瑞星卡卡安全论坛

网剑对瑞星2009第一阶段测试报告于9月13号完成
现在，由本人上传，希望瑞星工程师能够过目，对本报告中所提及的问题，做必要的修改，以提高瑞星2009正式版的可靠性。谢谢！
网剑组对本次报告声明如下：
网剑组很荣幸参加rav2009测试，对于此次测试，网剑组进行了前期的必要准备，力求测试的客观性公正性。本次测试由网剑瑞星组成员panxiaoting按照9月7号制定的测试预案进行了测试。笔者保证该报告内一切数据的真实性！仅以此报告反馈瑞星公司，除网剑的空间和卡卡社区外，拒绝其他形式的转载。谢谢！

网剑瑞星组成员panxiaoting
报告电子文档放在本帖附件中，谢谢～！:default7: :default5:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA)

附件: 网剑组对瑞星2009第一阶段测试报告.rar

写得很好

似乎在测试方面比较严格，但具体的设置还是没提及。

回金星版主
此次测试的原则是贴近一般用户
所以，测试部分一般选择【最高用户】（这在报告中有提及）
没有人为编辑应用程序访问规则，和HIPS的手动设置。

等待你们的第二阶段测试报告

回RIS2009
估计会在十一期间发布第二阶段报告
接下来，我要去网剑江民组那里协助网剑对江民2009测试，十一见啦～～

问一个问题
为什么我们学校的那个瑞星对病毒置之不理？
病毒为优盘病毒熊猫烧香等其他要替换系统文件的病毒
为什么双击打开优盘之后熊猫烧香还在那？优盘病毒在上完课之后瑞星才反应过来触发了规则被删除了？？？:default11:

写得好!

很多人使用冰刃尝试结束瑞星进程或破坏瑞星注册表的值，结果有些的确可以破坏，于是很多人就得出结论说瑞星自我保护有还不够好，并反推假设冰刃是病毒瑞星就被破坏了。
但是事实上，如果你要安装冰刃，就必须用瑞星放过冰刃的驱动加载等操作，也就是说，如果你瑞星不放过冰刃，冰刃根本无从运行，也就无法对瑞星干什么坏事。这点大家一定要明确，也就是说假如冰刃是病毒，只阻止他要我们的加载驱动等操作，瑞星还是比较安全的。

同意楼上
如果算上[最高用户]的[系统加固]设置,那么,很多可以破坏瑞星的病毒是可以被[系统加固]拦截的.

4、    auto类病毒入侵实验。
说明：目前还不清楚瑞星2009防御u盘病毒的具体原理，不便测试。该部分的测试目的是测试在瑞星U盘入侵防御开启的情况下，带有感染性质的蠕虫病毒是否能够通过u盘侵入用户系统。该测试被延后，请谅解。


这个我可以来补充
瑞星的原理是只要U盘上有EXE等程序运行就会发出警告要是点拒绝程序就无法运行了。
我实在是不知道说什么好:default3: :default3:

希望测试能更为严格，看了测试报告瑞星还要加强对未知病毒查杀，主动防御，及自我保护功能.

不错！

diing

哈  我来挑刺  共同进步

1.我们在桌面上放置一个瑞星未知的病毒样本，然后，修改【瑞星杀毒软件】快捷方式指向该病毒，尝试以此欺骗用户加载病毒程序。

这可以理解成一个正常的行为。  最好可以通过编程（有程序运行）的方式改变快捷方式的指向~

2.用工具结束进程 

没有实际意义。

3.在瑞星目录添加删除文件， 删除注册表

没实际意义  病毒删文件、删注册表不是那样删的吧.....

4.瑞星2009恶性病毒启发拦截纵向测试

没看明白这个.....把其他监控都关了就测试 木马攻击拦截？？

这样病毒加载驱动瑞星就挂了饿

5.首先，我们选用了http://www.kjku.cn/jiaoan/softdown.asp?softid=4551恶意网站，结果瑞星没有反映。IE出现错误（图19）.

我比较关心的是系统中招了没~·    中招了  瑞星就失败了  没中招  病毒失败了

6.我们再来试试，从某某地方下载病毒。结果，卡卡助手率先拦截（图20）。

也没看明白....是病毒利用IE下载病毒还是什么？？？

7.接下来，我们尝试修改系统启动信息boot.ini文件内容。一旦操作成功，系统将无法启动。
在系统属性的高级选项卡下，找到启动和故障恢复对话框，单击【编辑】按钮。就可以看见boot.ini(图23，24)
我们试图修改/删除该文件的信息。
很不幸，我们又成功了（图25）

这个应该重启试试  比较有说服力


差不多就这些

顶楼上的朋友!!
我来解释解释
1/修改快捷方式指向是网剑组本次测试特意加上去的环节
在今年5月份,金山毒霸遭遇该类型病毒,用户在点击[金山毒霸]快捷方式和[程序组]试图启动毒霸时,则启动病毒,现在,多种auto类病毒已经放弃auto.inf配置,转而,使用"玩笑程序"诱骗用户点击.所以,我认为这样的测试内容是有必要的.
2、结束进程，是很多非专业测试的必测内容，俺们凑个热闹。知道瑞星不会改。我承认该部分意义不大。
3、在瑞星的相关目录下和注册表键位下添加文件或注册表值。我人为有必要在瑞星自我保护关闭的情况下，存在建立空文件或者debug键值，阻止瑞星运行或修改瑞星运行目标指向的可能。可以透露下，瑞星在研发2008产品时，就注意了所谓“无毒破坏瑞星运
行”的情况。这在瑞星2007的时代，这样的破坏很嚣张。
4、关于『木马拦截』我向各位道歉，这是我的疏忽。测试时，所有软件都只开启了启发的部分。
5、网页保护中，所选的挂马网页出自http://hi.baidu.com/avs_team/blog/item/9a23a516bb406852f3de3292.html
6.用IE下载病毒，是到某病毒样本区，下载未加密的病毒样本。我的疏忽，抱歉。
7、这次实验使用实机完成的，虽然有【江民电脑保护系统】的帮助，但是，还是不敢重启。怕挂。请谅解（能力有限）
再次感谢网友wjzdw，希望和大家多多交流，为网剑对瑞星2009的第二阶段测试打下坚实基础～:default6:
                                                    网剑瑞星组成员：panxiaoting

12楼的朋友，谢谢建议。
网剑组会向这方面努力，争取在十一长假期间拿出更好，更严格的第二阶段报告。
                                      网剑瑞星组成员:panxiaoting

支持国产！

我说说我的经历吧，曾今自己做了个病毒一打开瑞星提示有毒，但是就是删不了，最后瑞星和病毒共存了。
  瑞星主动防御的能力确实是有待加强。

请提供该病毒样本，感谢您的支持。