瑞星卡卡安全论坛

word文档：
 附件: 您所在的用户组无法下载或查看附件
问题库软件及数据文件：
 附件: 您所在的用户组无法下载或查看附件

对于昨天大家对万老师的提问，经由我和雷雨声收集，我最后进行了整理排版。这里分享给大家。一共三种方式，第一种发布在这（从二楼开始），第二种收集到一个word文件供大家下载，还有种弄成问题库了。

对于问题描述不清楚的直接忽略了，对于重复的也忽略了（部分重复，但含有新知识点的保留了）
对产品的建议的忽略了，已整理交给皮皮
对于文字数目很多的进行了概括
对于万老师没有详细回答，需要提供图的忽略了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQPinyin 730; 360SE)

瑞星卡卡2010暑假实习第一课问题统计整理

整理分类：沉很雷雨声
1、
问：当遇到用户使用的系统不是很稳定，或者多次错误卸载瑞星安全软件后，不能正常安装，应该如何处理？

答：不能安装要看具体提示，就算是错误卸载了也不会影响再次安装；如果你指的是手动删除文件导致的不能安装，可以删除文件后同时清理注册表后再安装。

2、
问：关于用户手机购买软件，激活码丢失，应该如何处理？

答：可以通过官网的查询中心来找回，地址：http://shop.rising.com.cn/sale/Query/index.asp；也可以直接致电客服找回。

3、
问：在云安全中提到，分析病毒的下载来源，直接屏蔽病毒源（服务器），在卡卡经常看到所谓的木马群，是不是就是同一个概念？

答：不是一个概念

4、
问：开机查杀有什么优点？只是能检查开机启动项和服务吗？手动查杀不可以查杀到可疑启动项和服务项吗？

答：开机查杀是在系统未登录的时候进行查杀，对于部分病毒处理的更好；查杀目标可以自己设置。

5、
问：文件监控中被清除的文件能不能在隔离区恢复？

答：可以恢复

6、
问：邮件监控是不是只能监控安装有邮件接收软件中邮件的安全？ 【pop3 110 SMTP 25】

答：是的，网页邮箱不可以监控；端口是可以自己设置的。

7、
问：应用程序加固只能加固浏览器类和文档编辑类的软件吗？


答：目前是这样的。
8、
问：瑞星的升级是采用静默升级？为什么有的时候瑞星的病毒库不是最新的需要手动升级？

答：升级是分批进行，有网络延迟。

9、
问：刚才在论坛看到了说2011快出来了，是真的吗？很期待

答：2011的消息等待官网公告吧。

10、问：云安全：在“瑞星云安全的运行模式”中提到，“屏蔽一台服务器，就可以截断成千上万个木马的传播”，我对此有些不理解？

答：举个例子，比如某网站被挂马，当大家都去访问他的时候，就可能会中毒，这时候安装瑞星的用户在访问该网站的时候，瑞星会予以提示，这样就可以避免病毒的进一步传播，越是大型的网站的，传播的范围和危害性就可能越大。

11、问：对于屏蔽木马网站的列表，会不会因时间而变大？是怎么处理的？

答：拦截列表是会不断增加和删除的，而且恶意网址库也是在不断优化的。

12、问：“软件安全”内关于“自我保护”，我发现有些病毒还是可以把瑞星监控关闭，甚至瑞星都无法打开，而且某些杀毒软件都不能运行，不知道那是怎么回事？它是怎么实现的？

答：这就要看具体的样本了

13、问：杀软安检提示漏洞结果如何计算的？

答：杀软安检提示的漏洞结果=卡卡中的“系统漏洞”+“非安全更新”+“可选补
丁”+“第三方软件漏洞”+“已忽略补丁”

14、问：office补丁安装不上是什么原因？

答：关于office补丁安装不上，应该是安装了精简版的office导致，如果是正版office就要提供相关信息给瑞星测试了。

15、问：如何解决全盘杀毒预计时间不准？及其速度问题？

答：全盘扫描可以设置下杀毒后自动关机，这样工作结束后开始杀毒就可以了。关于速度问题，2011有很大进度，到时大家可以测试。

16、问：瑞星全功能安全软件与瑞星杀毒软件，这两个有什么区别？我看介绍界面好像差不多啊。

答：功能：瑞星全功能安全软件=瑞星杀毒软件+瑞星防火墙
资源占用：瑞星全功能安全软件件=（瑞星杀毒软件+瑞星防火墙）/2

17、问：加入云安全为什么一定要填写准确的邮箱地址？如果仅仅需要确定用户身份，瑞星产品的SN和ID足以。

答：对于某些可疑样本，瑞星会回复邮件。

18、问：为何设置系统加固在设备访问控制下勾选【修改日期和时间】设置完成后，手动通
过系统托盘区修改时间瑞星无提示，而通过cmd的time命令修改系统时间瑞星会有提示。（前提是在设置窗口的系统加固选项页面中，在下方取消【自动放过签名程序】勾选状态，瑞星设置为专业模式）

答：手动修改是被当作签名程序自动放过的，比如修改系统时间，修改host文件等

19、问：为什么瑞星的提示框会略有不同，即在【其他操作】中有的有【信任】项，有的没有？

答：根据触发的规则不同，提示也会不同。

20、问：瑞星2010可以支持双杀软同时运作吗？是否存在技术上的瓶颈？是否在杀毒时采用两个杀软比较好呢？

答：不建议双杀软同时运行，会有冲突。如果仅仅是查杀病毒，那是没有问题的。

21、问：我在win7系统下账号保险柜不能开机自动运行。放入启动项也不行。论坛有方法是调整为xp兼容模式，我试了一下不行。请问还有没有其他方法？

答：目前保险柜在WIN7下不支持自启动。

22、问：前阵子我发现中了Gh0st rat远程控制木马的机子上，瑞星只在被连接某些远程控制功能的时候检测到防火墙被远程主机攻击，另一些控制功能则完全没有检测到，这是否是木马行为判断方面的问题呢？

答：不知你如何判断是Gh0st rat远程控制木马的，希望提供样本我们测试下。

23、问：对于防火墙功能是否能够在第一次提醒的时候一键设置成静默状态？

答: 防火墙的主界面有工作模式的选择，可以选择静默模式。

24、问：对于不同杀软，不知道瑞星在解决软件冲突的时候有没有更好一点的办法？

答：目前还是建议不要同时安装多款安软，以免冲突。
25、问：文档中有提到“使用智能提速，勾选后将不再查杀已经确定为无毒的文件，这样会加快查杀速度。”什么样的文件可以被确定为无毒的文件啊？是根据文件类型还是？而且现在无毒的文件也不能保证将来不会被感染啊？
答：每次瑞星杀软后，会重新完全扫描的。

26、问：应用程序加固和保险箱有什么区别啊？ 保险箱是对是对应用程序的保护么？

答：应用程序加固是通过检测应用程序的运行状态，拦截程序的异常行为，防止恶意程序利用应用程序存在的漏洞对电脑进行破坏。应用程序加固目前仅支持IE和OFFICE。
而保险柜是”利用主动防御技术自动屏蔽木马、病毒常用的多种恶意行为，包括注入DLL、内存被篡改、注入代码、挂起、强制结束程序、键盘监听等；保险柜则可以手动添加应用程序。

27、问：“云安全”中反馈的信息多长时间可以更新到没有开启“云安全”用户的杀软中？“云安全”会不会导致过多的占用用户的资源？

答：瑞星杀毒软件每天更新8次，会随着升级进行更新的。

28、问：瑞星杀毒下载版应该是先把杀毒软件下载到本地文件夹下然后再进行安装，请问那个文件夹在哪里？

答：恩，需要下载到本地后安装。

29、问：瑞星跟360安全卫士有冲突吗？可否同时安装？

答：没有冲突，可以同时安装。

30、问：当我们下载东西时，会遇到瑞星杀毒软件的阻止，然后要是选本次允许，但是下载东西有病毒，瑞星会继续执行本次的允许，还是会有其他的阻止动作？

答：不知弹的是什么提示，提示不同操作也不同，希望可以提供截图说明

31、问：有时候打开网页或是其他的时候，会出现网页脚本发生错误，是因为有病毒吗？瑞星中的木马入侵拦截可以很好处理这个问题吗？

  答：网页脚本错误不一定是病毒问题，这和木马入侵拦截功能没什么关系。

32、问：请问一下视频开启会有什么攻击吗？为什么瑞星默认的设置时阻止视频的开启呢？

  答：你说的是系统加固中的“使用摄像头”吗，这是因为某些病毒会偷偷开启摄像头进行偷窥。如果说的不是这个功能，请提供截图。

33、问：我想问一下，就是您讲的这个版本，和360安全卫士相比，有哪些的优点？特别是查杀木马病毒，仅是是否通过特征查杀的技术壁垒吗？

    答：360安全卫士和瑞星杀毒软件没有可比性，360卫士只是安全辅助工具，不是杀毒软件。

34、问：像我有许多黑客工具，瑞星有时会提示，但为什么我选择忽略时，被提示程序无法运行，请问这什么技术啊 ？是不是要添加到信任列表才行，是不是可以加个临时信任

  答：如果希望运行需要选择"允许"（临时信任），或者是"信任"（始终信任）。

35、问：上网安全助手能不能拦截网页上面的弹出广告呀？

  答：卡卡助手暂不提供拦截广告功能。

36、问：我的浏览器会不定时弹出一个类似于广告窗口的东西，有的时候是空白的。不能禁止，用瑞星也检查不出是不是病毒或者木马。浏览器也不能屏蔽。这算是中病毒么

    答：广告窗口有的是某些网页自带的，有些是电信运营商推送的，如果都排除了，可以扫描日志分析下。

37、问：官网上下载了2010杀软，由于在线安装未完成就关机了，第二天开机提示rav1471771.exe 运行后 安装成功。现在每天开机仍然会弹出对话框提示是否运行，怎么解决？

答：删除rav1471771.exe的启动项即可。

38、问：对于网上盛传的破解版瑞星2010，我们有什么样的对应的应对方法？

  答：既然知道是破解版了，就不要使用，目前很多破解版有问题

关于盗版的严重性可以参考：http://bbs.ikaka.com/showtopic-8708311.aspx

另外我们一直在打击盗版，大家有线索都可以发给我。

39、问：如何用瑞星防止固定IP攻击？

  答：如果是固定IP攻击，可以加入黑名单。建议同时也修复系统漏洞

40、问：我的瑞星防火墙曾有一段时间监控无法开启，一开就又自动关闭了，一直是红色的，后来是用的瑞星自我修复弄好的。想问一下这是什么原因导致的，是中毒了还是软件自身的问题？

  答：防火墙的图标是盾牌，工作状态是蓝色，关闭状态是灰色；只有杀毒软件监控才可能是红色（监控全部关闭）。原因：病毒或软件损坏都有可能。

41、问：请问瑞星杀毒软件单机版和杀毒软件网络版有什么不同?官方升级包和网络版通用升级包又有什么不同?

答：杀毒软件单机版是针对个人用户使用的；网络版是企业用户使用的，网络版可以参考;http://ep.rising.com.cn/network/
单机版的升级包名字是”安装、升级包“即可用于安装，也可用于升级。
通用升级包所有企业版都可以用这个升级包。

42、问：我用的是win7的系统，我刚才直接把C:\Windows\System32\drivers\etc下的hosts文件删除，瑞星并没有提示，修改文件名也没有提示，为什么？删除系统文件不是也应该要提示的吗？

  答：主动防御/系统加固中把”自动放过签名程序“前的勾选去掉。

43、问：关于瑞星查杀网页脚本病毒的问题，查杀后这个带脚本病毒的网页能继续打开吗？

答：可以打开

44、问：能否多介绍一点启发式扫描的功能和特点？

  答：关于启发式的介绍：
http://news.newhua.com/news1/Safe_news/2009/423/094231351374C3812ICJ0A43BEDJB189ID459G5K6J514G285D0FJ303.html
http://bbs.ikaka.com/showtopic-8616202.aspx

45、问：【应用程序加固】时，怎么判断应用程序属于哪种类型呢？

  答：不知道如何判断可以使用”搜索支持程序“来自动搜索。

46、问：对于同一个程序，同时添加到【应用程序控制】和【系统加固】，两者规则会不会出现冲突？

  答：系统加固中是不能自己添加规则的

47、问：瑞星防火墙能防御的了ＡＲＰ攻击么？是不是得用专门的ＡＲＰ防火墙呢？

  答：瑞星防火墙有ARP防御功能

48、问：在瑞星 【设置】到【电脑防护】在【邮件监控】里面的那一项 默认回复级别 为什么打不开 在里面不是可以设置  邮件的防护吗？

  答：只有当设置不是”默认级别”时，该选项才为可选状态

49、问：“木马入侵拦截突破了原来网页脚本扫描只能通关过特证进行查杀的技术壁垒”  挂马的网站有什么特征啊？

  答：网页挂马是指：在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作。

50、问：如何退出瑞星？

  答：如果不希望瑞星起左右，关闭所有监控即可（不建议这么做）。

51、问：在启用开机杀毒后，是在进行BIOS检查时就杀毒还是进入操作系统之后才开始杀毒？

  答：进入系统前杀毒

52、问：使用“智能提速”模式后什么样的文件算是确定为“无毒的文件”，如果本次无毒，下次杀毒时，这个文件被感染了，会漏掉这个文件吗？

答：经过云安全验证的才会跳过，只要瑞星病毒库有更新，则下次杀毒重新全部扫描。

53、问：通过对瑞星软件的了解，就2010版本的瑞星杀毒而言，云查杀主要是用于样本收集，而并不能实时的反馈给客户端结果，还要依赖于升级之后的二次扫描才能解决。请问如何解决这个二次扫描的问题

  答：目前无法解决该问题

54、问：在[设置]-[电脑]-[防护]-[文件监控]:这里老师讲到的是否启用“启发扫描”这一项我怎么都没有找到呢？

  答：监控这里已经取消了该功能。

55、问：现在病毒在不断的挖掘浏览器的各个点在进行修改和感染，主页劫持，而已图标问题层出不穷。瑞星杀毒软件是否会拦截这些动作的创建？而不依赖于第三方工具比如卡卡助手等其他。

  答：动作拦截是靠杀毒软件的主动防御功能，卡卡没有此功能

56、问：现在双核浏览器越来越流行，对于双核浏览器中的webkit内核，瑞星的防挂马功能好像支持的还不是很好？如何解决这个问题？

  答：木马入侵拦截只支持IE内核的浏览器，其他内核需要等待后续版本更新

57、问：瑞星能不能 自动检测清理U盘病毒啊？

    答：如果有病毒自动运行瑞星是会提示拦截的。如果你说的是自动查杀U盘，这个功能没有。

58、问：瑞星无法更新，杀毒后可以，每次重启仍然需要杀毒后升级，为什么？怎么解决？

  答：关于这类病毒，需要先修复系统漏洞，然后升级杀毒；从你的描述看应该是局域网环境，有可能是重复感染，这种情况可以关闭所有共享后查杀。

59、问：ARP防御功能是默认开启的么，还是得自己设置。有些软件不是默认就开启ａｒｐ防火墙，为什么呢？

  答：ARP防御功能不是默认开启的，因为瑞星防火墙主要用于单机，单机上网是不需要开启该功能的。

60、问：smartphone的手机，安装了瑞星杀毒软件手机版，问题是：手机病毒库是怎么收集到的呢?

  答：通过病毒上报方式

61、问：对于已存在2009版本，安装2010是直接覆盖吗？

  答：建议卸载2009后再安装2010

62、问：请老师推荐下最佳自定义级别设置

  答：一般默认设置就够用了，不需要自定义

63、问：关于云安全：这个云安全是仅对安装了瑞星的用户有好处，还是对访问中毒服务器的客户都有好处？

  答：仅对安装了瑞星的用户有好处

64、问：不同版本瑞星关系

  答：瑞星全功能安全软件=瑞星杀毒软件+瑞星防火墙,多种不同的版本是为了满足不同用户的不同需求。

65、问：在[设置]-[电脑]-[防护]-[系统加固]-【自定义级别】-【设备访问控制】。设置那里的话会不会对一些正常的程序起到阻止作用？他是怎样区分攻击的程序的？

  答：有可能正常的程序运行时会有台式，但不会直接阻止，可以根据提示选择放过。
根据程序的行为来判断。

66、问：木马行为防御中有可能出现误报，那么如果在常规设置中设置发现病毒时“清除病毒”，它会不会把误报的文件清除呢，还有我怎么判断误报？。如果只是怀疑误报就将提示程序添加到“行为分析白名单”，是不是也有可能把真正的病毒、木马放过呢？还逃过了以后的查杀！

  答：如果选择了“清除病毒“，在发现病毒时会删除到瑞星的病毒隔离系统。
如果是自己经常用的文件突然被报毒了，那有可能是误报；如果对文件的安全性不能肯定，不建议直接添加白名单。
可以将文件发给瑞星再次分析

67、问：请问，瑞星是否有独特的功能专门针对免杀的病毒呢？或者是否需要这样一个部门去搞反免杀

  答：无论杀毒软件用什么手段，都会有逃避该手段的方法

68、问：我想知道备份在U盘上的病毒库是否可以通过某种方式上传到电脑安装的杀软的病毒库对应存放的文件夹中?之所以这样设想，是因为这样或许可以以后在重新安装杀软时，并且无联网的条件下，可以随时将备份的新病毒库调用。

  答：暂时无法实现这样的功能，你的建议我会反馈相关部门参考

69、问：何为“引导型的U盘”，及其大小相关问题

    答：引导型的U盘”是指U盘支持主板引导；关于U盘大小这是受ZIP兼容方式的限制。

70、问：“启发式扫描”在哪？

    答：打开查杀设置/自定义级别就可以看到。

71、问：讲义中提到的"历史记录"，很显然我在2010版杀软上没有看到；但是，此问题我已发现，就是“历史记录”在主界面上更改为“日志”

答：历史记录指的就是”日志“

72、问：专家模式里采用交互方式处理是什么意思？

  答：交互式就是与用户的互动性，该模式有较多的提示，将选择权交回了用户手中。

73、问：使用智能提速时，确认的无毒文件是否是前几次确认的，是像做些标记么？如果是第一次查杀的话智能提速还能有作用么？

  答：如果是第一次查杀智能提速不起作用。前一次扫描确认的，前提是之间没有升级，如果瑞星升级了，再次扫描时是对所有文件进行扫描。

74、问：很想详细了解一下“行为检测”查杀的方式，比如，究竟有哪些行为才被视为病毒，有没有对恶意行为进行分级处理？

  答：这个不好举例说明了，例如异常进程远程联网。从行为防御的自定义级别就可以看出是分级处理的了。

75、问：请问瑞星“云安全”是如何实现的？

  答：建议参考：http://it.rising.com.cn/new2008/ ... 6112552d48434.shtml

76、问：“云安全”的确使防毒能力达到很高的地步，但同时也会带来经济上的负担！
  老师请问一下，要把杀毒软件做的更好，最有可能就是在“云安全”这一块加强前进的步伐，那么瑞星的许可授权费用会升高吗？

  答：费用问题关注官网新闻吧，不会让大家失望的，呵呵

77、问：我的“应用程序加固”设置中点击“搜索支持程序”怎么没反应啊？

    答：没反应？手动添加看是否正常

78、问：能不能详细介绍一下瑞星的“启发式扫描”是怎么工作的吗？

  答：启发式扫描技术可以弥补特征码扫描滞后于病毒更新的缺点，及时通过行为特征发现新病毒或者病毒的新变种。然而，“启发式”查杀并不是万能的，它也存在先天的缺点，例如：误报率高;一旦病毒作者将病毒的动作序列进行拆解就无法准确报出。所以，瑞星“启发式”查杀采用行为分析技术与“云安全”系统分析技术相结合的方法来进行病毒判定，有效发挥了“启发式”查杀的优点，同时也避免单一使用“启发式”查杀技术所带来的大量误报和查不出病毒的问题。

79、问：全盘查杀白名单上的文件在加入名单后会否被感染病毒，之后不再查它，是否安全？

  答：如果加入了查杀白名单，即使文件被感染也不会再查杀，所以一般情况下不建议添加白名单。

80、问：辅助工具中那些对我们用处比较大，具体用法？

    答：辅助工作有很多，反病毒类的工具和使用方法：http://bbs.ikaka.com/showtopic-8442813.aspx

81、问：瑞星每天升级12次，为什么我每天升级时都被提示“已是最新版本”

    答：看下是否升级方式为”即时升级“，如果是这样，瑞星会自动升级，无需手动。

82、问：关于参加云安全，不填写邮箱可以加入云安全不？是不是安装好瑞星杀毒软件后只要联网就会自动加入云安全系统？

  答：不填写也可以，需要勾选”加入云安全计划“

83、问：关于清除病毒和删除文件，病毒对计算机里的文件数据篡改后，瑞星查出来后，是如何处理这个文件的？这个文件能恢复吗？像被病毒破坏了的doc文件算不算染毒文件，有没有传播病毒的功能？

  答：目前的病毒方式只有”询问我“，”清除病毒“，”不处理“，其中”清除病毒”设置，瑞星会根据病毒的不同而自动进行清除病毒或者是删除文件。如果是病毒感染了doc文档，是可以清除的，不会对原文件有影响，除非多次重复感染，导致原文件内容丢失。

84、问：恶意程序是如何进行底层磁盘访问的

  答：直接打开 物理磁盘

85、问：hosts文件主要是做什么的？

    答：其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”，当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从Hosts文件中寻找对应的IP地址，一旦找到，系统会立即打开对应网页，如果没有找到，则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。

86、问：应用程序加固中，拦截程序的异常行为能举例说明一下吗

    答：比如 IE 一般不会启动wscript.exe，一个文档编辑器不会释放驱动等等。

87、问：应用程序控制中，不能保护程序，只能监控，那个监控是什么意思？像日志类的吗？是不是之后还需要手动操作？

  答：设置后，可以看到对监控目标作的一些操作

88、问：u盘备份工具把病毒库备份到u盘上，再结合瑞星光盘系统，进行病毒查杀，这个是针对中毒瘫痪的机子吗？

  答：主要是用于不易清理的病毒

89、问：老师，安检中的安全级别是以什么为判断标准的

    答：根据安检下边的检测项，例如漏洞，全盘杀毒，升级等等

支持，呵呵··:kaka1:

我们的学习委员辛苦啦

是学习委员？忽忽 又出现新官员吗··

辛苦了，支持一下

这么厉害！支持!:kaka1:

顶之~~~不错不错

辛苦了，支持一下

伟大的学习委员啊！！！  顶

学习委员！辛苦了呀！多多支持！！

辛苦辛苦，感谢~~

哎真是不错:default69:

学习委员辛苦啦，支持一下

支持一下。。楼主辛苦了。。

学习委员啊 辛苦了辛苦了:kaka12:

顶一下沉很，:kaka12:

10、问：云安全：在“瑞星云安全的运行模式”中提到，“屏蔽一台服务器，就可以截断成千上万个木马的传播”，我对此有些不理解？
答：举个例子，比如某网站被挂马，当大家都去访问他的时候，就可能会中毒，这时候安装瑞星的用户在访问该网站的时候，瑞星会予以提示，这样就可以避免病毒的进一步传播，越是大型的网站的，传播的范围和危害性就可能越大。
  我有点疑问，如果说瑞星认为此网页有危险存在的时候，这种云安全技术就会自动的阻止用户访问此网页吗？还是帮助用户杀掉木马呢？还是仅仅就是一个提示呢？我个人认为如果是屏蔽掉的话有点不太好，因为有的时候，他们并不是什么病毒，但是很多杀毒软件自认为他们是病毒，大多的时候会让很大一部分的人对此产生误解！~并且会扭曲病毒的概念！~

好像可以有提供查杀后继续访问的功能
而这个问题及答案是说对于木马传染源（服务器）进行屏蔽，并且这个屏蔽列表（即黑名单）是实时更新的

真是辛苦了:kaka1:

感谢楼主对大家的帮助

不错不错

好多问题啊，辛苦了

辛苦了 强烈支持

整理的很好。自己不明白的地方，好多都提到了！！有几个问题跟他们反映的一样！！！都很认真啊？:kaka12:

关于杀毒软件的判断，有的时候是会有错误，但我相信这种概率是很小的吧