1   1  /  1  页   跳转

[原创] 瑞星的综合改进篇

收藏
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2011-04-27 09:01 | 显示全部 短消息 资料
字号: 1楼

瑞星的综合改进篇

一、安装和升级






a、改进老旧的安装模式,建议采用金山的“一键式”安装,摒弃“下一步,下一步”。


b、建议采用像卡巴和金山一样的安装策略----安装时检查安装环境并打开自保,防止病毒在杀软安装时进行破坏。








c、建议改进安装和升级策略,希望在初次安装完成后和升级核心文件时“不要重启”。金山的策略是重启后替换文件,而不是像瑞星关闭监控







d、建议瑞星在升级过程中将下载程序和 安装程序合一,在更新文件时加快速度---就是替换新文件,重启瑞星进程,怎么那么费资源呢?太慢





二、监控和主防



a、建议监控加入 云----进程运行和文件创建时连接云验证,金山和360都有此功能。









b、收集用户的操作数据,如卡巴和金山。指导用户操作。











d、添加进程创建防御,彻底杜绝 像磁碟机和千足虫之类的病毒发作。卡巴有此类功能,有签名和存在云中的进程,卡巴不拦截,估计还考虑到了文件的大小?







e、添加沙盘,如卡巴、江民和金山,它们都有沙盘。










f、建议能像x一样,能记录程序对文件和注册表的操作,并添加一键回滚和打开日志功能。卡巴和江民有注册表回滚功能---当检测到未知木马时,启发引擎报警并回滚!









g、生成常用程序名单,建议瑞星能在初次安装时 生成常用程序白名单












三、扫描




添加云扫描,在后台自动慢速---注意是慢速扫描(目的是不拖慢系统速度,若是用户主动扫描的话,扫描速度就恢复正常),并创建白名单,
这样若全盘扫描和监控时,引擎根据白名单 跳过白名单上的文件,提升系统性能。卡巴和诺顿都有此功能.

详细建议:

http://bbs.ikaka.com/showtopic-8973385.aspx








在全盘扫描完成界面添加 求助  入口和 加入白名单 功能-----用于程序误报!




用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; twchrome)
最后编辑shulun743 最后编辑于 2011-04-27 15:47:11
分享到:
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2011-04-27 09:51 | 显示全部 短消息 资料
字号: 2楼

回复: 瑞星的综合改进篇

四、设置---建议采用pdm机制

建议采用pdm技术 将程序控制和白名单做在一起,你看看瑞星的白名单 有好几个呢!


http://bbs.ikaka.com/showtopic-8835584.aspx
















详细建议请参考:

http://bbs.ikaka.com/showtopic-8835584.aspx




五、拦截规则和驱动

建议瑞星在安装时能随机命名自身驱动,防止病毒释放驱动与瑞星对抗。如:Malware Defender就是采用的随机 命名

改进瑞星的驱动挂钩方式,通过修改 PsTerminateSystemThread 将对 PspTerminateThreadByPointer 的调用改为对HookOfPspTerminateThreadByPointer 的调用,大概是针对目前流行的搜索 PspTerminateThreadByPointer 地址的方法而采取的措施,因为这样修改后,其它驱动程序基本上就搜索不到 PspTerminateThreadByPointer 的地址了。比较奇怪的是,x未对 PspTerminateThreadByPointer 进行挂钩,所以如果通过其它办法得到该地址,x就防不住了。

具体建议:http://bbs.ikaka.com/showtopic-8864579.aspx

另外瑞星的自保还是需要加强:

测试瑞星hips -文件和注册表、符号链接和环境设定:
http://bbs.ikaka.com/showtopic-8939597.aspx

瑞星自保 测试综合帖:http://bbs.ikaka.com/showtopic-8972203.aspx




完善拦截规则(系统加固):将这些 规则并入系统加固(高),这样只有高手才会用到
一般人不会设置成高的,既满足了低级用户的安全性,有满足了hips迷的 需求!!!
最好还是采用 卡巴的pdm技术,利用启发分级程序并放入相宜的组中!!!
具体建议(pdm)请参考:
http://bbs.ikaka.com/showtopic-8835584.aspx

拦截hive 方式  修改 注册表

拦截进程间操作:
操作其它进程的内存
操作 其它进程的线程
进程间的消息操作
复制句柄--进程间
加载dll文件



六、服务和支持

在扫描结束后提供 救助入口,添加 技术支持








建议 瑞星也添加技术支持信息 ,将瑞星那个异常信息收集工具集成到瑞星界面中

很有特色的 创意






建议瑞星能检测使用环境,自动启用防御强度!





建议瑞星检测用户的使用环境!

是家庭 还是工作 或 公用?

然后自动启用相应的防御强度!

卡巴有此功能!
最后编辑shulun743 最后编辑于 2011-04-27 15:49:14
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT