小黑2012 - 2011-11-4 9:34:00
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1120726&pid=21834479&fromuid=484533
01、去除默认规则或者可以自己选择修改、删除等操作;
02、支持通配符和环境变量,特别是通配符比较重要;
03、支持分组操作,AD、FD、RD都要支持,增强规则的可移植性;
04、支持规则的导入和导出操作;
05、日志输入类似MD的日志个人感觉会比较好;
2011-11-2 20:15:41 创建新进程 阻止
进程: c:\program files\360\360zip\360zipupdate.exe
目标: c:\program files\360\360safe\liveupdate360.exe
命令行: "C:\Program Files\360\360Safe\LiveUpdate360.exe" /s
规则: [应用程序]* -> [子应用程序]Ring0_The supreme authority -> [应用程序]?:\program files\360\360safe\*
2011-11-2 20:15:42 向其他进程发送消息 阻止并结束进程
进程: c:\program files\360\360zip\360zipupdate.exe
目标: c:\program files\360\360zip\liveupdate360.exe
消息: WM_COPYDATA
规则: [应用程序组]秒杀过滤模式 -> [目标应用程序]常见受保护进程
06、完善拦截点,具体的可以参考 MD的设置;
07、在弹窗方面可以更专业些,加入阻止、阻止并结束进程、允许、临时允许等等
08、可以招募一些动手能力比较强的而且对电脑比较熟悉的童鞋帮助完善内核加固,可以帮助定制默认规则,也可以帮助找BUG等等;
09、内核加固这里可以选择默认模式,可以添加一个“专家模式”
10、所谓的仅添加什么启动项啊,浏览器设置啊,这些都是基本的,注册表部分拦截有很多,建议招募一些爱好者帮助完善
11、当运行的软件的部分行为与内核加固的规则冲突时,或者简单说吧,就是弹窗提示了!那么此刻可以采取以下措施让内核加固兼顾小白和老鸟,即选项有两种:智能模式和专家模式!智能模式就是不受内核加固影响,依然靠瑞星的多步判断啊,云啊,特征码神马的;专家模式就是此时的行为完全受内核加固规则的限制,此刻弹窗变为内核加固特定的弹窗类型,也就是相对专业些的那种!简单点说,你有能力就选择专家模式,一般的小白自然会选择智能模式,这样问题也就简单化了!但是,在这里我必须强调下:设置部分内置规则无法取消,也就是无论神马模式都会受到这些规则的影响,否则内核加固就废掉了!
12、目前的ESET也开始注重手动HIPS这块了,如果瑞星此刻大力推广和完善内核加固,那么我想会有另一番天地!但是ESET对于BUG反馈和收集的速度简直让人喷血,太慢了!这个地方瑞星有极大的优势!!!
13、加入MD5校验或者其他方式检测文件是否被修改,会让内核加固的FD功能有一个飞跃!
14、完善好内核加固的默认规则或者网友规则,会让瑞星的拦截率有质的飞跃!当然,易用性需要磨合,需要招募测试员进行完善和测试!查杀低点没啥,只要运行后有恶意行为的全部能通过内核加固拦截到就OK了,难道这个还不够诱人么?
15、在内核加固中设计以下要求:
一、AD、FD、RD方面每一条可以选择是否启用(目前可以实现)
二、加入几种常见模式,比如”上网加强“、”U盘监控强化“、”防挂马强化“等模式,且可以自定义里面的规则
三、目前的内核加固AD、FD、RD等三方面是分开的,建议可以新建组,将三种融合,对组操作的时候永远要比操作单个的规则要简单的多,如果此刻组能选择是否启用的话,那么内核加固又会有一个质的飞跃了!
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.186 Safari/535.1
01、去除默认规则或者可以自己选择修改、删除等操作;
02、支持通配符和环境变量,特别是通配符比较重要;
03、支持分组操作,AD、FD、RD都要支持,增强规则的可移植性;
04、支持规则的导入和导出操作;
05、日志输入类似MD的日志个人感觉会比较好;
2011-11-2 20:15:41 创建新进程 阻止
进程: c:\program files\360\360zip\360zipupdate.exe
目标: c:\program files\360\360safe\liveupdate360.exe
命令行: "C:\Program Files\360\360Safe\LiveUpdate360.exe" /s
规则: [应用程序]* -> [子应用程序]Ring0_The supreme authority -> [应用程序]?:\program files\360\360safe\*
2011-11-2 20:15:42 向其他进程发送消息 阻止并结束进程
进程: c:\program files\360\360zip\360zipupdate.exe
目标: c:\program files\360\360zip\liveupdate360.exe
消息: WM_COPYDATA
规则: [应用程序组]秒杀过滤模式 -> [目标应用程序]常见受保护进程
06、完善拦截点,具体的可以参考 MD的设置;
07、在弹窗方面可以更专业些,加入阻止、阻止并结束进程、允许、临时允许等等
08、可以招募一些动手能力比较强的而且对电脑比较熟悉的童鞋帮助完善内核加固,可以帮助定制默认规则,也可以帮助找BUG等等;
09、内核加固这里可以选择默认模式,可以添加一个“专家模式”
10、所谓的仅添加什么启动项啊,浏览器设置啊,这些都是基本的,注册表部分拦截有很多,建议招募一些爱好者帮助完善
11、当运行的软件的部分行为与内核加固的规则冲突时,或者简单说吧,就是弹窗提示了!那么此刻可以采取以下措施让内核加固兼顾小白和老鸟,即选项有两种:智能模式和专家模式!智能模式就是不受内核加固影响,依然靠瑞星的多步判断啊,云啊,特征码神马的;专家模式就是此时的行为完全受内核加固规则的限制,此刻弹窗变为内核加固特定的弹窗类型,也就是相对专业些的那种!简单点说,你有能力就选择专家模式,一般的小白自然会选择智能模式,这样问题也就简单化了!但是,在这里我必须强调下:设置部分内置规则无法取消,也就是无论神马模式都会受到这些规则的影响,否则内核加固就废掉了!
12、目前的ESET也开始注重手动HIPS这块了,如果瑞星此刻大力推广和完善内核加固,那么我想会有另一番天地!但是ESET对于BUG反馈和收集的速度简直让人喷血,太慢了!这个地方瑞星有极大的优势!!!
13、加入MD5校验或者其他方式检测文件是否被修改,会让内核加固的FD功能有一个飞跃!
14、完善好内核加固的默认规则或者网友规则,会让瑞星的拦截率有质的飞跃!当然,易用性需要磨合,需要招募测试员进行完善和测试!查杀低点没啥,只要运行后有恶意行为的全部能通过内核加固拦截到就OK了,难道这个还不够诱人么?
15、在内核加固中设计以下要求:
一、AD、FD、RD方面每一条可以选择是否启用(目前可以实现)
二、加入几种常见模式,比如”上网加强“、”U盘监控强化“、”防挂马强化“等模式,且可以自定义里面的规则
三、目前的内核加固AD、FD、RD等三方面是分开的,建议可以新建组,将三种融合,对组操作的时候永远要比操作单个的规则要简单的多,如果此刻组能选择是否启用的话,那么内核加固又会有一个质的飞跃了!
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.186 Safari/535.1