新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件V16+ 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[疑似bug] 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！

本主题由大版主 zgr稳得起于 2012-12-26 22:37:20 执行移动主题操作

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-07 12:36 \| 显示全部短消息资料字号：小中大 11楼回复 20F virusmaster 的帖子今早看到20楼的留言后，本人再次抽空一个多小时，在一台P4 1.5G 内存512MB的闲置台式机上初始化硬盘全新安装了XP SP3纯净版（绝对保证纯净原版）系统，并未做任何系统优化设置（精简删除多余系统服务等），只安装了瑞星V16版本24.0.8.28，同时也未禁止【popwndexe.exe】进程的运行和启动，并添加设置了内核加固－用户规则中的注册表锁定项，重启系统后测试了启动项修改拦截功能依然无效，但本次测试中发现了一个细节，应该是瑞星V16版的一个严重BUG或遗漏的地方，就是注册表启动项拦截仅对【HKEY_LOCAL_MACHINE】分支有效，对【HKEY_CURRENT_USER】分支绝对无效，这个可以用酷狗音乐和阿里旺旺的设置中选择开机自动启动测试。另外，在这台P4老台式机中，瑞星V16的运行比之前安装2011版时明显占用系统资源和内存，这个问题也是不争的事实。最近几次进行严格测试的系统环境绝对安全稳定，系统关键位置包括MBR均正常，绝对排除任何病毒（鬼影）和软件冲突造成 0001.jpg (318.11 K) 2013-1-7 12:47:53 0002.jpg (307.32 K) 2013-1-7 12:47:53 0003.jpg (263.82 K) 2013-1-7 12:47:53 我这里想说的是，我可以对自己在本帖中提到的问题绝对负责，因为在提问之前就做了认真严格的测试，我不是在这里无理取闹，也没这个时间，至于QQ远程协助，本人不是没有QQ，我自己的QQ等级50级，但从未开通应用过空间、微博等无聊功能，平时只用来留言和给用户远程协助，本帖中的问题根本无需瑞星官方人员远程，问题的关键就是，我一直在反复动手测试，并试图找到原因，而我本帖中提到的问题，试问对我持怀疑态度的用户，你们自己动手测试过吗？目前该问题的测试版本为瑞星V16版本24.0.8.28，希望瑞星官方发现此问题后，升级修复之前，大家自己动手参照我一楼给出的注册表项，然后用我提到的2个软件设置修改启动项试试吧系统启动项注册表如下： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 设置拦截锁定功能无效 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 设置拦截锁定功能无效酷狗音乐启动项.jpg (176.04 K) 2013-1-7 12:38:24 淘宝旺旺启动项.jpg (145.39 K) 2013-1-7 12:38:24 还有IE浏览器首页注册表如下：这个就不用截图了吧，大家都知道在那里修改 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 设置拦截锁定功能无效腾讯王八蛋最后编辑于 2013-01-07 17:25:28
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-10 13:27 \| 显示全部短消息资料字号：小中大 12楼回复: 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！引用: 原帖由瑞星工程师12 于 2013-1-9 13:44:00 发表测试了酷狗，仍然无法复现您所说的问题。首先，昨日看到瑞星工程师的回复后，本着认真负责的态度，昨日一整下午再次抽空在闲置的老式台式机中安装了Windows2003系统和Windows7 32bit和Windows7 SP1 32bit旗舰版纯净原版系统，并未做任何精简系统服务和优化设置，随后都只安装了瑞星V16新版24.0.8.36版本，测试过程为断网环境，保证安全稳定，始终未连接任何网络。具体细节如下：发现一个多数用户普遍反映的问题，就是安装到99％后无响应，这个和电脑硬件配置有关，我个人总结，安装V16版的电脑，CPU至少要双核2G，内存2G以上，否则就会出现安装到99％无响应，我在win2003系统下安装到99％时等待了5分钟以上，而这台老式电脑在win7系统下安装到99％后，至少等待了15分钟以上，最终因无法忍受，强制重启电脑，导致在老台式机的win7环境下瑞星V16随能正常启动加载，但系统内核加固页面崩溃错误无法保存，既然V16对电脑配置要求很高，为什么不在V16下载首页中特别说明安装所需系统环境和电脑配置要求呢？其次，昨日下午在老台式机的win2003系统下安装瑞星V16版后，测试了系统内核加固中的注册表拦截锁定功能，依然是仅对【HKEY_LOCAL_MACHINE】所有用户分支有效，对【HKEY_CURRENT_USER】当前用户分支绝对无效，为了再次证实V16的严重BUG，后来在家里在用的瑞星2011版中，把系统内核加固中的默认模板的启动项拦截对钩取消，手动添加HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\两个启动项注册表拦截项后，测试了酷狗等软件是否可以修改启动项，结果是瑞星2011版拦截锁定功能有效，这里还要说的是为什么V16版取消了默认初级、中级、高级的默认模板功能，而每项都要用户手动添加，这样即使功能有效也会很不方便，另外这里也没有导入、导出功能，如果每次都手动逐一添加好多注册表太麻烦了。因昨日下午在老台式机中的win7环境测试失败，今日上午在单位的E7500双核2G内存LENOVO台式机中再次安装了win7 SP1 32bit旗舰版纯净原版系统，并未做任何精简系统服务和优化设置，随后都只安装了瑞星V16新版24.0.8.36版本，测试过程为断网环境，保证安全稳定，始终未连接任何网络，在这台配置稍高的电脑中，安装过程很顺利，没有出现安装到99％后无响应的问题，随后测试了系统内核加固中的注册表拦截锁定功能，本次测试结果依然是仅对【HKEY_LOCAL_MACHINE】所有用户分支有效，对【HKEY_CURRENT_USER】当前用户分支绝对无效，瑞星V16对【HKEY_CURRENT_USER】当前用户注册表项可以说置之不理，根本无视篡改，本人严格反复测试了多个软件修改启动项和系统IE首页，结果都是一样，测试中唯独迅雷修改的是【HKEY_LOCAL_MACHINE】所有用户分支下的启动项，所以拦截锁定功能有效，但凡修改【HKEY_CURRENT_USER】当前用户注册表项均无效。因看到用户评论瑞星V16在win7 64bit下功能不完整，所以暂没有在win7 64bit系统下做测试。同时瑞星V16在各测试系统环境下的数据库会打包上传到附件中。安装V16版的电脑，CPU至少要双核2G，内存2G以上，否则就会出现安装到99％无响应，强制启动系统后，瑞星设置界面无法保存并崩溃 win732bit.jpg (268.81 K) 2013-1-10 13:27:57 电脑配置E7500双核2G内存LENOVO台式机中安装win7 SP1 32bit旗舰版纯净原版系统和瑞星V16后的设置界面截图 win732bit-1.jpg (471.77 K) 2013-1-10 13:27:57 win732bit-2.jpg (456.92 K) 2013-1-10 13:27:57 win732bit-3.jpg (392.48 K) 2013-1-10 13:27:57 综上所述，我可以绝对负责的否定瑞星工程师在本帖22楼中的回复和测试结果，既然本站浏览的用户都是菜鸟或没有用户愿意亲自动手测试本帖中提到的问题，就只能日后在各大门户网站论坛及安全相关网站论坛和贴吧中同步转载本帖全部内容了，另为了避免本帖在本站被恶意删除，本帖所有内容和截图已经做了备份，本人并非不愿意接受瑞星官方工程师的远程协助，而是此类问题完全无需远程，即使远程也无法解决V16的严重BUG，最后我都在怀疑开发V16的工程师是否没有得到上一个版本瑞星2011的内核代码，还是故意留下一个监控缺口，留给永久免费换来的流氓软件肆意篡改启动这样的代价？附件: 文件名:win732bit-Rav.rar 下载次数:213 文件类型:application/octet-stream 文件大小: 上传时间:2013-1-10 13:27:57 描述:rar 附件: 文件名:win732bit-Settings.rar 下载次数:215 文件类型:application/octet-stream 文件大小: 上传时间:2013-1-10 13:27:57 描述:rar 附件: 文件名:win2003server-Rav.rar 下载次数:278 文件类型:application/octet-stream 文件大小: 上传时间:2013-1-10 13:27:57 描述:rar 腾讯王八蛋最后编辑于 2013-01-10 20:02:19
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-10 19:45 \| 显示全部短消息资料字号：小中大 13楼回复：新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！既然如此，我稍后会把我的QQ号在论坛短消息中发送，但本号码已经好多年不加人了，希望您把QQ号码发给我，明天上午我到单位后加您QQ号码，大概9点左右开始远程，让您可以亲眼见证我提到的问题，我真不清楚您的测试环境，是什么版本的系统，手动添加了哪个神秘注册表启动项拦截项，可以有效锁定系统启动项不被篡改，我对任何事都很认真，凡事一定要搞个究竟，明天远程吧，我的单位的是无线网，不是很快，希望可以顺利解决此问题
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-10 23:16 \| 显示全部短消息资料字号：小中大 14楼回复 24F 瑞星工程师12 的帖子论坛短消息已发送我QQ号同时加了几日前您留下的QQ号，同时为了确保明天的远程顺利进行，避免我单位的无线网络不稳定，晚饭后，我把家里的笔记本，重新安装了XP SP3和win7 SP1原版纯净系统和瑞星V16版本，并各做了备份，以备明天可以随时恢复这两个系统，截止刚才两个系统环境下测试V16的注册表拦截锁定功能，依然是当前用户项和IE首页无法拦截锁定被篡改，一切就绪，只等明天的远程了
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-11 11:04 \| 显示全部短消息资料字号：小中大 15楼回复：新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！本帖中提到的问题，经过今天上午近2个小时的远程协助现场，最终在win7系统下找到了原因，希望瑞星后续改进对系统服务的依赖，增加本帖中提到的建议，例如在V16中恢复2011版的系统内核加固模板（初级、中级、高级）并增加注册表自定义项中的导入和导出功能，同时减少右下角的提示信息（设置为可以选择不再提示，或者在设置界面中选择不弹出任何提示）否则右下角弹出一个提示就要选择【不再提示】太麻烦了，最后希望瑞星能够越早越好，继续走专业的道路，谢谢了！
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-13 15:09 \| 显示全部短消息资料字号：小中大 16楼回复 32F 收费模式更安全的帖子瑞星V16环境下，即使IE主页设置为about:blank（空）点击IE浏览器也照样会打开瑞星绑定的网址，这就是瑞星免费的推广，换回瑞星2011版，在详细设置－系统内核加固－模板修改－注册表访问－当前用户及本地电脑IE浏览器首页－选择拒绝，或者自己手动添加注册表如下：[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\就可以了，也可以参照本帖7楼中的瑞星2011版设置，以上这2条注册表也可以添加到V16版本中，自己试试有没有效果？本帖中提到的问题，瑞星工程师通过远程找到了原因并回复已做程序修改，但不知道是否通过测试并已经上传到升级服务器？瑞星工程师12回复：“瑞星V16环境下，即使IE主页设置为about:blank（空）点击IE浏览器也照样会打开瑞星绑定的网址，这就是瑞星免费的推广”这个说法并不属实，瑞星安全网址的推广是通过升级窗口提示的，如下图 a.jpg (104.43 K) 2013-1-17 12:19:37 瑞星工程师12 最后编辑于 2013-01-17 12:19:37
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-16 10:53 \| 显示全部短消息资料字号：小中大 17楼回复: 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！引用: 原帖由瑞星工程师12 于 2013-1-11 13:11:00 发表程序已经改完，正在测试中，测试完毕后将升级出去。请您耐心等待。 5天后，今日再次恢复win7 32位系统和瑞星V16版本环境，并升级瑞星到最新版24.00.08.52后，测试了本帖中的bug，问题依然不能解决，如果瑞星V16内核功能无法修改，请务必不要停止瑞星2011版的病毒库后续升级，且不要实施跨版本升级到一个不成熟的半成品V16版本，同时还测试了其他用户反馈的IE浏览器主页强制捆绑问题，在IE8浏览器和IE9内核下，主页设置为www.hao123.com后，左侧显示为红色【瑞星锁定】字样，其实就是瑞星锁定的推广页面，但不是每次打开IE浏览器都会推广，推广地址为http://www.hao123.com/?tn=29065018_89_hao_pg 和http://www.hao123.com/?tn=29065018_163_hao_pg 主页设置为www.2345.com后，左侧无红色【瑞星锁定】字样和此推广现象，在IE8和IE9浏览器内核下，即使在V16系统内核加固中设置IE浏览器注册表锁定拦截项主页均不能锁定IE主页被随意修改，系统启动项注册表也不能锁定拦截，此问题到目前依然不能得到解决，效率也太低了吧，还是瑞星官方不愿意修改此bug，怕此功能与后续的流氓软件和广告推广造成冲突？瑞星v16已升级至今日最新版 24.00.08.52.jpg (262.17 K) 2013-1-16 10:53:48 hao123.jpg (119.80 K) 2013-1-16 10:53:48 2345.jpg (118.58 K) 2013-1-16 10:53:48 ie8.jpg (295.43 K) 2013-1-16 10:53:48 ie9.jpg (570.35 K) 2013-1-16 10:53:48
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-22 21:20 \| 显示全部短消息资料字号：小中大 18楼回复: 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！引用: 原帖由瑞星工程师12 于 2013-1-21 14:53:00 发表注册表问题已解决，请将V16升级至最新版本观察。今日看到瑞星工程师的回复，下午在白忙之中再次抽空恢复了XP SP3和Win7 32BIT两个系统环境，并升级V16到最新版做了测试，虽然目前我不使用V16版本，还在使用2011版，但为了长远考虑和严谨负责的态度，还是在两个系统环境下做了反复的测试，测试结果依然是失望，注册表拦截锁定功能无效。 24.00.08.62.jpg (251.43 K) 2013-1-22 21:20:35 既然当时远程协助后找到了原因（可参考本贴28楼），就要把瑞星内核做修改或调整，不要依赖server和Workstation系统服务，经过下午在两个系统环境下，修改系统服务server和Workstation为手动或禁用，反复重启系统测试后，发现瑞星V16要同时依赖（注入或插入）server和Workstation这两个系统服务才能对注册表【HKEY_CURRENT_USER】分支有效拦截锁定，server服务我本人是一定要删除的，因为在2003年左右开始研究各种病毒木马样本时，就深知server服务的重要性，该服务是多数病毒木马依赖的通道，如果不是企业局域网用户，启用该服务会很危险，作为个人家庭用户，启用该服务根本没有意义，试想一下，如果病毒或木马入侵到本地系统后通过篡改系统服务server或Workstation这两个服务中任意一个的启动类型为手动或禁用，重启系统后，瑞星V16的系统内核加固即崩溃，将是多么的危险，本人发现的这个BUG绝对是瑞星V16版的致命严重BUG，如果手动将系统服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\锁定，虽然可以阻止系统服务server或Workstation的启动类型被篡改，但对初级用户来说将会出现很多麻烦，例如不能顺利安装系统核心软件或安装硬件驱动，且在Win7系统下出现不能访问网络的问题，但如果不手动添加对系统服务的拦截锁定，将面临系统服务server或Workstation的启动类型可以被随意篡改，最终导致瑞星V16的内核防御体系全面崩溃！本不想在此解释的太过详细，就是考虑到此BUG可能会被别有用心的病毒木马开发者利用，所以当时远程协助后就没有在本帖28楼中说的过于详细，但今日再次测试后感觉到的是失望和恐惧，本次瑞星工程师回复中提到的软件更新，仅仅是增加了右下角可以选择不再提示的选项，综上所述，瑞星V16的内核加固要远远低于瑞星2011版，且占用系统资源要高于瑞星2011版，最后还是希望瑞星高层能够重视本人在此提出的问题，后续修改瑞星V16对系统服务的依赖，测试时可以将系统服务server或Workstation的启动类型设置为手动或禁用，重启系统后再做严谨的测试，并逐步完善瑞星V16版本，做回自己专业的版本！
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-01-26 12:13 \| 显示全部短消息资料字号：小中大 19楼回复: 新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！引用: 原帖由瑞星工程师12 于 2013-1-23 9:57:00 发表已给您QQ留言，请注意查收。此问题仍需现场调研，请在您时间方便时QQ联系我。感谢您对瑞星产品的支持！经过23日第二次现场调研（远程协助）后，瑞星工程师用DebugView查看瑞星V16的内核加固功能依然有问题，并留言需要继续修改，截至今日，本帖提出的问题已经整整一个月了，不知后续的修改进度如何，期待V16的各项功能逐步完善瑞星工程师12回复：问题已解决，请将V16升级至最新版本观察。瑞星工程师12 最后编辑于 2013-04-24 09:14:30
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:	发表于： 2013-04-10 13:18 \| 显示全部短消息资料字号：小中大 20楼回复：新V16版本不能锁定注册表，系统内核加固功能无效，对新版本真的很失望！昨晚开始的瑞星升级严重BUG问题，暂不清楚是否只针对WIN7 64系统，目前官方已经停止了2011版的升级，应该是在紧急处理此次问题，升级就更新病毒库就OK了，没事安装加载什么底层驱动文件，是否准备搞跨版本升级到V16的工作，如果那样就完蛋了，V16版还有很多问题，且不稳定，这里再次郑重希望瑞星官方不要将2011版跨版本升级到V16版，踏踏实实走原来的专业路线，仅升级病毒库文件就可以了，搞这么多花样干什么，惹来这么多麻烦，把形象都搞臭了！
腾讯王八蛋快乐黄口狮帖子:153 注册: 2012-12-25 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT