瑞星卡卡安全论坛

瑞星查了毒，是直接删除了，还是上传到“云”中保存样本，以待以后分析呢？ 如果自己强制要使用这些病毒，行不行呢？

瑞星工程师16回复：瑞星发现病毒后会将报毒文件放入【病毒隔离区】，如果需要使用文件可以禁用瑞星监控，将文件从隔离区中恢复。除非确定文件不是病毒，否则不建议如此操作。

为什么不能关闭呢 是不是瑞星把启动项给隐藏在某个关键的位置了？？我在msconfig中 貌似找不到瑞星开机启动项

老师问下如何退出瑞星啊

瑞星工程师16回复：目前没有“退出选项”，可以右击瑞星监控图标，“禁用所有电脑防护”。

[quote] 原帖由 deng520 于 2011-7-1 15:32:00 发表
[attachimg]688295[/attachimg]怎么我的瑞星这些都没安装呢 ？？？

你好，我的问题是这些都没有，已重装过还是这样[img]file:///C:%5CUsers%5Cn%5CAppData%5CRoaming%5CTencent%5CUsers%5C196717109%5CQQ%5CWinTemp%5CRichOle%5C%602%7EM2YB%602A7Q09D37%7EV42Y2.jpg[/img][img]file:///C:%5CUsers%5Cn%5CAppData%5CRoaming%5CTencent%5CUsers%5C196717109%5CQQ%5CWinTemp%5CRichOle%5C%602%7EM2YB%602A7Q09D37%7EV42Y2.jpg[/img]
 附件: 您所在的用户组无法下载或查看附件

瑞星工程师16回复：在64位操作系统下，瑞星没有主动防御功能

我们怎么动system32里面的东西 系统不会出现问题？？

瑞星工程师16回复：该文件夹中一般是重要系统文件，无病毒处理基础的话不建议对该文件夹下的文件做手动处理。在今后病毒日志培训中会介绍相关内容。

1.看了软件的系统内核加固部分，主要通过使用规则控制软件对内核的程序是否访问么？
2.那以前不带内核加固部分的杀毒软件是否不可以扫描内核的程序？
3.还有那个默认不检测数字签名的程序，病毒等不是有时候可以伪造签名么？问题可能显得幼稚，望不吝赐教，谢谢！！

瑞星工程师16回复：
1.是的
2.内核加固主要体现在防御功能而不是病毒查杀
3.您所说的是木马防御功能，查杀和文件监控依然可以对带数字签名的文件进行监测

1.看了软件的系统内核加固部分，主要通过使用规则控制软件对内核的程序是否访问么？
2.那以前不带内核加固部分的杀毒软件是否不可以扫描内核的程序？
3.还有那个默认不检测数字签名的程序，病毒等不是有时候可以伪造签名么？问题可能显得幼稚，望不吝赐教，谢谢！！

在安全检查模块中，只有软件版本、可疑文件和电脑防护3个条件全部符合的时候，安全状态才会显示安全。可是事实上有的软件更新后会存在问题，把装有最新版本软件当中安全状态的一个条件是不是不太合理？

瑞星工程师16回复：升级至最新版本，使用最新的病毒库和其他组件，才能起到更好的防护效果

比如瑞星在刚安装后，设置系统内核加固，几乎所有程序都会在联网等操作被瑞星拦截，并让用户作出判断，但是许多用户看不懂，虽然写了厂商名，进程名，路径，瑞星可以用云来为用户做一个判断建议，并且这些弹窗都是红色，有些用户看见红色就觉得危险，看都不看就阻止了……

瑞星工程师16回复：此建议已收集

请问，云病毒库的病毒资料是不是会定期更新到本地的病毒库中？这样病毒库的大小是不是会越来越大？

瑞星工程师16回复：不会有明显的变化

1.安装提示邮件监控安装失败 但装往后还可以正常启动邮件监控功能 请问这是怎么回事？
2.虚拟化引擎  虚拟机和沙盒类似？有点不懂

瑞星工程师16回复：
1.建议提供安装失败截图
2.可以理解为在虚拟环境中运行文件

那病毒能不能通过自身的程序修改这些主动防御规则呢 ？？如果能，那是不是就意味着，瑞星对这个木马或者病毒免杀？？

瑞星工程师16回复：瑞星自身有自我保护功能，以防止病毒对程序进行修改。如有瑞星不能查杀样本，可以提供进行分析。

他说的实际上就是想你解释一下“三层安全架构”。。

工程师 你好 ， 你怎么就知道他是64位操作系统呢？？哪里有提示么？？

云病毒库很大吧，那么查杀一个病毒也是要许多时间吧。如果一个病毒在那个时间段里，成功逃脱，那是不是他就过了云呢 ？？虽然这时间很短。

系统加固是利用外在的规则去约束病毒，如果本身在系统里面的，是不是杀毒软件无论怎样跟新都会免杀呢？？

瑞星工程师16回复：不知道你说的在系统里面是什么意思

启发式扫描？？ 如果病毒多迂回几次不给特征码你，启发式扫描是不是就不能进行了，是不是就能穿透杀软呢？

如果病毒在瑞星虚拟机里把瑞星虚拟机搞疲，那么是不是就可以把瑞星搞瘫痪，那么是不是就进一步可以攻击系统了呢？？

这么说来，云一直连着我们得电脑，那么这样我们的机子是不是有安全隐患呢？？？他可以上传？？那么是不是也可以下载呢？？

有没有方式可以让杀毒时 减小内存？？

首先，不好意思，由于考试来迟了 。

1.这个本地病毒库是集成在软件的一部分安装在本地电脑内么？若是，他的文件名是什么？可否打开？是以什么方式保存的呢？若不是，他和云查杀有什么区别？

2.文件监控一般都是监控什么文件？正在运行的程序还是？

3.反病毒虚拟机具体是怎么样实现的，和启发式扫描的区别？

4.端口被扫描，他们一般是扫描哪些端口的呢?

5.主动防御体系是针对系统哪些文件，注册表哪些项值进行防御的呢？

6.机器不能联网，下载有瑞星的最新安装包，为何不直接升级？要等到不能联网时在升级进行查杀么？

7.瑞星杀毒一般都对什么文件进行查杀扫描？出了.exe可执行文件外。

瑞星工程师16回复：
1.rsvirlib是瑞星的病毒库组件
2.不加入文件监控白名单的程序都会被监控
3.可参考3楼回复
4.被扫描端口不固定，端口扫描的内容可参考防火墙讲义
5.文件监控和木马防御都可以对除加入白名单外的目录进行监控
6.瑞星默认是自动升级的
7.对大部分的文件类型都能扫描

64位  没有主动防御模块  莫非还未完全支持64的吗？
还有界面太拘谨了

瑞星云安全是如何进行的，是否有自己的特点？请老师详细解说，感谢老师答复。

瑞星工程师16回复：瑞星的启发扫描会自动分析是否为可疑文件，云安全功能会自动上报样本。

本地病毒库的最新更新是否和云安全病毒库相等？:kaka1:

瑞星工程师16回复：不相等

老师：
    系统内核加固好处体现在那些方面呀？为什么要加固啊

瑞星工程师16回复：目的是防御未知病毒

随便解释下
系统底层访问 是靠拦截三环直接打开\\.\PhysicalDrive0这样的对象实现的 因为正常打开磁盘很少是直接打开这个对象的 所以拦截了这个 著名的鬼影病毒就是直接打开第一个硬盘的第一个扇区也就是MBR 修改的
识别某个程序动你的电脑是靠瑞星在0环的驱动实现的 抽象的说 0环驱动拦截到动作后发给3环的程序 然后3环的程序再做出指示拦截或者不拦截
保护word是因为doc文档利用word解析文件的漏洞而做一些不正当的行为 一般来说每种文件都有固定的格式 但有些解析这些格式的软件存在解析文件的漏洞 那么我们就可以构造利用这种漏洞的文件来触发解析器做我们想要做的事情