上网本上评RIS(二)----问毒篇

本文旨在进行测试小结,谈一下自己的理解。最后给出一些建议!遇到的细节方面的问题己单独开帖陈述。


    对于2010的查杀率问题,我想对于每一个试用过瑞星2010产品的人来说应该心知肚明,基于瑞星庞大的

云安全网络,以及快速的病毒响应系统,现在的样本收集和入库速度,包括以前大家逅病的升级频率等问题

都得到解决。

    那么,我们从以下几个方面来看一下瑞星对病毒的处理。以下过程为层层递进式的,从病毒源头说起。介绍

瑞星的多层防御体系。

(一)访问挂马网页
有两种拦截途径:A.恶意网址拦截  B.木马入侵拦截
     
对于A种情况:我选择了几个网址:

    http://www.yishang.com.cn/product_text.asp?id=19&;pid= 
    www.pz2z.com
    http://safety.nankai.edu.cn/



对于B类的情况,我想大家应该见到很多。

我们把恶意网址拦截功能关闭,直接去访问那些网站会怎样。试试就知道了!

运行第一个网址:被“木马入侵拦截”给拦截了,如图:





其它的也是可以拦截的,不再一一赘述。大家如果有虚拟机也可以试试,瑞星的拦截率很高。

(2)文件监控/查杀
      如果防挂马也没有拦截到,病毒下载到本地了怎么办。

      那就得靠监控了,瑞星对于文件的创建是有监控的。

      最近的查杀率还不错,既然有 taylor05771  大哥2.34G的大包检测

http://bbs.ikaka.com/showtopic-8647648.aspx)那我也不在这里浪费时间,谈点直观感受,

在各个论坛里找些瑞星不报的样本真是困难。大家有兴趣的可以参考上边的那个帖子,不错。
     
    在这里我再引用卡饭上的病毒测试帖作为说明(http://bbs.kafan.cn/thread-522103-1-1.html

感谢原作者(popfather)和病毒收集小组的辛苦努力。大家有兴趣的话可以关注一下,虽然样本数量

不多,但也算是个抽样检查吧。



(3)行为防御/系统加固
    如果说我们没有查杀到而又运行了会怎么样了。其实还有行为防御,和系统加固保护。今天我特意找来了

在测试rav2010时只拦截了部分的样本(http://bbs.ikaka.com/showtopic-8638413.aspx),当时递交样本

时,工程师的回复是,RIS2010中有网络行为识别,所以用该样本来测试RIS2010,关闭文件监控,运行该样

本。成功拦截。



    另外我还运行了其它的样本,好的我就不说了,在默认的“中”级别下,其实还是有漏掉的,但高级别就很

强悍了,我上报的样本其实好些是在“高"级别下拦截比较完美的。可惜默认不是“高”,估计是出于减少

误报的考虑。其实并不出乎意料,瑞星向来对误报比较谨慎。不过普通用户在装好了软件之后,再将木马行为

防御调到“高”也是一个不错的选择。

下边是我上报样本:
http://bbs.ikaka.com/showtopic-8648501.aspx
http://bbs.ikaka.com/showtopic-8648503.aspx
http://bbs.ikaka.com/showtopic-8648519.aspx

(4)云安全网络
    如果你行为防御也没有拦截,云安全网络就会自动上传这些未知的程序,现在的响应速度很快,在第

一阶段我已经说过了,这里也不废话了。所以此时你只要等待瑞星的升级,估计问题就会很快的解决。

这里既是一个被动又是一个主动的防御过程,对你来说可能是被动的,但对于其它的瑞星用户,它又是

积极主动的。它对于用户来说就是一个互助的网络。



个人体会&建议


(1)自动放行有时很危险,进程查看器里的“安全”标准让人摸不透
   
    这是我测试行为防御时体会到的,其中这个样本我也已经上传了

http://bbs.ikaka.com/showtopic-8648519.aspx),曾经一度以为RIS进行查看器中是以数字签名为标准,

但发现不是。而且与卡卡6.0中的进程查看器也不是统一的,运行了上边这个病毒后,虽然防御了部分

但是后边好多病毒文件都被防火墙自动防行。汗!
 
    对于RAV和RFW的放行标准,我觉得应该寻找更好的标准,这个可能涉及到整体上的改动,虽然

12号工程师曾经解释过,但我依旧认为这里是个遗憾。让人多少觉得有点不灵活。所以也就再提下了



(2)对于RIS2010界面上的说明文字部分,我也有想要建议的地方。如图






(3)加大网站资源的整合

例如,木马入侵拦截的“详细信息”就做得很不错,把卡卡的文件诊所和软件吧联系在了一起。

那么恶意网址是不是也可以和卡卡的网站吧整合在一起呢。或者将整个卡卡平台都统一起来。











用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)
最后编辑LMhust 最后编辑于 2009-07-29 10:53:32