瑞星卡卡安全论坛

只是畅所欲言啊～

主动防御，也叫主机未知防御体系，可以防御未知的变种，现在变种是铺天盖地啊。。。。。:default2:
  程序控制，注册表控制，文件控制，杀毒软件，组成一个完整的系统
主动防御规则，如果再加入模式识别，就可以智能地判断哪些是恶意程序了，
这样的话我们病毒库的作用会越来越小，不过模式识别需要行为库。。甚至模糊判断。。。
复杂啊。。。脑袋越想越疼

上次看见爱你一个病毒玩法
把，冰刃，SRENG什么的改名，放到SYSTEM32目录下。再在注册表中搞个加载项做为服务加载，比如在USER INIT那儿加载
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,ice123.exe,sre123.exe>  [(Verified)Microsoft Windows]

一些针对瑞星的病毒，我们是不是也可以采用这种策略，让病毒无可奈何

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)

这些招数---------------病毒作者玩儿剩下的。

更进一步：连userinit.exe都给你换掉（这类病毒并不罕见）。

:kaka9: 学长。。。。我没有学长:kaka4:
就是说，注册表位置虽然多但是病毒作者总会有办法啦
病毒为了让自己不起眼，会加壳压缩，这点瑞星动态脱壳很强大


下面还有，
干脆瑞星替换EXPLORER，或者整合到资源管理器
设置安全账户，非安全账户登陆，全部在虚拟的空间中运行

理论上，可行。但是实际做起来就难了，就是微软自己，也未必能做到无缝的结合，更何况是没有源码的瑞星！！
其实杀软和病毒之战，现在已经转入了专家对专家的局面了，现在作病毒的，绝对不是小混混，而是大军阀，水平普遍不低！杀软能干的，病毒也能干。

我们是畅想～，虽然现在不好实现，但我相信我们做地会越来越好

其实，只要我们整体素质上来了，病毒就没活路了

病毒没活路了，瑞星也没活路了，正如狼和羊的关系，是互相促进的。
想法不错的，微软为什么要出杀软？值得深思。有一个东西叫做垄断，还有一个东西叫做门槛

没有“完美”
但有“完美”这个词
我们现在畅想的是完美这个词～～～

整体素质不可能一下子很高，现在是初级阶段:default6: ，只要会合理使用杀软和常用的工具，哪怕是知道该怎样求助，也会有不小的作用

很多求助贴都心急，又不可能都去看置顶的版规

得想想好辙

看了下邪恶八进制的文章，提到注册表监控的不足

先打开想要写入的键的上一层键，例如HKEY_LOCAL_MACHINE | SOFTWARE | Microsoft | Windows | CurrentVersion，得到句柄后再使用这个句柄+Run来操作这个注册表，即可完全饶过瑞星的所谓“注册表监控”，写入注册表。
(2) 没有拦截ZwSaveKeyZwRestroeKey等方式写入注册表。该方法可以彻底饶过瑞星的注册表监控
(3) 没有拦截直接操作HIVE注册表方式
虽然瑞星拦截了ZwLoadDriver来阻止驱动加载，但是木马完全可以写入一个BOOT0的驱动注册表项，等待重启后自然启动，那就可以为所欲为了。

我想都已经解决了吧，那篇文章比较老，不过看看，挺可怕的

结束瑞星进程，是软肋啊

:default6:  我的设想是把未知的东西放到一个虚拟环境中试运行，避免对系统造成伤害，虚拟环境中智能判断该未知的东西 安全情况。这些未知东西可以包括程序甚至行为。

恩，这个虚拟环境现在实现得不少了，可是穿透虚拟的技术也会日渐更新啊

:default6:  道高一尺，魔高一丈。相信那云计划也应该是这样。