随缘92WJC - 2010-2-1 19:59:00
今天的课堂生活真是丰富多彩
今天主要是瑞星杀毒软件2010的答疑,是我们的万事达版主讲课,大家自己看讲义,然后提问
jks_风 的 1:杀软是怎样辨别瑞星用户中的文件是可疑文件的?(即不确定的文件,就是要上传server端进行分析的文件);4:server端是指的什么?是瑞星的工程师手动的分析,还是电脑分析?;5:智能提速中,瑞星又是怎样确定为无毒文件的?是靠数字签名吗? 问得很好,我从来都没有想到过,经万事达老师讲解后才知道是怎么一回事
对于智能提速,我是以生活方式、习惯作风方面切入的(可能很BT···说出来和大家分享下,别笑我哈):大家处理生活上的事都是怎么做的呢?一堆锈了的螺丝、螺母、垫圈,全部泡油里,怎么分开放在三个容器里呢?首先脑子里出现一个概念,螺丝是这个形状的,这个是螺母,哦那个形状就是垫圈啦,然后两只手同时开工,摸到2个,左手触觉反馈给大脑——判断出是螺母,左手扔螺母容器,右手触觉反馈给大脑——是垫圈,扔螺母容器,动作做多了就不知不觉在脑中留下一个印象(就把它比作快速档案库亦或大家想到的白名单),然后身体就会受“动作神经”指使依靠“档案库”进行排除,依靠“知识”(病毒库)进行判断,是3类的就分别投入3类,是垃圾的就卡擦(是知道的就扔白名单,是病毒就KILL)。这样就大大地提高了处理速度和办事效率,同理可推出智能提速。万事达老师的回答是:通过云安全文件库比对,我们恍然大悟,大呼原来如此。:kaka6: 本来想到的不是这个··吃了顿晚饭就被人说忘了····(PS:生物忘了···比喻不太恰当哈)
又如暗夜的雪:病毒隔离区意思是把可以文件放在指定文件夹而限制其运行么?那关于病毒释放出来的文件是否也有隔离?(如果这样的话以后找释放的文件就方便多了~)
我理解的是病毒运行并释放文件到目的地,杀软监测到病毒将其杀之并转为特定格式转移到隔离区(经过技术加密【限制运行】的文件夹),病毒释放出来的如果是带恶意代码、病毒都会将其杀之并隔离,万事达老师的回答是:只有被瑞星删除后才会进入隔离区。 能请老师解答下暗夜的雪第三个问题的后半个问题么
还有很多诸如此类的好问题
我提的两个问题虽不是技术性问题,但是很多用户都有过此疑问,如果是病毒,加入白名单岂不是放行了?如果不是病毒,一直提示也不是很好,不方便,例如OFFICE,每次运行,右下角都会有弹窗
万事达老师针对我那两个问题的回答分别是:这种情况需要提供瑞星提示截图和当时的具体操作来判断了。 可以根据瑞星弹出的提示如程序,相关文件来判断。
如果加入木马行为防御白名单后该文件又被感染,再运行文件时木马行为防御不会拦截,所以白名单的加入一定要谨慎。
可见白名单不能随意加,除非能判定百分百不是病毒且不会被感染成病毒!
在此我提一下,忘老师们和工程师们能考虑下:2009版有行为防御编辑器,可以自行编写,当触犯规则后拦截框有具体提示,说明违反的是那条规则,例如木马行为规则防御中的 规则(见图)
附件: 您所在的用户组无法下载或查看附件
现在2010版本已经取消了这一功能,当触犯内部规则库的规则时,我们用户无法判别触犯的是什么规则,只知道诸如此类的信息
附件: 您所在的用户组无法下载或查看附件
很不方便呢,经常帮朋友、客户修电脑的应该有所感触:还有这个什么啊,一直拦截,是不是病毒啊,是病毒能不能删掉啊
面对这些问题,我们无法回答,越回答就问题越多,如果说这是在判定,每次都要进行,那么他们都会打破沙锅问到底···可是我们哪知道那么多哟···:kaka3:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
今天主要是瑞星杀毒软件2010的答疑,是我们的万事达版主讲课,大家自己看讲义,然后提问
jks_风 的 1:杀软是怎样辨别瑞星用户中的文件是可疑文件的?(即不确定的文件,就是要上传server端进行分析的文件);4:server端是指的什么?是瑞星的工程师手动的分析,还是电脑分析?;5:智能提速中,瑞星又是怎样确定为无毒文件的?是靠数字签名吗? 问得很好,我从来都没有想到过,经万事达老师讲解后才知道是怎么一回事
对于智能提速,我是以生活方式、习惯作风方面切入的(可能很BT···说出来和大家分享下,别笑我哈):大家处理生活上的事都是怎么做的呢?一堆锈了的螺丝、螺母、垫圈,全部泡油里,怎么分开放在三个容器里呢?首先脑子里出现一个概念,螺丝是这个形状的,这个是螺母,哦那个形状就是垫圈啦,然后两只手同时开工,摸到2个,左手触觉反馈给大脑——判断出是螺母,左手扔螺母容器,右手触觉反馈给大脑——是垫圈,扔螺母容器,动作做多了就不知不觉在脑中留下一个印象(就把它比作快速档案库亦或大家想到的白名单),然后身体就会受“动作神经”指使依靠“档案库”进行排除,依靠“知识”(病毒库)进行判断,是3类的就分别投入3类,是垃圾的就卡擦(是知道的就扔白名单,是病毒就KILL)。这样就大大地提高了处理速度和办事效率,同理可推出智能提速。万事达老师的回答是:通过云安全文件库比对,我们恍然大悟,大呼原来如此。:kaka6: 本来想到的不是这个··吃了顿晚饭就被人说忘了····(PS:生物忘了···比喻不太恰当哈)
又如暗夜的雪:病毒隔离区意思是把可以文件放在指定文件夹而限制其运行么?那关于病毒释放出来的文件是否也有隔离?(如果这样的话以后找释放的文件就方便多了~)
我理解的是病毒运行并释放文件到目的地,杀软监测到病毒将其杀之并转为特定格式转移到隔离区(经过技术加密【限制运行】的文件夹),病毒释放出来的如果是带恶意代码、病毒都会将其杀之并隔离,万事达老师的回答是:只有被瑞星删除后才会进入隔离区。 能请老师解答下暗夜的雪第三个问题的后半个问题么
引用:
原帖由 暗夜的雪 于 2010-2-1 13:52:00 发表
那关于病毒释放出来的文件是否也有隔离?(如果这样的话以后找释放的文件就方便多了~)
那关于病毒释放出来的文件是否也有隔离?(如果这样的话以后找释放的文件就方便多了~)
还有很多诸如此类的好问题
我提的两个问题虽不是技术性问题,但是很多用户都有过此疑问,如果是病毒,加入白名单岂不是放行了?如果不是病毒,一直提示也不是很好,不方便,例如OFFICE,每次运行,右下角都会有弹窗
万事达老师针对我那两个问题的回答分别是:这种情况需要提供瑞星提示截图和当时的具体操作来判断了。 可以根据瑞星弹出的提示如程序,相关文件来判断。
如果加入木马行为防御白名单后该文件又被感染,再运行文件时木马行为防御不会拦截,所以白名单的加入一定要谨慎。
可见白名单不能随意加,除非能判定百分百不是病毒且不会被感染成病毒!
在此我提一下,忘老师们和工程师们能考虑下:2009版有行为防御编辑器,可以自行编写,当触犯规则后拦截框有具体提示,说明违反的是那条规则,例如木马行为规则防御中的 规则(见图)
附件: 您所在的用户组无法下载或查看附件现在2010版本已经取消了这一功能,当触犯内部规则库的规则时,我们用户无法判别触犯的是什么规则,只知道诸如此类的信息
附件: 您所在的用户组无法下载或查看附件很不方便呢,经常帮朋友、客户修电脑的应该有所感触:还有这个什么啊,一直拦截,是不是病毒啊,是病毒能不能删掉啊
面对这些问题,我们无法回答,越回答就问题越多,如果说这是在判定,每次都要进行,那么他们都会打破沙锅问到底···可是我们哪知道那么多哟···:kaka3:
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)