瑞星卡卡安全论坛

2010年2月1日[2010版瑞星杀毒软件]-讲义

讲师：万事达

本次课程答疑时间：2010年2月1日（周一）14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问！

本次课程作业：无

瑞星杀毒软件2010版讲义:http://bbs.ikaka.com/showtopic-8642789.aspx


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.2; MAXTHON 2.0)

大沙发！:kaka12:


提问，首先是关于云安全，云安全的定义是通过大量的客户端（瑞星用户）对网络中软件行为的异常监测，获取互联网中木马恶意程序的最新信息，推送到server端进行自动分析和处理，再把病毒和木马的解决方案发到每一个客户端。

我想问的是，
1：杀软是怎样辨别瑞星用户中的文件是可疑文件的？（即不确定的文件，就是要上传server端进行分析的文件）
2：是不是每一个可执行文件都要进行扫描，还有上传样本是以什么形式上传的？
3：这样是不是会占用用户的网络资源，还有对文件的分析会不会影响到用户的xxx？
4：server端是指的什么？是瑞星的工程师手动的分析，还是电脑分析？

5：智能提速中，瑞星又是怎样确定为无毒文件的？是靠数字签名吗？

6：还有就是如果瑞星把可疑文件删除了，但是用户怀疑是误杀，要怎么找回来？

7：系统加固是不是类似于组策略之类的规则来达到防御的目的呢？也就是说，对指定的程序进行行为分析，限制一些瑞星默认为危险的动作？
8：刚才在测试了下，手动开启了Telnet和远程协助瑞星默认这些不是危险动作吗？Telnet服务系统默认都是禁用的服务，若是利用这些服务远程登录的话瑞星会不会也主动的提示或者说拦截危险动作？

9：还有关于病毒库U盘备份工具的使用，我还是不很清楚怎么制作，关于Linux系统也不是很了解，Linux引导杀毒盘也不是很明白，希望万事达老师能详细的讲解下。:kaka16:

提问：
1）智能提速中提到不会查杀确认无毒的文件，这个是怎么实现的，是建立了一个数据库，记录下已经查杀的文件状态么，那如果随着使用时间的增加，这个数据库增大，会不会反而拖慢速度？
2）邮件监控里只监控了smtp,pop现在很多应用也支持IMAP发送邮件了，请问是否支持，是直接将IMAP端口993加入列表就可以么？

那就板凳吧 哎:kaka6:
问题 linux引导杀毒盘是什么 是能运行在linux系统下杀毒么

个人觉得，智能提速应该是在瑞星确认某文件无毒的情况下，自动记录该文件的MD5值或者哈希值，形成一个文件缓存。下次再扫描时，直接进行MD5或哈希值比对，如果没有变化就跳过去不在扫描，以此实现智能提速。

第二个问题等老师来回答
如果答错了不要怪我哦~

首先谢谢雨晨兄的答复，记录MD5或Hash确实可以保证文件不被修改，可是那个记录文件会随着使用越来越大，查找时间也会增多 这样反而不会降低查杀时间的说~

我觉得有些问题涉及瑞星内部专利，机密，这样问瑞星应该不会完全把他们的技术公布出来。。这样其他安全公司都能把瑞星的技术掌握了。。

我想是导入日志文件吧

呵呵，不客气。其实这个数据库也不会太大，如果超出一定范围的话可以借助“云安全”在线形成一个“云端数据库”，所有用户共享，类似于一个白名单。现在的mcafee月神技术就是利用这个方法的

长知识学文化喽~~！:kaka9:

提问:
1 启发扫描是什么意思?如果是响应系统消息进行扫描那么响应什么系统消息进行扫描呢?
2 邮件监控中,端口的使用是由我选择什么邮箱决定的吗?我又如何具体得知哪个邮箱系统使用哪个端口呢?
3 主动防御之应用程序控制中说要加入的是baiduHi.exe的进程,与给出的图操作不符,图上的是加入baiduHi.exe的安装程序,那这个浏览增加近来的..exe可执行文件和加载进程有什么区别吗?

提问：
1 请问网页脚本除了特征检测，你们是指行为查杀吧。行为查杀是如何实现的呢，通过智能一个智能模块？？特征查杀只需提取特征代码进行一一匹配即可，那么行为查杀能具体点一下吗？谢谢。
2 如何实现对加密变形脚本的识别处理？识别能力跟一般浏览器差多少呢？？希望能有个定量的认识。

1启发式相关信息见此http://baike.baidu.com/view/1016168.htm
至于响应问题我不太清楚，我记得好像是右键参数
2端口的使用和你的邮箱无关，和你使用的协议有关目前多半都是用的STMP,POP3来进行收信和发信（网页操作除外），通常POP3协议默认端口：110也没人那么无聊去改变，如果你手动变更那么需要手动设定
3举个例子而已大可不必较真
应用程序控制仅仅是控制应用程序的动作的
可以方便禁止一个软件访问指定目录或者指定操作，如有问题可以详细提出来

1.如何手工禁用端口服务呢？
2.在何种情况下需要竟用这些服务呢？

:kaka1: ok

你所谓的行为查杀
是多种安全机制并存的
网马的执行大致流程如下
游览器对脚本解密（这里主要防止特征码直接阻止网马运行的）-执行解密后的代码并执行漏洞-执行shellcode-溢出执行病毒
shellcode        通过这个来执行提权运行病毒等操作
瑞星的很重要一层防御在于这里通过判断阻止恶意shellcode 执行来防御
当然这只是一层，别的因机器而不同，再比如防溢出
阻止游览器自己通过漏洞等来运行EXE之类的
2对加密脚本基本无视
因为加密脚本逃不过瑞星上述的几层防御机制
游览器要执行病毒必然会自己解密解密后的代码就。。。。。。
所以。。。

1关闭有关服务或者使用防火墙(具体不太懂)
2请参见服务说明或者端口说明

老师，对于system32下的病毒2010版有没有什么新的解决方法？以前的版本无法杀毒而且删除不掉文件~~！

提问：
1）瑞星在监控的时候默认启用启发式吗？因为文件监控里没有关于启发的设置，所以是默认启发的？
2）邮件监控是否监控的是Outlook express，如果不用Outlook express收发邮件，是不是不用安装邮件监控？
3）开机查杀是什么级别的扫描？和手动查杀设置的级别一样？启用启发、拓展库吗？
4）瑞星的木马入侵拦截支不支持非IE内核的浏览器——如：火狐、谷歌、opera等？

提问
1.应用程序加固中的搜索支持程序是什么意思？

提问：
2010版对U盘等可移动设备有没有插入就能自动检测病毒的功能？

提问：第三种交易模式
1.相比专业模式，有什么特点？或是在哪些方面有加强？是防止进程注入之类吗？
2.跟账号保险箱的区别呢？
3.对于钓鱼网站有没有很好的防范效果？

感觉这次讲义的目的不是为了让我们明白具体瑞星防护的实现方法，而是大概知道瑞星2010有什么功能，能帮助别人使用这些功能，前面问的问题这么专业还是有点夸张了，给人很大压力啊。

1.这篇日志看起来是在2010测试版的时候写的，请问老师现在的正式版本和测试版本除了病毒库的升级外还有哪些新功能或者优化？
2.请问使用病毒库U盘备份查杀和LinuxU盘引导盘查杀病毒有什么区别呢？
3.病毒隔离区意思是把可以文件放在指定文件夹而限制其运行么？那关于病毒释放出来的文件是否也有隔离？（如果这样的话以后找释放的文件就方便多了~）
4.关于WIN7越来越重视安全系统的重要性，瑞星杀毒是否对WIN7有一些特殊的关照？

谢谢老师~~ :kaka12:

修改系统时间那一项,像我在学校的电脑是比较复古的,奔4时代的电脑,主板的电池貌似没电了,所以有时候开机就自动变成2001-00:00:00了,这种情况瑞星2010也可以有效阻止么?
再顺便问一下瑞星2010的Linux版推出了么?谢谢

看你了从BAIDU找的启发扫描的资料,明白了一点,谢谢了
不过还是有点问题,就是启发扫描是通过了解程序的代码分析呢,还是通过拦截程序的所发出的消息分析

邮箱的那个还是有点迷糊
我说的那第3个问题,主要想了解一下俩个的区别,毕竟.EXE可执行文件不是加载到内存中的,和内存中的进程是有区别的

我必须承认我与以上各位提问的同学差距很大，我几乎看不懂他们的问题。过去我一直使用德国和捷克的免费版杀毒软件，第一次使用瑞星2010和卡卡助手，感觉功能太多，很多功能我基本用不着。如果系统崩溃，我就使用一键还原。我的水平较低，请大家多多指教。再问一个很简单的问题：帐号保险柜能否查看自己所有帐号和密码，如何查看？

老师好，看了讲义我有些地方不懂。
1.系统加固中的设备访问控制中的底层磁盘访问？？是指硬盘吗？
2.应用加固里面的那些程序时怎么加固啊？是指这些文件对系统做出的危险行为作出判断吗？
3.智能提速是指在文件不改变的情况下查杀吗？如果改变了怎么判断了。改变了又重新查杀的话这不等于是一个名不其实的东西吗？？？

手动禁用端口
1.可以通过控制面板-管理工具-本地安全策略-右击"Ip安全策略
2.选择筛选器和筛选器操作
3.在管理IP筛选器表中选添加按钮
4.名称中写一个描述，进入筛选向导
5.在源地址选上任何IP地址，目标上选我的ip地址，在下一步中选协议类型为TCP
6.选择到端口填写自己要禁用的端口
不知道对不？

提问了：
1.这个是最基础的，我从用户的角度来考虑问题，比如用户是40~50岁这个年龄层的，我首先不说讲义里的问题，仅仅换位一下，假如我是这个年龄层的用户，看见这些设置我肯定头大，另外，我对安全使用并访问互联网欠缺知识，主动防御里的设置假如我设置了 还需要我判定，我个人觉得这个对他们来说不现实。虽然所有的安软都有这个毛病，但是我仍然希望能够更智能更智能一些。
2.程序加固针对程序的范围，仅仅是常用的办公邮件类软件呢？还是所有，另程序加固的机制，我猜想是判定一些修改注册表之类的可疑行为，不知道是否如此呢？
  暂时以上问题和建议 感谢老师

提问：
应用程序加固，搜索支持程序后一般都是IE、OFFICE办公软件、ADOBE READER
是通过监控应用程序的运行状态，拦截程序的异常行为，从而防止恶意程序利用漏洞破坏系统
那么自己打开软件都会有窗口，提示瑞星应用加固已组织程序的危险动作
他拦截的是什么动作呢？对系统的还是对瑞星的？
虽然下面有不再提示，但是万一病毒后台运行，那么用户就不知道了