众望所归中,瑞星杀毒软件2009如期出炉,本人也有幸第一时间在论坛拿到了公测包,并进行了为期几天的测试,测试中发现了一些让我们惊喜的地方,也发现了一些尚不如人意的地方。从瑞星09的设计上来看,我们可以以一句话总结出来瑞星09的设计思想,亦即本文的题目:杀毒诚可贵 防毒价更高。
安装过程
等待机器重启及瑞星相关组件安装完毕之后进入了瑞星设置界面
在设置主页上
可以看到瑞星前些日子推出的“云”安全计划,由此我们可以推断瑞星主推的“云”安全计划将渗透到09的各个产品线中。我们可以根据需要选择是否经加入该计划,以及上报的内容:杀毒结果,可疑文件,可疑网址。下方增加了一个“系统安全环境检查”,在安装后即进行检查,具体检查内容未知,应该是检查是否存在可疑进程之类的吧。
下一页:瑞星密码:这个是瑞星09新增的功能,为了满足不同情况下瑞星用户的需求,我们可以对瑞星的设置,卸载等过程设置密码,防止病毒以及其他人为的改变瑞星的设置。
接下来的查杀设置,定时升级等和08版本相同
使用测试
安装好后,打开瑞星软件主界面,界面比较清新的说~~
格局和08基本相同,分为首页,杀毒,防御,工具,安检
一、首页部分:在左下方增加了产品状态显示
分为工作模式和当前用户
工作模式:当选择静默模式的时候,瑞星监控到病毒文件直接删除不提示用户
当前用户:当选择普通用户的时候,用户无法对瑞星的某些设置进行更改
二、杀毒部分:和08基本相同
三、防御部分:可以看到瑞星09在这部分上花费了很大功夫。这部分已经将监控和原先的主动防御整合到一起,努力为用户构建立体防御体系
1.智能主动防御:
(1) 系统加固:由2008移植而来,打开它的界面仔细和08的对比下发现了一些新增的拦截点。首先,系统动作监控增加了“修改系统日期和时间”,“关闭电脑”,“使用摄像头”,“底层磁盘访问”等新的拦截点。对于那些恶意修改时间导致杀毒软件过期以,清除病毒中恶意关闭电脑的病毒,能强制开启摄像头的后门程序,类似机器狗等的从直接通过底层磁盘访问修改系统文件的病毒有了进一步的防御能力。
注册表监控,关键进程保护和08没有太大区别
(2) 应用程序控制
仔细研究了下此功能,应该说此功能整合了之前的“程序启动控制”,“应用程序访问控制”我们来仔细看下这个功能。
选择该模板进入,可以发现分为了几个不同的程序限制策略
访问文件:可以监控该进程对某个文件夹以及某个特定文件的改动
访问注册表:可以监控该进程对某个注册表的整个键以及注册表的某个微小的键值的改动
启动其他进程,自身被启动(由程序启动控制而来):可以监控该进程启动其他进程的行为,以及该进程被其他进程启动的行为。
另外瑞星提供了更加人性化的设置,高级用户可以把自己设置好的规则模板保存下来给其他用户使用。
导出模板
导入模板
(4) 木马入侵拦截:
该功能是瑞星09的最大亮点,也同时体现了瑞星09的全新理念。防毒胜于杀毒。我们知道目前情况下,病毒主要通过网页挂马和U盘这两大途径传播,瑞星09在这方面做足了功夫,对于这两大病毒易侵入的漏洞实施了“有效填补”。
首先U盘入侵拦截:从测试中来看,这个功能的实现应该很简单,就是很简单的禁止了U盘上的可执行文件的执行,这样直接通过双击自动运行的病毒就可以基本上挡在门外了。但其他U盘上的可执行文件同样都必须通过用户确认才能运行,那么这是不是有点“因噎废食”呢?
2. 实时监控
六、软件设置部分
这里只介绍09增加的内容。
2.查杀设置部分
查杀的病毒类型里面新增了对“可疑文件”的查杀(瑞星的启发扫描?尚不得而知)
优化部分:增加了报壳名和深度扫描两部分。深度扫描(瑞星的启发扫描?尚不得而知)
软件功能测试
一、
自我保护测试
自熊猫烧香时代开始,病毒似乎开始变“被动挨打”为“主动进攻”。他们在实施各种行为(下载木马等)之前会对杀毒软件进行攻击,因此杀毒软件的强壮与否也直接决定这场斗争的“你死我活”。
在基于对各种病毒的了解基础上,我们得出以下病毒通常的破坏步骤恢复SSDT使得杀毒软件钩子失效,结束杀毒软件进程,删除相关注册表键值,对杀毒软件进行映像劫持,并配合查找相关窗口发送关闭等消息阻止用户打开杀毒软件。
下面我们就分别使用这几种手段对瑞星09进行“破坏性”测试。最后还将使用几个流行病毒测试瑞星09的自我保护能力。
1.恢复SSDT
瑞星08在恢复SSDT后,便可以对其“胡作非为”看看09的吧。
我们使用rootkitunhooker对09的SSDT钩子进行恢复,恢复后再用rootkitunhooker扫描发现瑞星09的钩子又自动挂上了。在使用了冰刃等工具恢复SSDT后也有同样的效果,钩子被自动恢复了。看来瑞星09加入了该功能,如果真的是这样的话,那么目前恢复钩子的病毒对瑞星应该就没有用了吧,一会我们再用病毒看~
2.结束杀毒软件进程
由于挂了相关钩子使用任务管理器等当然无法结束瑞星进程。其他工具如冰刃等仍可结束进程,但这并非是判断自我保护是否有效的方法,后面我们用病毒测试。
3.映像劫持
模拟病毒:关闭瑞星自我保护,结束瑞星监控进程,打开注册表编辑器建立对瑞星各个进程的映像劫持项。
试验中对RsMain.exe,RavMond.exe,RsTray.exe(小伞)等进行映像劫持
发现瑞星主程序在映像劫持的情况下仍可以正常开启。
但RavMond.exe和Rstray.exe无法被开启
但我们利用cmd命令启动RavMonD服务,此时RavMond进程被顺利启动,瑞星监控启动,RsTray.exe也可以启动了。
由此证实瑞星可以在一定条件下可以不被映像劫持所影响。但尚待进一步使用其它方法证实。
4.模拟发送消息
我们使用spy++软件对瑞星主界面发送关闭等的消息
很可惜,我们可以自由的对瑞星主界面发送消息。这点甚至还不如08的自我保护。
下面开始进行病毒对瑞星自我保护的攻击测试,在此我们选择“磁碟机”病毒
因为磁碟机几乎集合了上述所有的破坏功能。恢复SSDT,结束杀毒软件进程,发送模拟消息等。
关闭瑞星所有监控,只开启自我保护
运行磁碟机病毒,发现瑞星的各个进程均未被结束,且弹出自我保护的提示。
但打开瑞星主界面后,仍然由于磁碟机频繁的发送垃圾消息而崩溃。
该测试也证实了我们之前所推测的,恢复SSDT对瑞星已经无效但仍可以发送消息关闭瑞星。
重启计算机试试,重启后发现瑞星小伞(RSTray.exe消失)。但其他进程(RavMond.exe等)仍健在。也就是说其实瑞星监控仍然在开启。由于瑞星主界面和小伞已经被干掉了,虽然监控还在,但已无法与用户进行交互了,所以此时瑞星已经相当于一个“哑巴”,有话也说不出来了。
二、主动防御测试:
下面 关闭瑞星的文件监控,开启瑞星所有的主动防御功能测试其拦截功效
此时我们使用瑞星默认的拦截功能测试某U盘病毒对系统的攻击。
病毒通过替换beep.sys加载恶意驱动,选择阻止
本以为这样病毒被我们成功防住,但不一会又反复出现了相同的主动防御对话框,难道刚才没拦住?不是。究其原因是因为瑞星只是拦截了病毒的相关动作(修改时间,创建autorun.inf)但未对病毒本身进行任何操作(结束进程,删除文件等)。这样的直接后果就导致瑞星主动防御即使发现了病毒可疑行为,但瑞星病毒库中没有该病毒的记录,那么普通用户仍然不可能杀掉该病毒,该病毒的威胁(后台下载木马等)继续存在。测试中我们看到瑞星可以和病毒很“和睦”的相处。
三、网页挂马拦截测试:
瑞星09的网页入侵拦截可以拦截到大部分网马,下图是拦截到病毒时候的提示
但测试中发现有些网马拦截不到,病毒还是运行了。
测试总结以及改进建议
一、瑞星2009的四大亮点
1. 木马入侵拦截
此为瑞星09的最大亮点,在当前病毒爆发的时代,杀毒软件更新的速度已经明显慢于病毒更新速度,且病毒对于杀毒软件的反击功能越来越强大。但病毒入侵电脑的途径是明确的,甚至是单一的。目前病毒入侵电脑的两大途径主要是:U盘传播和网页挂马传播。堵住了这两个传播的漏洞,我们就基本上可以高枕无忧,这就是瑞星09带给我们的全新理念。在此可以总结为“杀毒诚可贵 防毒价更高”。
2. 瑞星的自我保护功能比08更强大
测试中发现瑞星的SSDT钩子可以自动恢复,许多依据恢复钩子挂掉杀毒软件的病毒应该已经失效。
3. 瑞星”云”安全计划
刚开始听起来似乎是个噱头,但从瑞星09的设置来看,云安全计划远远没有想象中的那么简单。它是一张网,一张铺的很大的网,它能让每个网民都能为中国的互联网事业做一份贡献。你进入了一个挂马网站,恶意网址被大家分享,随即加入到瑞星相关产品的恶意网址库中;他中了一个新的病毒,病毒上传到瑞星公司进行了分析,随即加入到瑞星各个产品的病毒库中,供全网升级,那么他之后就不会再有人中相同的病毒了。但这可能需要一个积累的过程,而且需要广大网民的配合,和瑞星一起编织一个保护中国互联网安全的大安全网。
4. 断点续查
断点续查有效解决了用户因为时间问题停止查杀而下次又从头查杀的不便。杀毒从此也可以“断点续传”了。
5. 启发式扫描?
测试中发现了瑞星的扫描设置里面增加了深度扫描和扫描可疑文件的选项,这是否是瑞星的启发扫描呢,这还需我们进一步进行观察。
二、瑞星2009的五大人性化设置
1.白名单
瑞星09的白名单重新进行了设计将其独立了出来,并且可以将用户在主动防御弹框后放过的程序自动加入到白名单,避免了反复提示给用户带来的不便。
2.验证码问题
以前关闭监控或者进行软件设置都需要输入验证码,且每次都需要。瑞星09在输入一次后且在不重启的情况下无需再重新输入验证码,充分考虑到了用户的需求。
3.瑞星密码
曾经有很多人提出要设置密码保护自己机器上的瑞星不被人为篡改,09增加了这个功能,并可以对各种操作进行设置。
