测试发现卡巴的防御策略比瑞星先进，既保证了安全性又减少了弹窗，用户体验比瑞星好很多，唯一的缺点就是卡巴的文件资源以及进程监控的拦截点太多(类似瑞星系统加固)，可能性能上有点？谁知道呢？或许就是文件以及程序间的拦截规则比瑞星多了一点点吧（拦截弹窗多


一点？）？


      换句话说，既然卡巴拦截点这么多，弹窗不会烦死用户吧（系统加固弹窗）？不会！卡巴通过划分信任组、威胁组降低弹窗！在这里只谈防御架构或策略，不谈性能！


      首先，瑞星最大的缺点就是为何把xxx给劫匪了呢？瑞星金身不坏？最好加上拦截修改其它进程和设置调试权限？虽然我知道行为防御都监控这些动作，但若是行为防御规则问题，不报警呢?就像v16这个熊蛋！！！


    卡巴的策略就是一旦程序运行，卡巴先检查此程序的安全问题：引擎扫描或云信誉检查！若卡巴检测到未知程序试图运行，会拦截询问？如下图：









此进程既没有签名，云安全也未收录




      这就是卡巴的聪明处，提高了安全性，降低了弹窗数量！你想啊，没有签名并且在云中也没有安全信息，那换做是瑞星，瑞星会弹窗拦截吗？会出一个拦截窗口就结束了吗？肯定不会是吧？肯定很多个弹窗是吧？你看卡巴（如上图），若用户是主动运行的并且知道来源，换句话说程序是安全的，那他就可以点击信任！若不确定就点击限制，那这个程序几乎做不了恶！这样考虑即安全，弹窗又少，何乐又不为呢？




      再说说卡巴的四个组，信任组、低限组、高限组和黑名单组！




限制组分为底限制和高限制组，以瑞星举例，就是打个比方若瑞星进程防御拦截分为：


      1、挂钩子


      2、加载服务


      3、文件读取等等




      打个比方，低限制只拦截加载1项，那高限制就全拦截!拦截的数量不一样，低限制拦截对安全影响小的动作，高限制拦截对安全影响大的！




希望瑞星能像卡巴一样，添加程序控制功能，就像瑞星09版一样，把那个程序控制功能添加到新版！如下图：










说说对瑞星的改进建议：




1、希望瑞星能添加程序运行控制，当然只拦截没有签名并且不在云安全中的程序！就像卡巴一样！不知道好人还是坏人，当然不能放人到咱家是吧？若是坏人进了家门，可就难办了，谁知道瑞星是否干得过他，若像鬼影、磁碟机或敲竹杠那样的恶棍，该怎么办呢？你说呢？










对于没有签名的、云也没有收录的




2、希望瑞星能添加程序分组功能，瑞星自动将系统中程序添加到控制中，减少弹窗！若是安全的，添加到白名单，系统加固不拦截，若是未知的，瑞星就让它受限制运行，看看是放入低限制组，还是高限制组！限制加载驱动，限制加载服务，限制调试，估计就他是个病毒也翻不起天来！













想想防火墙的 自动配置进程联网规则






这样瑞星的防御策略就变成了：


1、瑞星将电脑中安装程序添加到程序控制中，就像瑞星防火墙一样，自动将程序联网创建规则，在这这就白名单、黑名单和限制组！


 



2、建议瑞星添加 程序运行控制，就像卡巴的 那个一样，这样可以减少弹窗！增强安全性！






这样若有未知进程试图运行，若它没有数字签名，就拦截询问限制运行还是放入黑名单这样这个程序也翻不了天，系统 也安全了，弹窗也少了，你说是吧？只要是限制运行的程序，行为防御也分析着，安全性没有降低是吧？弹窗少了是吧？


3、最重要的一点，就是程序控制功能，也就是说在程序控制中的程序规则必须优先于自动放行数字签名和云安全文件！直接将数字签名和云安全文件自动放行功能，变成将带签名和云安全程序自动添加到程序控制功能中！






4、添加个虚拟机或沙盘吧？瑞星太不靠谱了，若嫌卡巴的程序启动控制太xxx麻烦，就不要加启动控制了，希望能让程序直接运行，当然要丢到虚拟机中运行，这样就不会对系统造成破坏了！看看磁碟机 鬼影吧！！！当然我说的是没有签名的程序！

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER