瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星杀毒软件V16+ » V16+新引擎测试专区 » 【dong0022 V16+活动第二弹 核心建议篇】主动防御
dong0022 - 2013-11-27 9:21:00

主动防御


瑞星主防从2011版后强度就开始降级,系统加固当时一度被砍掉,而后在广大用户的强烈建议中又重新进行了整合加入,但对普通小


用户来讲现在的系统加固实用性实在不高。因为默认设置下基本是“无拦截”模式,高模板下拦截提示又太多,安装个QQ就弹了


4、5次弹窗,全是提示消息钩子,如果不是我勾选相同处理,不再询问的话估计手又得抽筋⊙﹏⊙b。。。。。。:kaka6:


 附件: 您所在的用户组无法下载或查看附件

这里的建议还是融合云端黑、白名单做成云主防。这样做首先能保证足够的防御拦截强度,另一个好处就是在和云端比对后本地主防

弹窗次数将极大减少即需要让用户费脑筋的独立判断(到底是放过?还是拒绝?)也会更少一些。国内做的最好的360就是很好的例

子,但云主防在硬件和软件上耗费太大!首先需要一个“坚固”的本地底层hips核心模块,如果核心hips没做好即使拦截到病毒动作

也会被穿透。另外云端黑白名单的收录也极其重要,白判黑、黑判白都是“要人老命”的坑爹逻辑,另外有的厂商干脆一律判未知,

将是非判断又丢给了用户,这样就可以不摊事儿,这种损人的阴招更是让人无语。另外不能忽视的就是人工智能在云防御中的作

用。360将QVM融合在云端后的云QVM将主防提升到了一个新的高度。目前瑞星RDM还处在样本学习中,希望官方在做云主防时融

入RDM,未来RDM应该在查杀和防御方面都起到重要作用。简单总结云主防的精髓:坚固本地hips核心+云端海量精确黑白名单库+人工

智能+云端程序动态行为鉴定器(云端行为规则)。

  有些朋友还在希望瑞星恢复2011版的单步hips+多步行为分析,或者说强化本地,这也是我当初万字评测中提出的建议,但随着越

越多的病毒和木马改变了攻击行为模式这种防御体系的劣势逐渐被放大。首先现在的木马就是一次盗号谁还加什么启动项,修改系统

内核文件等等等?!如果行为分析把单一规则也报出的话误报肯定是海量级。再者行为分析对恶意软件一类程序一直有“先天恐惧 

症”,一个锁屏病毒就让本地行为分析和hips(不手动添加规则情况下)束手无策。:kaka4:如果把行为分析规则细化那就又回到了传


hips点允许/放过点到手抽筋的时代,所以必须上云主防才能平衡拦截强度和误报!云是未来主力不是辅助,希望有本地“重杀

型”杀软情结的朋友尽早适应云趋势。

  另一个关键问题不得不提,就是64位系统。由于64位系统PG限制,主防无法做到和32位系统同样高的拦截强度。但最纠结的是64


统是未来大势所趋,任何人都无法阻挡!360深谙此道创新出核晶引擎,专为64位系统打造,技术含量确实高,瑞星工程师的大牛


希望可以得到启示,这个真心难弄,但必须要弄!希望工程师们给力吧。


 附件: 您所在的用户组无法下载或查看附件

瑞星工程师12 - 2013-11-27 17:03:00
建议已收集反馈。感谢您对瑞星产品的支持!
1
查看完整版本: 【dong0022 V16+活动第二弹 核心建议篇】主动防御