瑞星主动防御有一点应当改进

如图,我运行一个需要加载驱动的程序,火绒和瑞星都报“程序加载驱动”,但是很显然,程序路径不一样。

程序加载驱动,其实是相当于让services.exe加载驱动,所以瑞星报了services.exe,但是命令是由“hez2010杀毒 - 副本.exe”发起的,因此火绒报了“hez2010杀毒 - 副本.exe”


这就体现出差别——火绒可以准确的识别出程序路径,但是瑞星不行。

 

设想一下:
有一个病毒程序A.exe在系统中执行破坏,调用services.exe加载驱动,又调用cmd.exe删除系统文件,将代码注入explorer.exe执行恶意行为,然后又释放病毒文件,读取底层磁盘文件等等操作。

如果系统中装的是火绒,假设火绒行为分析引擎报毒,那么因为火绒可以准确的识别出A.exe在搞破坏,因此火绒将A.exe杀掉,回滚A.exe执行的操作然后直接走人,系统丝毫不受影响。
同样的,如果系统中装的是火绒,假设瑞星行为分析引擎报毒,那么瑞星将services.exe的操作拦截掉然后又将cmd.exe操作拦截掉,然后又结束掉explorer.exe使得桌面被迫重启,而A.exe母体仍然运行着,那么系统仍然处于风险当中。况且瑞星没有回滚功能,因此病毒执行的破坏不能被撤销,系统就更危险了。

所以这个问题是急需解决的。

还有一个问题:


观察瑞星系统内核加固的弹窗,发现无用条目太多!建议改进

与其保留这么多无用信息,不如调整成像火绒一样的“操作目标”等等

提供一下测试文件(注:样本没有病毒,建议瑞星解除误报!)


用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 UBrowser/1.0.355.1275 Safari/537.36

附件附件:

下载次数:218
文件类型:application/octet-stream
文件大小:
上传时间:2014-5-11 17:00:49
描述:zip

最后编辑立刻回答 最后编辑于 2014-05-11 17:00:49