瑞星卡卡安全论坛
首页
»
个人产品讨论区
»
瑞星杀毒软件
»
瑞星全功能安全软件
»
瑞星的综合改进篇
shulun743 - 2011-4-27 9:01:00
一、安装和升级
1.jpg
(112.91 K)
2011-4-27 9:00:55
a、改进老旧的安装模式,建议采用金山的“一键式”安装,摒弃“下一步,下一步”。
b、建议采用像卡巴和金山一样的安装策略----安装时检查安装环境并打开自保,防止病毒在杀软安装时进行破坏。
无标题.jpg
(146.96 K)
2011-4-27 9:00:55
c、建议改进安装和升级策略,希望在初次安装完成后和升级核心文件时“不要重启”。金山的策略是重启后替换文件,而不是像瑞星关闭监控
ght.JPG
(70.94 K)
2011-4-27 9:00:55
d、建议瑞星在升级过程中将下载程序和 安装程序合一,在更新文件时加快速度---就是替换新文件,重启瑞星进程,怎么那么费资源呢?太慢
二、监控和主防
a、建议监控加入 云----进程运行和文件创建时连接云验证,金山和360都有此功能。
fgrre.jpg
(269.57 K)
2011-4-27 9:00:55
b、收集用户的操作数据,如卡巴和金山。指导用户操作。
捕获.JPG
(107.88 K)
2011-4-27 9:00:55
23.jpg
(80.64 K)
2011-4-27 9:00:55
d、添加进程创建防御,彻底杜绝 像磁碟机和千足虫之类的病毒发作。卡巴有此类功能,有签名和存在云中的进程,卡巴不拦截,估计还考虑到了文件的大小?
%e5%8d%a1%e5%b7%b4.jpg
(105.67 K)
2011-4-27 9:00:55
e、添加沙盘,如卡巴、江民和金山,它们都有沙盘。
8.jpg
(96.55 K)
2011-4-27 9:00:55
f、建议能像x一样,能记录程序对文件和注册表的操作,并添加一键回滚和打开日志功能。卡巴和江民有注册表回滚功能---当检测到未知木马时,启发引擎报警并回滚!
未命名.jpg
(107.10 K)
2011-4-27 9:00:55
g、生成常用程序名单,建议瑞星能在初次安装时 生成常用程序白名单
y.jpg
(97.48 K)
2011-4-27 9:00:55
u.jpg
(116.43 K)
2011-4-27 9:00:55
三、扫描
添加云扫描,在后台自动慢速---注意是慢速扫描(目的是不拖慢系统速度,若是用户主动扫描的话,扫描速度就恢复正常),并创建白名单,
这样若全盘扫描和监控时,引擎根据白名单 跳过白名单上的文件,提升系统性能。卡巴和诺顿都有此功能.
详细建议:
http://bbs.ikaka.com/showtopic-8973385.aspx
pgh.JPG
(284.73 K)
2011-4-27 9:00:55
在全盘扫描完成界面添加 求助 入口和 加入白名单
功能-----用于程序误报!
截图未命名.JPG
(185.15 K)
2011-4-27 9:00:55
用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; twchrome)
万事达 - 2011-4-27 9:38:00
您的建议已收集,感谢您的支持。
shulun743 - 2011-4-27 9:51:00
四、设置---建议采用pdm机制
建议采用pdm技术 将程序控制和白名单做在一起,你看看瑞星的白名单 有好几个呢!
http://bbs.ikaka.com/showtopic-8835584.aspx
1.jpg
(72.70 K)
2011-4-27 9:51:30
2.jpg
(138.62 K)
2011-4-27 9:51:30
4.jpg
(135.45 K)
2011-4-27 9:51:30
5.jpg
(82.30 K)
2011-4-27 9:51:30
u.jpg
(116.43 K)
2011-4-27 9:51:30
y.jpg
(102.22 K)
2011-4-27 9:51:30
详细建议请参考:
http://bbs.ikaka.com/showtopic-8835584.aspx
五、拦截规则和驱动
建议瑞星在安装时能随机命名自身驱动,防止病毒释放驱动与瑞星对抗。如:Malware Defender就是采用的随机 命名
改进瑞星的驱动挂钩方式,通过修改 PsTerminateSystemThread 将对 PspTerminateThreadByPointer 的调用改为对HookOfPspTerminateThreadByPointer 的调用,大概是针对目前流行的搜索 PspTerminateThreadByPointer 地址的方法而采取的措施,因为这样修改后,其它驱动程序基本上就搜索不到 PspTerminateThreadByPointer 的地址了。比较奇怪的是,x未对 PspTerminateThreadByPointer 进行挂钩,所以如果通过其它办法得到该地址,x就防不住了。
具体建议:
http://bbs.ikaka.com/showtopic-8864579.aspx
另外瑞星的自保还是需要加强:
测试瑞星hips -文件和注册表、符号链接和环境设定:
http://bbs.ikaka.com/showtopic-8939597.aspx
瑞星自保 测试综合帖:
http://bbs.ikaka.com/showtopic-8972203.aspx
完善拦截规则(系统加固):将这些 规则并入系统加固(高),这样只有高手才会用到
一般人不会设置成高的,既满足了低级用户的安全性,有满足了hips迷的 需求!!!
最好还是采用 卡巴的pdm技术,利用启发分级程序并放入相宜的组中!!!
具体建议(pdm)请参考:
http://bbs.ikaka.com/showtopic-8835584.aspx
拦截hive 方式 修改 注册表
拦截进程间操作:
操作其它进程的内存
操作 其它进程的线程
进程间的消息操作
复制句柄--进程间
加载dll文件
六、服务和支持
在扫描结束后提供 救助入口,添加 技术支持
截图未命名.JPG
(185.15 K)
2011-4-27 9:51:30
QQ截图20110427100026.jpg
(86.01 K)
2011-4-27 10:01:54
建议 瑞星也添加技术支持信息 ,将瑞星那个异常信息收集工具集成到瑞星界面中
很有特色的 创意
0.jpg
(130.66 K)
2011-4-27 9:53:14
建议瑞星能检测使用环境,自动启用防御强度!
1.jpg
(121.96 K)
2011-4-27 15:41:08
建议瑞星检测用户的使用环境!
是家庭 还是工作 或 公用?
然后自动启用相应的防御强度!
卡巴有此功能!
吻你没商量 - 2011-4-27 15:04:00
很强大。。。
1
查看完整版本:
瑞星的综合改进篇
© 2000 - 2024 Rising Corp. Ltd.