瑞星卡卡安全论坛

    瑞星09公测版已经出来一段时间了，近一段时间发现瑞星软件吸收了一些网友的建议，但在测试中仍发现了一些其他问题，在此提出，希望瑞星工程师参考。
   
一、近一段时间的改进和增加的一些功能
1.主动防御的提示中增加了结束该进程的功能
上次提到主动防御提示某危险动作时候只是阻止该病毒的该危险动作，并未对该病毒进行任何操作，这样病毒在进行某些注册表操作后，仍可以存留在进程中，进行其他操作（下载木马等）。升级后，有一个选项是“结束进程”，这样在发现了触动主动防御规则的病毒的时候，用户可以选择结束进程防止该病毒的进一步入侵。

xiongmao .jpg (75.51 K)

2008-9-29 14:52:04

熊猫烧香病毒运行后的主动防御提示情况

2. 工具中增加了Linux引导杀毒盘制作工具和病毒库U盘备份工具

应广大用户建议，2009版的杀毒软件恢复了Linux引导杀毒盘制作工具和病毒库U盘备份工具，这样对顽固性的rootkit病毒可以有了更多的查杀方法。

3.增加了一套新皮肤

新增了一套名为“绚丽极光”的皮肤，实在漂亮的很哦，佩服瑞星的美工，呵呵～

Snap4.jpg (47.08 K)

2008-9-29 14:52:04

    总体看来，最近一段时间有所改进，但还有一些不太如人意的地方，下面提出来供瑞星工程师参考。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727)

二、进一步改进的建议

1.
异步杀毒建议（重要改进建议）

瑞星2009的一个亮点是异步杀毒，但这样的病毒处理方式也有缺点，就是在内存杀毒中如果检测到病毒不能马上清除而是等待用户一个一个去确认才可以，这样一方面给用户造成了不小的麻烦，另一方面由于时间拉的比较长（需要一个一个确认，且并非见到就杀掉）会造成病毒杀不干净的情况。图中为用一个释放dll文件的鸽子的病毒的内存杀毒情况，杀了好多次都杀不干净。而08就可以杀干净。

内存中发现病毒拉～怎么办？等着吧

    终于扫描完了，一个一个清除吧～额，才到第三个阿，这样一个一个杀得到什么时候阿？

各自6.JPG (66.69 K)

2008-9-29 15:00:37

而且杀完一个提示一次，有点烦吧～ 杀毒结果是“清除成功”，真的清除成功了麽？

各自4.JPG (61.96 K)

2008-9-29 15:00:37

终于杀完了，大舒一口气

鸽子444.JPG (65.90 K)

2008-9-29 15:00:37

重新扫一遍，内存中依旧有毒～～死循环了

    以上几幅图只是对鸽子这样的病毒的内存扫描情况，我们知道很多病毒还有进程守护功能，比如曾经流行的AV终结者，这样的病毒极有可能利用杀毒软件的杀毒间隙“复活”。

因此提出以下建议：内存杀毒改为同步处理，且默认不询问用户，直接清除内存中的病毒，清除内存病毒动作一定要快，有连续性才可以。

2.
病毒模拟按键发送消息关闭瑞星主界面的问题（重要建议之二）

这是一个很“古老”的问题了，在上次建议中已经提及，但貌似没有引起重视，测试中一个很“古老”的AV终结者都能使用模拟按键关闭瑞星主界面，监控是没被干掉，但用户又如何和杀毒软件交互进行杀毒操作呢？（病毒在附件中）

关闭瑞星的几个按钮窗口，变成了这样，哈哈

模拟关闭瑞星窗口的病毒在附件中，密码：123

针对该问题提出以下改进建议：
1)
增加对于模拟按键发送消息关闭瑞星主界面的拦截
2)
瑞星主界面标题采用随机名的方式
3)
见第三个改进建议（后台查杀）

附件: 病毒.rar

3.
增加后台查杀功能（不显示主界面）

    基于瑞星2009的空闲查杀功能，应该增加后台查杀功能。可以在瑞星托盘中弹出的菜单里面增加该选择项。这样可以不调用主界面即可对病毒进行查杀，一来可以降低内存占用；二来防止病毒模拟按键关闭瑞星主界面。

后台.JPG (16.50 K)

2008-9-29 15:10:12

4.
恶意行为检测的敏感度的建议（重要建议之三）

现在恶意行为监测的敏感度实在是有些低，一些明显是病毒的行为不能报出来。（比如大部分感染性病毒的感染文件操作）病毒完全可以不写注册表，不干掉杀毒软件，不做其他“主动防御认为是 危险的动作” 直接就感染文件，感染后退出，利用被感染的文件下载木马（之前的Win32.Downloader就是这样）。

因此希望提高对于感染型病毒的行为的检测。通过监控进程调用的API序列判断其动作，比如某进程依次调用FindFirstFile,FindNextFile,CreateFile,WriteFire等，那么就可以判断他是感染型病毒了。再比如某病毒调用UrlDownloadToFile，Winexec函数就基本上可以判断它是在下载东西。这样的行为检测应该不难吧，希望工程师认真考虑。

5.

Rootkit检测工具

    现在很多病毒可以挂钩子隐藏自身，比如修改SSDT表挂NTQueryDirectoryFile隐藏自身文件挂NTQuerySystemInformation隐藏对进程链表改动 隐藏自身进程等等但瑞星的钩子目前还仅仅是挂在SSDT上的，那么就自然无法检测到这个级别上的rootkit程序，可以检测ring3级别上的隐藏文件(灰鸽子等），但随着病毒越来越驱动化，应该可以预测到以后的病毒会越来越多的通过释放驱动挂钩子隐藏自身，希望瑞星可以单独开发rootkit检测工具，专门检测这些文件和进程（类似专杀性质的），提供在瑞星的工具栏，辅助用户发现某些未知病毒。

6.
可疑文件检测工具的单独提供

    现在的可疑文件检测是在安检中进行的，但似乎我们不知道他是如何检测的，检测到了哪些文件为“可疑文件”，并且检测到可疑文件后自动上报给了瑞星公司，这样用户是在不知情的情况下把系统中的某些文件上传给瑞星公司了，可能涉及侵犯用户的某些隐私权。希望可以把这个功能独立出来作为一个工具放在“工具”中，用户可以自己运行该工具检测机器上的“可疑文件”，检测之后再由用户决定哪些上报给瑞星。这样一方面使得用户知道自己哪些文件被上报，保障了用户的知情权和隐私权；另一方面高级用户可以根据扫描后的结果进行辅助杀毒

Snap9.jpg (73.98 K)

2008-9-29 15:17:25

    以上就是本人在近期测试中发现的瑞星软件的不足并提出了本人的一点愚见。希望工程师能予以考虑。

    杀毒诚可贵，防毒价更高－瑞星2009测试报告以及建议（第一阶段）链接

    杀毒诚可贵 防毒价更高－瑞星杀毒软件2009测试报告及建议(第二阶段)补充测试（重要建议） 链接

十分感谢您对瑞星09进行了如此详尽的测试，并提供了宝贵的改进建议。

对您提出的前两个问题做一下简要说明。
您所说的第一个灰鸽子查杀的问题。
您扫描时是否选择的全盘扫描。如果只扫描内存，关键区域等。可能造成病毒查杀不干净，反复查杀都有的情况。

第二个模拟按键的问题，系统加固高级，对病毒是否进行了拦截？如果驱动拦截了，还造成这种情况，那么的确是问题。这个问题有待我们进一步验证，感谢您提供病毒样本。

第一 灰鸽子的问题
当时并未对全盘进行扫描，只是扫描的内存，如果全盘扫描估计能杀掉吧。但瑞星08针对这同一个病毒，也只扫描内存，不会像09一样出现反复杀反复有的情况。这是不是一个问题呢？

第二 模拟按键问题
这里咱们假设遇到的是未知病毒，病毒上来就FindWindow,GetWindowText ,PostMessage 发送消息WM_Close模拟关掉瑞星主界面，并设置循环随时检查，其他的他可以不做（写注册表，往系统中释放文件等等）只下载木马之后退出，这样的病毒怎么办呢？
主动防御开到高级 有用麽？
人家只是下载木马，同时模拟按键关闭你，下载完木马后自动退出，过程中没有触发主动防御规则，这样主动防御就会不提示了吧？病毒完全可以简单化操作，达到他的目的（下载木马）就可以了，呵呵
测试中发现用spy++关闭瑞星08的 关不掉的 会弹出自我保护的提示。但09的却一下子关掉了，帖子中提供了一个图，就是我关闭了瑞星09中的某些按钮时候的图。

另外 关于第一个建议 内存同步处理的问题
有些病毒是双进程守护的 且会随时监控自己的文件是否存在
那么这样的病毒必须首先干掉他们的进程，才能删除文件，否则很短的时差都会造成病毒重新启动自己的进程，写入自己的文件。所以内存查杀还是很重要的

LZ说的好啊

LZ说的好

强烈支持

该用户帖子内容已被屏蔽

强烈支持

顶一下啦
LA说的很有道理

呵呵，不错，继续，看能能打造成金刚不坏不！！