瑞星卡卡安全论坛

操作系统及补丁情况：windows  xp-sp3
    浏览器及版本：ie6.0和世界之窗  2.2
  瑞星软件版本：20.50
      问题现象：狙剑能结束瑞星2009相关进程
    出现问题前的操作步骤：
1.运行狙剑，在“基本功能”中的进程管理中选中“rstray；rsagent；ravmond；”等项，右击选择结束,进程被成功结束！！




  2.运行狙剑，在基本功能中选中内核模块检查，在其中选中“瑞星相关文件”，右击选择破坏文件，则文件被成功破坏！
  3.运行狙剑，在扩展功能中选择文件过滤系统和磁盘过滤系统，分别在右边窗口中选中瑞星的驱动，右击选择摘除驱动！成功完成！！！
在测试中，启动瑞星主程序时，多次提示：“调用  iengine-- construct多次失败”
  4.选择“基本功能”---进程管理,右击选择“查看模块”---选择反注册模块!操作成功！！！对x执行此操作时（当执行反注册模块时）提示“已加载此模块，但无法找到dllunregisterserver输入点，无法注册此文件。请改进瑞星！！！
  5。选择“基本功能”---进程管理,右击选择“查看模块”-----破坏模块。操作成功！！！
 
  6.选中瑞星的进程，右击选择查看打开的文件，--选中打开的文件，对瑞星操作（关闭文件），狙剑没有任何提示，说明打开瑞星进程成功！！！；选择x的进程并执行相应的操作-----关闭文件会提示“打开进程失败，请恢复进程的hook”，
  7.选择狙剑的基本功能中的内核模块检查-在其中选中瑞星的模块。右击选择内存代码效验，会打开一个窗口并且可以对瑞星进行操作（选中一项双击---会在下面的空白框中列出许多项----右击会弹出内存编辑）！！！！对x进行同样操作，会提示“找不到元素” ，元素都找不到，更不用操作了。。。。请测试并改进瑞星！！！
    问题能否复现：（必现/经常/)   



用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; TheWorld)

附件: 进程管理.rar

不要说狙剑了就连金山清理专家都可是干掉瑞星

你们开始是否允许相关软件的驱动的加载,如果允许了那并非瑞星的问题

你这种测试没有多大意义，拿IceSword、SnipeSword等工作于ring0层的反Rootkit工具来测式杀软的自我保护本身就是很可笑的做法，为什么这么说呢？因为你运行SnipeSword时是抱着完全信任SnipeSword的心态来运行的，你让SnipeSword拥有了系统的核心权限，它当然能逮谁灭谁喽，如果SnipeSword是个病毒你还能让它这么轻易拿到核心权限吗?显然不会，如果SnipeSword真是个病毒的话，瑞星要限制它其实是非常容易的，只要开启瑞星的驱动加载防御阻止SnipeSword加载驱动就能废了SnipeSword。

同意楼上的言论~~~比较客观`~~~~~不能拿已装在系统内的进程管理软件去测试瑞星的防护能力`~~这样显然不科学也不合理`|~~~~~~:default6:

360误报的时候干掉了瑞星，何况兵刃和狙剑呢，瑞星要加强自我保护

瑞星的自我保护看上去似乎很严实，其实一直很虚。。。

瑞星的自我保护就是工作在ring0层。
写驱动干掉瑞星容易，写驱动保护瑞星就难了。同等级的驱动对抗没什么意义。
还是拿病毒来测瑞星自我保护吧。

我也知道冰刃和狙剑是内核级的进程管理软件。但是有一点我们一定要清楚，就是江民 2009 和卡巴斯基2009和x为何都能在上述软件的驱动被加载之后，而结束不了呢？？？？？？为何瑞星2009一被加载，瑞星进程就被干掉呢！！！！若阻止上述软件加载驱动，它们就会初始化失败！！！还如何测试呢！！！

这个问题完全是因为瑞星工程师们开发这软件，过于谨慎。

不想做的那么狠的驱动。

因为做到那么狠的驱动，在后期的几千万用户的使用中其不稳定性，会导致瑞星软件使用量下降的。

也许你们会说卡巴和江民的为什么稳定。

那只是你们在一个小范围内看到其稳定性。

在更大的范围内，因为驱动部分的不兼容性导致的问题，会比较多的。

能否告知在哪下的测试啊，我都报名测试了，可是找不到下载啊

http://rising.me/bbs/attachment.php?aid=210&k=80673a18bea9d996622ae29ec35421f9&t=1220933975
不过不是公测版！！！泄露版！！！小心含毒！！！

测试不能脱离现实，你在测试时应该像对待病毒那样去对待狙剑，假如狙剑是个驱动级病毒，瑞星能够拦截到它加载驱动，从这点上来说瑞星在防御“狙剑病毒”上就算是基本合格了至少也不是毫无办法，在强调一次，在对待驱动级病毒方面最好就在ring3层上把战斗给解决掉，不要等着病毒进了ring0层在去想着如何如何去防御它，ring3与ring0就像两个世界一样处在ring3层的病毒想要干掉ring0层的安全软件那简直就是难于上青天，这就好比关在牢房里的杀人狂想把牢房外的人杀掉一样，显然这个难度是相当高的，但是你呢？偏要把杀人狂从笼子里放出来杀人那就没办法了，江民的那个自我保护顶多就是给牢房外的人穿个防护衣，虽然杀人狂一时杀不了但至少大家共处一室，聪明的杀人狂总会找到办法把人给杀掉的。

是啊。。。若病毒的驱动拦截不了呢？？？病毒的驱动要干掉瑞星呢？？？还记得小浩病毒吗？？？以下是一位版主透露的内部消息！！！既然拦不住，自我保护又不好，就只剩下挨打的份了！！！






但是这并不是说2009hips就能达到一个新的高度,因为即使在所有HIPS设置全部打开的情况下依旧有很多方法可以逃避2009HIPS监控.

在虚拟机下实际病毒感染测试也在开始,虽然很多东西还没有明确结果,但是对以前老病毒比如机械狗,小浩等测试相当的奇怪,瑞星2009虽然可以进行提示但是这些老病毒依旧会逃过HIPS的监控发挥作用,甚至废掉2009...虽然具体的一些数据还在测试中但是初步的测试表明2009底层驱动拦截还是有问题的...

HIPS应该是2008时很多热诟病瑞星的地方,现在的瑞星2009确实有改进,但是要是用专业的HIPS测试区看待它就显得要差强人意了.但是回到一个关键的问题如果杀毒软件自带的HIPS可以媲美专业HIPS时那又有多少人会用这款超强的杀毒HIPS呢?

测试的没开始我就说过,我不期望惊喜,只要能看我看到进步我就满足,现在看来确实有个好的开始,虽然查杀和HIPS还有这样和那样的问题,但是关键是我确实看见瑞星的追求的创新!而且毕竟目前只是杀毒软件,其它还没有放出,随着测试深入我们期待瑞星二〇〇九能否给我们带来惊喜！！！




http://bbs.ikaka.com/showtopic-8545642.aspx

该用户帖子内容已被屏蔽

但是没有完善的自我保护的杀软在病毒强悍而猖獗的今天又有什么用呢?自己都保护不了还怎样保护系统呢

什么叫完善的自我保护？狙剑和冰刃干不掉的就是完善的自我保护？很强大的理论。

看了诸位的发言，忽然想起了那个byshell（一个后门）的运作方式：
1、进入系统运行后，删除自身与注册表项。
2、用户关机时，再将自身文件及其注册表加载项写入硬盘。
3、开机加载运行，运行后再删除自身与其注册表项。

不知那位高手能否写一个带驱动的病毒（杀瑞星进程/删瑞星主要文件），且以byshell那种方式运作。如果能实现，瑞星2009能防住吗？
我认为这样测试才能说明问题。