【卡饭首发\独发】瑞星杀毒2009主动防御【缺陷】集合贴

主动防御智能部分:系统加固、木马模块;但【应用程序控制】从目前设计来看,应属于手动模块。该模块一方面和【系统加固】有些功能重合,另外是其自身还需要细腻和人性化,问题如下:


1.    应用程序控制【优先级】应更人性化

比如通过上下箭头来实现等。

目前情况下,如果用通配符*制定全局规则,先必须制定例外程序规则,然后才能制定全局规则。也就是说,先删除默认的*规则,再制定具体程序规则,最后制定通配符*全局规则。

如果增加例外规则,必须删除*通配符全局规则,再制定例外规则,然后再制定通配符规则。


2.  应用程序控制【不完全支持FD全局】?

比如通配符规则,*    -----FD全局----禁止访问和创建等,部分测试无效。可能和【系统加固】部分冲突,低优先权所致。

3.  提示框不支持规则编辑功能等

4.【系统加固】与【 应用程序控制】---【文件访问】部分功能重合

如何整合?

【系统加固】与【应用程序】---【文件访问】的关系很含糊。
【系统加固】里没有监控操作,实际上,只有只对“创建、修改、删除”三个行为进行监控。对同一系统目录system32下的文件“创建、修改、删除”之触发动作监控,【系统加固】监控优先。

5.【系统加固】仅仅勾选选项,不能添加自定义项

6. 【 应用程序控制】之【系统动作监控】项偏少,和【系统加固】----【系统动作监控】关系暧昧(系统加固多了一个【磁盘底层操作】监控项),比如功能重合?优先级问题?

7. 【 应用程序控制】之【启动程序】过于简单,不能具体定义加载项

8.日志记录内容不全,触发行为,比如拒绝、放过等无记录,需要结合规则查看

9.【应用程序】---【文件访问】不支持通配符

10.【应用程序控制】能否智能化?能否也设计成【默认】和【自定义】?或者增加【社区互动】?

11.既然有白名单,能否有【黑名单】模块?【黑名单】模块应支持通配符、【社区互动】等。

12.【应用程序控制】不支持规则导入功能


暂时写到这些。待续。


瑞星主动防御综合了几种hips的优点,【应用程序控制】有一个小的开始,就应继续完善下去。如果继续做下去,完善只是时间问题。如果不做,【应用程序控制】只是一个半成品,说得不好听一点,就是瑕疵。相信瑞星会做得不错。


当然,【系统加固】在原有的默认和自定义框架内,能支持用户添加自定义规则就更好了。




用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)
最后编辑┾断┡ē誸 最后编辑于 2009-03-14 15:20:41