JPG (7.68 K)

2008-9-19 0:26:06

但打开瑞星主界面后，仍然由于磁碟机频繁的发送垃圾消息而崩溃。

9.JPG (18.79 K)

2008-9-19 0:26:06

该测试也证实了我们之前所推测的，恢复SSDT对瑞星已经无效但仍可以发送消息关闭瑞星。

重启计算机试试，重启后发现瑞星小伞(RSTray.exe消失)。但其他进程（RavMond.exe等）仍健在。也就是说其实瑞星监控仍然在开启。由于瑞星主界面和小伞已经被干掉了，虽然监控还在，但已无法与用户进行交互了，所以此时瑞星已经相当于一个“哑巴”，有话也说不出来了。

10.JPG (54.75 K)

2008-9-19 0:26:06

二、主动防御测试：

下面 关闭瑞星的文件监控，开启瑞星所有的主动防御功能测试其拦截功效

此时我们使用瑞星默认的拦截功能测试某U盘病毒对系统的攻击。

1.JPG (36.28 K)

2008-9-19 0:37:21

病毒通过替换beep.sys加载恶意驱动,选择阻止

2.JPG (39.33 K)

2008-9-19 0:37:21

3.JPG (9.53 K)

2008-9-19 0:37:21

4.JPG (35.67 K)

2008-9-19 0:37:21

本以为这样病毒被我们成功防住，但不一会又反复出现了相同的主动防御对话框，难道刚才没拦住？不是。究其原因是因为瑞星只是拦截了病毒的相关动作（修改时间，创建autorun.inf）但未对病毒本身进行任何操作（结束进程，删除文件等）。这样的直接后果就导致瑞星主动防御即使发现了病毒可疑行为，但瑞星病毒库中没有该病毒的记录，那么普通用户仍然不可能杀掉该病毒，该病毒的威胁（后台下载木马等）继续存在。测试中我们看到瑞星可以和病毒很“和睦”的相处。

5.JPG (67.09 K)

2008-9-19 0:37:21

三、网页挂马拦截测试：

瑞星09的网页入侵拦截可以拦截到大部分网马，下图是拦截到病毒时候的提示

6.JPG (21.74 K)

2008-9-19 0:37:21

但测试中发现有些网马拦截不到，病毒还是运行了。

测试总结以及改进建议

一、瑞星2009的四大亮点

1． 木马入侵拦截

此为瑞星09的最大亮点，在当前病毒爆发的时代，杀毒软件更新的速度已经明显慢于病毒更新速度，且病毒对于杀毒软件的反击功能越来越强大。但病毒入侵电脑的途径是明确的，甚至是单一的。目前病毒入侵电脑的两大途径主要是：U盘传播和网页挂马传播。堵住了这两个传播的漏洞，我们就基本上可以高枕无忧，这就是瑞星09带给我们的全新理念。在此可以总结为“杀毒诚可贵 防毒价更高”。

2． 瑞星的自我保护功能比08更强大

测试中发现瑞星的SSDT钩子可以自动恢复，许多依据恢复钩子挂掉杀毒软件的病毒应该已经失效。

3． 瑞星”云”安全计划

刚开始听起来似乎是个噱头，但从瑞星09的设置来看，云安全计划远远没有想象中的那么简单。它是一张网，一张铺的很大的网，它能让每个网民都能为中国的互联网事业做一份贡献。你进入了一个挂马网站，恶意网址被大家分享，随即加入到瑞星相关产品的恶意网址库中；他中了一个新的病毒，病毒上传到瑞星公司进行了分析，随即加入到瑞星各个产品的病毒库中，供全网升级，那么他之后就不会再有人中相同的病毒了。但这可能需要一个积累的过程，而且需要广大网民的配合，和瑞星一起编织一个保护中国互联网安全的大安全网。

4． 断点续查

断点续查有效解决了用户因为时间问题停止查杀而下次又从头查杀的不便。杀毒从此也可以“断点续传”了。

5． 启发式扫描？

测试中发现了瑞星的扫描设置里面增加了深度扫描和扫描可疑文件的选项，这是否是瑞星的启发扫描呢，这还需我们进一步进行观察。

二、瑞星2009的五大人性化设置

1.白名单

瑞星09的白名单重新进行了设计将其独立了出来，并且可以将用户在主动防御弹框后放过的程序自动加入到白名单，避免了反复提示给用户带来的不便。

2.验证码问题

以前关闭监控或者进行软件设置都需要输入验证码，且每次都需要。瑞星09在输入一次后且在不重启的情况下无需再重新输入验证码，充分考虑到了用户的需求。

3.瑞星密码

曾经有很多人提出要设置密码保护自己机器上的瑞星不被人为篡改，09增加了这个功能，并可以对各种操作进行设置。

7.JPG (41.19 K)

2008-9-19 0:39:17