对进程的控制！
瑞星的主防没有控制以下操作：

访问其他进程数据 - 修改其他进程的内存及内存属性，或者在进程间复制句柄。

操作其他进程及线程 - 创建远线程，结束、挂起或修改其他进程的线程，结束或挂起其他进程，或者调试其他进程。

进程间消息操作 - 向其他进程发送消息，或者从其它进程接收消息（如：病毒虚拟发送消息关闭瑞星）。

底层键盘操作 - 直接读取键盘状态，或者模拟键盘输入。

特殊方式写注册表 - 使用注册表配置单元文件替换注册表项，重命名注册表项，或者创建注册表链接。

创建远程线程（拦截注入）

加载dll文件

远程调用com对象

安装键盘钩子（卡巴有此功能）

模拟键盘鼠标操作（如：磁碟机）


系统设备控制（卡巴有此功能）

注册表转储（hiv）

访问服务管理器
     
          d：对注册表的保护！！！
          一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动)
  HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun            REG_SZ              "xxx.exe"
2.session manager(自启动)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute        REG_MULIT_SZ          "autocheck autochk *      xxx"
瑞星就来了一个bsmain，用来开机查毒
不过xxx.exe必须用Native API，不能用Win32API
3.屏幕保护程序(被动启动)
  HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE    REG_SZ      "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式，控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试，瑞星一个未拦！！！



5.      现在很多安软采用了隐藏进程等技术保护自身不被恶软发现（如：x；江民；卡巴；魔法盾等）
      其中Malware Defender的驱动可以在重启中，自动变形！！！（重命名驱动）
      希望瑞星在重启的过程中，驱动和进程能自动变形，能隐藏自身进程，并且卡卡助手的进程管理使用驱动，否则如何查看隐藏进程呀？？？
      在装有卡巴、x或江民的机器上安装卡卡助手，卡卡却看不到上述软件的进程，不是很郁闷吗？上述软件看不到还好说，要是恶软呢？

    希望瑞星能周期性自动挂钩hook！！！


感觉瑞星的云安全应用还有提高的余地！！！
金山网标可以依据“可信认证”-----自动放行安全的连接！！！这一点很智能，而瑞星只能放行带有签名的进程，建议瑞星检测进程的安全性，通过云安全自动放行！！！

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)