文件监控策略调整

怎么说呢,这个问题瑞星一直存在,就是关于文件监控的监控策略上欠考虑。


瑞星现行的策略是:
低级监控——只监控可执行文件加载及运行
中级监控——只监控可执行文件变动以及可执行文件加载及运行
高级监控——监控任何形式的文件访问


不难看出这是有很大问题的:
1、我已知的一个免杀制作软件中,就有释放扩展名为.tmp文件,但实际上是可执行的程序,然后直接加载到内存运行,这样瑞星低级、中级监控根本检测不到。
2、我发现瑞星中级监控不监控重命名,很简单的例子:关闭文件监控,把一个病毒扩展名改为.txt,打开文件监控,再把文件改回.exe,文件监控不报警,这极大地带来了安全风险。
3、这样做根本不安全,瑞星的程序类型判断显然是根据扩展名判断的,但实际上这是个极其不安全的做法,应该按照文件头判断文件是否为可执行文件。拿刚刚的例子1来说,释放了一个可执行文件但是扩展名是.tmp,瑞星文件监控的低级、中级监控就废了。


因此,建议调整文件监控策略:
低级监控:监控可执行文件的变动、读取、加载和运行,并且是立即扫描;非可执行文件只监控其读取、加载和运行。
中级监控:监控所有文件的变动、读取、加载和运行,如果判断文件头是可执行文件的话立即扫描,否则,如果只是非可执行文件的变动而不是读取、加载和运行的话,文件监控延缓一小段时间,等文件关闭了以后再扫描,这样的话不但安全而且不会影响性能。
高级监控:监控对文件任何形式的访问以及加载和运行,并且是立即扫描。


还有,瑞星文件监控处理病毒方式有问题,在文件监控正常的情况下,在低级、中级监控下,直接双击病毒,系统提示“函数不正确”,瑞星弹窗,但是病毒并没有被处理,只是没有运行而已,而高级监控下,虽然病毒被处理,但是瑞星却不断执行好几次清除操作才清理掉。说明瑞星关于病毒进程的创建、病毒文件的加载运行的监控方式有问题,而且处理病毒没有采用强制读写文件、强制打开进程的方式。当程序被加载和运行的时候,对于文件监控来说,应该已经是最危险的时候了,因为如果是病毒,一旦没弄好病毒就会执行,所以遇到文件的加载和运行应该在程序被加载之前暂停系统或其他程序对文件的访问请求或进程创建请求,立即扫描,如果安全,恢复请求,如果不安全,直接中断请求,对系统返回拒绝访问或没有权限访问,而不是什么“函数不正确”。

用户系统信息:Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2486.0 Safari/537.36 Edge/13.10586