瑞星卡卡安全论坛

讲师：工程师16号

讲义地址：http://bbs.ikaka.com/showtopic-8941128.aspx

本次课程答疑时间：2011年7月4日 14:00-16:00

提问方式：回复本帖提问（即跟帖），不要通过QQ群提问，讲师会在答疑时间，编辑提问帖进行答疑！

瑞星杀毒软件2011版下载：http://down.rising.net.cn/rsfree/2011/ravf.exe

 附件: 您所在的用户组无法下载或查看附件怎么我的瑞星这些都没安装呢 ？？？

瑞星工程师16回复：这种现象先看看计算机上是否装有其他安全类软件，如果没有，尝试不保留用户配置文件修复或者重装瑞星杀毒软件看看

启发式扫描卫生为什么安装包大于。。M就不能扫描呢？？ 这是基于什么原理呢？

瑞星工程师16回复：启发式扫描默认扫描20MB以下的压缩包和安装包文件，设定范围为1~999MB。一般来说，病毒文件的大小不会超过这个范围，此设定可以加快瑞星的扫描效率。如果出现超大的病毒，瑞星的文件监控和主动防御功能也可以对病毒进行处理和防御。

那系统加固是用什么原理？？

瑞星工程师16回复：软件默认内置规则组成的主动防御体系，用户也可以自行添加。

虚拟化引擎？？反病毒虚拟机？ 大致说下就好。我百度了一下讲的太玄了。。。。

瑞星工程师16回复：虚拟机的运用主要是两个方面：第一，虚拟机可以集成在杀毒软件中，当遇到加壳、变形等难以查杀的病毒时，可以将其置入虚拟机中运行，病毒在其中恢复原形运行，就会被杀毒软件杀掉，这样可以大大提高杀毒软件的查杀能力，有效查杀各种复杂恶性病毒及木马。
第二，虚拟机可以用在病毒样本的自动处理当中。由于瑞星云安全系统每天需要处理百万量级的样本，虚拟机效率的提高，可以让系统处理新样本的时间减少，还可以大大节约服务器资源。在瑞星“云安全”系统应用新一代虚拟机技术之后，一个新木马从出现在互联网上，到被分析完成彻底查杀，只需要5分钟。

几个问题：
1.启发式扫描是独立存在的还是基于虚拟机技术的，如果启发式扫描是识别病毒行为的话，应该就是在虚拟机里运行了病毒吧。
2.开机扫描是如何实现的，曾经遇到过一个命令行程序，在系统桌面启动前运行了，我想这个和瑞星开机查杀以及开机之前的chkdsk磁盘错误扫描是同一原理吧，这个应该不算商业机密，能不能指导下，说下实现原理
3.局域网中防火墙经常报告端口被扫描了，而实际上并没有人恶意扫描啊？

瑞星工程师16回复：
1.启发式扫描的定义可以参考讲义。关于您的问题，瑞星2011版本采用了新的反病毒虚拟机，可以理解为在虚拟机中运行文件
2.瑞星目前的开机扫描是指在登录桌面后进行查杀。
3.关于端口被扫描的记录，要看看是否开启了端口隐身和ARP防御功能，最好提供瑞星的日志。

瑞星杀毒和防火墙开机自启动怎么关闭？

瑞星工程师16回复：目前版本不能关闭

浏览器保护和办公软件保护中的防御未知漏洞攻击
既然是未知的~请问是如何防御的呢:kaka2:


瑞星工程师16回复：根据一些内置规则组成的主动防御体系进行防御。

1、我想启发式扫描是对行为特征的的匹配，而特征码扫描是对特征码的匹配，可以这样理解么？
2、快速查杀中的关键区是指那些部分呢？
3、系统内核加固是通过怎样的原理来防御未知的漏洞呢？

瑞星工程师16回复：
1.是的
2.是指一些系统文件夹，如system32
3.可以参考8楼的回复

老师好，我个人认为这章是否我们只要了解瑞星杀毒软件的各个功能以及使用就可以了？
当然各位同学，我不是这个专业了解不多，是想说，我看不出什么问题。同学们提出的我也很关注，就也当是学习了。
我已了解。

老师，看完讲义有几下几个问题，希望得到您的解答：
（1）面对现在的微博病毒，瑞星2011是否能够利用启发式检测出来？
（2）如果是dll类型的木马，瑞星2011是否能将其揪出来？具体的工作原理  又是什么？
（3）对复合文件的扫描是否会占用比较大的内存？扫描的时候是否会影响其他程序的正常运行？


瑞星工程师16回复：
1.如果有病毒样本可以查杀试试。目前将瑞星最新版本可以防御
2.检测dll文件使用瑞星的查杀功能即可
3.在对文件进行查杀时，占用内存会有所升高。一般情况下不会影响其他程序运行。

杀毒的设置复合文件扫描不大于20M的压缩包或安装包，如果有病毒在这些压缩包和安装包里，能不能查杀出来呢？

瑞星工程师16回复：此问题请参考3楼回复。

工程师您好：我有几个问题
1、在云安全扫描时是所有的文件都要调用服务器的云病毒特征库，还是先经过本地的电脑病毒库初步判定之后再调用云病毒库？
2、如果每个文件都要调用服务器的云病毒库，那么通过网络查询的时间会大大增加病毒查杀的时间，使扫描变得很慢？（比如说全盘查杀，我的电脑有100多万的文件，如果每个文件多要联网一次时间将会非常长吧）
3、如果先经过本地的病毒特征库初步判定，对于库中没有的病毒会不会被逃过查杀（病毒潜伏在电脑中，并没有发动攻击，像这样的情况瑞星杀毒软件能查杀吗？具体怎么查杀？）
4、对于一些会破坏网络连接的病毒，没有了网络，瑞星无法进行云查杀，这时候怎么办呢？瑞星杀毒软件有什么功能能解决这个问题？
5、我上次用瑞星卡卡安全助手修复了一下我电脑的图标异常，却导致我常用的许多软件的图标都变成没有图像了，不知道要怎么样还原回去，能不能撤销之前修复的操作？

以上就是我的几个问题，麻烦工程师解答了，十分感谢！
天气炎热，注意防暑！

瑞星工程师16回复：
1.瑞星扫描方式是“云”和本地病毒库相结合。
2.病毒的扫描时间根据计算机中文件数量和文件种类决定的。
3.如果是瑞星病毒库中没有入库的文件，用户可以通过上传的方式，将文件提供给瑞星，加以完善。对于已经入库的病毒，即使没有发作也依然可以对文件进行查杀。瑞星的启发式扫描和主动防御则可以对未知病毒进行防御
4.如果机器不能联网，依然可以通过瑞星的最新安装包将本地瑞星升级至最新版本，使用本地病毒库进行处理。
5.目前不能撤销之前的操作，该问题建议您在瑞星安全助手区发问题帖。

浏览器防护是不是所有的浏览器都能防护？我电脑上安装了6款浏览器，但只有3款浏览器被保护，火狐，360极速和闪游浏览器 这3款没有被保护。

瑞星工程师16回复：浏览器防护功能目前不是支持所有浏览器。

老师您好，在杀毒软件上，云查杀技术主要是什么？
与云计算有什么关联呢？
是分布式技术吗？
瑞星针对的浏览器防护主要是哪些方面的？是否是网页挂马，钓鱼网站等方面的安全？

瑞星工程师16回复：
云查杀简单来说就是将用户对文件的查杀结果等信息上传至“云”端，用于提高软件的查杀效率和对未知病毒防御能力。
是的

能不能问一下，病毒扫描是运行在驱动的哪一级呀，是微软提供给所有用户的病毒扫描那一级呀，还是自己向微软注册的一级？

瑞星工程师16回复：应用级

工程师您好：
瑞星的云在查杀和实时监控上都有应用，为何不在系统内核加固上也应用云给用户一些提示呢？比如某些操作是被规则限制但数字签名安全可以信任之类的

瑞星工程师16回复：建议您举例说明或者具体说明希望瑞星在系统内核加固方面需要如何改进。

瑞星以前版本有一个开机扫描功能bootscan,
现在怎么没有了？
是出于什么原因把它去掉了？

瑞星工程师16回复：该功能还有，做了优化调整：在文件监控开启的状态下不进行开机扫描以节省系统资源。

系统内核加固中，“系统底层访问”是怎么实现的？如何识别某个程序是在底层来“动”我的电脑，瑞星又是通过什么来控制这么程序？瑞星又是怎么和系统的内核想连接，是否有这个权限？如果有，这个权限是哪个级别？还有，“办公软件防护”里，不明白为什么会有漏洞，难道说在运行word里，它也会联网？还是什么？这类的漏洞特点是什么？防护机制又是什么？

瑞星工程师16回复：
1、系统内核加固中，“系统底层访问”是怎么实现的？--通过监控系统函数的调用等
2、如何识别某个程序是在底层来“动”我的电脑，瑞星又是通过什么来控制这么程序？--驱动级别的调用和监控来实现的
瑞星又是怎么和系统的内核想连接，是否有这个权限？--这是一个复杂的问题，有别于常规的用户权限和身份 其实绝大多数安装在系统中的驱动都是系统自动用较高权限调用启动以实现“服务”的功能的
3、如果有，这个权限是哪个级别？--参考2问题的回复
4、还有，“办公软件防护”里，不明白为什么会有漏洞，难道说在运行word里，它也会联网？还是什么？--
首先需要明确任何一款软件产品均可能存在设计缺陷或（叫做漏洞）并会对系统或软件的使用造成一定的不利影响或存在安全隐患，如（http://www.microsoft.com/china/t ... letin/MS11-036.mspx）。瑞星的功能“办公软件防护”是利用类似系统加固的功能 监控和约束办公软件的运行环境和加载对象，实现加固“办公软件”的目的的。
5、这类的漏洞特点是什么？--无法确定有多少未知漏洞以及可能造成的影响，已知漏洞的影响和特点也是因漏洞不同而异的。
6、防护机制又是什么？－－参看4问题的答复

为什么有时候我自己编写的C语言程序会报病毒？

瑞星工程师16回复：建议您提供样本

我重新装了一下 还是这种情况的。。  呵呵 我修复了一下 好了 嘿嘿 给力

1.当我们排除一个被报毒的文件后，到底是通过什么方式不对他进行报毒呢？（还要对他得行为进行监控吗？）
2.瑞星内置的虚拟机与我们平常所使用的vmware和virtual box有什么区别啊？

瑞星工程师16回复：
1.不太清楚您所说的排除报毒文件是什么意思。
2.具体技术细节不方便告知。关于瑞星反病毒虚拟机功能可以参考5楼回复。

那么可以扫描大于20M的压缩包 ，只是这样会耗时间 ？？这样是不是更人性化呢？？

瑞星工程师16回复：最高可以设置扫面999MB的压缩包。一般来说默认设置即可。

软件默认内置规则组成的主动防御体系？？这个怎么实现的呢？？

瑞星工程师16回复：即针对系统文件，注册表设置的规则集合。

由于初次接触，对这些都没什么概念～能不能麻烦老师系统的讲解下整个实习内容的框架～

老师，我想知道，在讲义中提到的那三种技术是如何在2011版本中体现的，有具体的实例吗？？、或者与其它杀毒软件的对比等等，当看到2011界面的时候，我完全想不到它背后竟然融合有这么多技术，通过第一次课程，感觉就是学了如何运用这个软件，还有就是我进行了两次杀毒，在c盘竟然出现了木马病毒，我电脑上还同时装有360杀毒，两个软件检测的结果不同，我感到很迷惑，希望您能进行解答:kaka12:

瑞星工程师16回复：您所说的“三种技术是指什么”？
如果您对查杀文件结果有疑问，建议您提供文件说明。

浏览器监控中 有个内核加固技术  老师能不能解释一下 什么事内核加固 

这个内核指的是浏览器内核还是操作系统内核

瑞星工程师16回复：内核加固的解释可以参考8楼回复，这里是指浏览器内核

在全盘查杀中，有一个排除目录，可以进行添加，就不会再提示病毒了，大概是这样子吧，我自己的理解……

瑞星工程师16回复：这里的排除目录是指全盘扫描时不对该目录下文件进行扫描。

虚拟化引擎存不存在呢 ？？ 是不是以物质为基础呢？还是人们想象的。。
是不是瑞星中也包含了一个虚拟机，就像winxp中的虚拟机，都是软件中包含的一个虚拟程序，那这么虚拟程序，放在内存里的么 还是怎么实现的？？？

老师，之后的课程能否有一个提纲式的图文资料，从而让我们熟悉整个框架，还有就是实现相关技术所要使用的辅助软件和平台等，求解:kaka15: