瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星2009公测 » 瑞星2009测试版问题反馈 » 瑞星杀毒软件2009公测 » 工具栏增加rootkit检测工具和可疑文件检测工具
K的二次方 - 2008-9-19 14:28:00
建议现在的工具中增加两个工具
1.rootkit检测工具
2.可疑文件检测工具

第一,现在很多病毒可以挂钩子隐藏自身,比如修改SSDT表挂NTQueryDirectoryFile隐藏自身文件
挂NTQuerySystemInformation隐藏对进程链表改动 隐藏自身进程等等
但瑞星的钩子目前还仅仅是挂在SSDT上的,那么就自然无法检测到这个级别上的rootkit程序,可以检测ring3级别上的隐藏文件(灰鸽子等),但随着病毒越来越驱动化,应该可以预测到以后的病毒会越来越多的通过释放驱动挂钩子隐藏自身,希望瑞星可以单独开发rootkit检测工具,专门检测这些文件和进程(类似专杀性质的),提供在瑞星的工具栏,辅助用户发现某些未知病毒。

第二,可疑文件检测工具
现在的可疑文件检测是在安检中进行的,但似乎我们不知道他是如何检测的,检测到了哪些文件为“可疑文件”,并且检测到可疑文件后自动上报给了瑞星公司,这样用户是在不知情的情况下把系统中的某些文件上传给瑞星公司了,可能涉及侵犯用户的某些隐私权。希望可以把这个功能独立出来作为一个工具放在“工具”中,用户可以自己运行该工具检测机器上的“可疑文件”,检测之后再由用户决定哪些上报给瑞星。这样一方面使得用户知道自己哪些文件被上报,保障了用户的知情权和隐私权;另一方面高级用户可以根据扫描后的结果进行辅助杀毒。


另外本人在http://bbs.ikaka.com/showtopic-8549619.aspx 一贴中提出了一些对于瑞星杀毒软件2009的建议,希望工程师能够予以重视,有些是目前在对付病毒尤其是未知病毒的很严重的缺陷。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2)
瑞星工程师14 - 2008-9-19 14:30:00
您的建议我们已收集,感谢您的支持。
1
查看完整版本: 工具栏增加rootkit检测工具和可疑文件检测工具