shulun743 - 2016-9-1 14:43:00
一、现状:
1、为了提升用户体验,错误的删除监控点,以牺牲用户安全为代价,换取拦截弹窗的数量降低!
2、系统加固的低 中高,已经不合时宜,因为它们的存在只是为了控制弹窗数量的多少,但是并没有对程序进行严格的权限和启动控制,应该换种策略,来替代系统加固!
3、利用签名和云安全信息自动放行,也是设计不太合理,因为很多的带有签名的或云信息是安全的程序的动作,瑞星一直在拦截提示用户,如底层磁盘访问?
二、改进方案
概论:
纵观近几年的发展,国内的主防都向着弹窗少的方向发展,这个本来是个好事?拼命的改进主防的易用性就该表扬啊?但是碰上了勒索、敲竹杠病毒呢?全部趴窝后,我才发现原来是精简了监控点,这不是本末倒置吗?而国内又拼命的玩弄文字游戏,炒作概念(如360那样的防火墙,防毒墙?这也叫墙?),又是家家评测第一,直接影响了国内主防的发展方向。加上了国内外整体大环境,外加大流氓的免费策略,直接造成了劣币驱良币,n多创业公司倒闭,更不用说主防的停滞不前了!而瑞星也受到这些思潮的影响,乐呵呵的挥刀自宫,阉割自己的系统加固(2012)?并且把自己的应用程序控制也砍掉了,不得不说是个不小的损失啊,看来受国内舆论的影响,受害不浅!而国外呢,拼命的改进主防技术,主要以卡巴等为代表的开发了强大的hips + 行为+沙盘的模式的主防!而瑞星是最接近国际大厂的技术水平,却被国内带路党,搞混了方向,不得不说是一种悲哀啊,失去的四年!!!人生有几个四年?
方案:
1、系统加固直接大改,重新写,这个本来是瑞星最大的亮点,现在却黯淡无光,不应该啊!!!
最近的测试,发现瑞星的拦截点都不存在了,既没有控制病毒重启电脑,也控制不了病毒修改登录账号和密码,简直是败了!!!而病毒利用ie和explorer做坏事,拼命的感染系统,而瑞星跟在屁股后面拼命的追,就没有想过和平年代给 ie和explorer加把锁,就让人家把它们当车开走了?
建议增加拦截点:
a、进程、线程控制
启动、停止和暂停其它的进程和线程
b、保护进程
防御代码注入
询问读 和写其它进程的内存
句柄控制
调试和 窗口消息
c、操作系统保护
创建隐藏的文件、进程和注册表
重启或关闭操作系统
修改登录账号和密码
摄像头
键盘 钩子
录音和录屏?
2、做得自动放行和云安全中的文件这个功能与系统加固的很多规则相冲突,如签名进程底层访问磁盘,既然能自动放行了,这里还要询问???
这不是冲突吗???我估计是瑞星对签名和云安全的文件也是不是很信任,怕有虫子混在其中,对用户造成伤害把?干脆大改得了!!!
不要自动放行签名和云安全了,而是直接利用信誉云+签名数据库+ 社区云的规则来自动放行吧?
卡巴的逻辑就是利用了信誉云+ 社区云+ 签名库,来综合判断是否进程是安全与否,最终决定是否放行的!!!
这里,我强烈建议瑞星开发社区云+ 信誉云,利用社区强大的力量来去除误报和漏报!!!
并且卡巴自己建立了签名数据库,无法确认的是放到了不信任中的,也就是说卡巴不信任这个证书!!!
同时卡巴利用社区云,收集用户程序信息, 并上传到官方服务器供客户端下载使用,来避免了一个进程,
既没有签名又没有云安全信息的尴尬,并增强了卡巴hips的易用性的!!!
上点图 ,太枯燥:::
1、拦截点
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
常见的AD行为有
”加载驱动(设备驱动程序安装)“
”安装钩子“
”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“
”结束\挂起进程(进程终止)“
”修改其他进程内存(进程间内存写)“
”直接访问物理内存“
”直接访问底层磁盘“
”获得键盘的输入记录“
”获得屏幕内容“
”窗口消息“
”访问COM接口“
2、信誉云
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
comodo 也是通过主动信誉扫描, 快速收集程序的安全信息,并通过鉴定迅速确认是否存在漏杀现象!!!
据说360 ,也是通过 非白即灰 的策略,上传exe ,dll 等文件鉴定,快速收录文件的信息!!!
建议瑞星能在客户端, 开放 云信誉查询 , 并添加 用户评分的功能呢,这样也能快速反馈是否存在误报或漏报的的问题, 并且可以给其它用户分享hips限制策略 !!!
用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 UBrowser/5.7.15319.202 Safari/537.36
1、为了提升用户体验,错误的删除监控点,以牺牲用户安全为代价,换取拦截弹窗的数量降低!
2、系统加固的低 中高,已经不合时宜,因为它们的存在只是为了控制弹窗数量的多少,但是并没有对程序进行严格的权限和启动控制,应该换种策略,来替代系统加固!
3、利用签名和云安全信息自动放行,也是设计不太合理,因为很多的带有签名的或云信息是安全的程序的动作,瑞星一直在拦截提示用户,如底层磁盘访问?
二、改进方案
概论:
纵观近几年的发展,国内的主防都向着弹窗少的方向发展,这个本来是个好事?拼命的改进主防的易用性就该表扬啊?但是碰上了勒索、敲竹杠病毒呢?全部趴窝后,我才发现原来是精简了监控点,这不是本末倒置吗?而国内又拼命的玩弄文字游戏,炒作概念(如360那样的防火墙,防毒墙?这也叫墙?),又是家家评测第一,直接影响了国内主防的发展方向。加上了国内外整体大环境,外加大流氓的免费策略,直接造成了劣币驱良币,n多创业公司倒闭,更不用说主防的停滞不前了!而瑞星也受到这些思潮的影响,乐呵呵的挥刀自宫,阉割自己的系统加固(2012)?并且把自己的应用程序控制也砍掉了,不得不说是个不小的损失啊,看来受国内舆论的影响,受害不浅!而国外呢,拼命的改进主防技术,主要以卡巴等为代表的开发了强大的hips + 行为+沙盘的模式的主防!而瑞星是最接近国际大厂的技术水平,却被国内带路党,搞混了方向,不得不说是一种悲哀啊,失去的四年!!!人生有几个四年?
方案:
1、系统加固直接大改,重新写,这个本来是瑞星最大的亮点,现在却黯淡无光,不应该啊!!!
最近的测试,发现瑞星的拦截点都不存在了,既没有控制病毒重启电脑,也控制不了病毒修改登录账号和密码,简直是败了!!!而病毒利用ie和explorer做坏事,拼命的感染系统,而瑞星跟在屁股后面拼命的追,就没有想过和平年代给 ie和explorer加把锁,就让人家把它们当车开走了?
建议增加拦截点:
a、进程、线程控制
启动、停止和暂停其它的进程和线程
b、保护进程
防御代码注入
询问读 和写其它进程的内存
句柄控制
调试和 窗口消息
c、操作系统保护
创建隐藏的文件、进程和注册表
重启或关闭操作系统
修改登录账号和密码
摄像头
键盘 钩子
录音和录屏?
2、做得自动放行和云安全中的文件这个功能与系统加固的很多规则相冲突,如签名进程底层访问磁盘,既然能自动放行了,这里还要询问???
这不是冲突吗???我估计是瑞星对签名和云安全的文件也是不是很信任,怕有虫子混在其中,对用户造成伤害把?干脆大改得了!!!
不要自动放行签名和云安全了,而是直接利用信誉云+签名数据库+ 社区云的规则来自动放行吧?
卡巴的逻辑就是利用了信誉云+ 社区云+ 签名库,来综合判断是否进程是安全与否,最终决定是否放行的!!!
这里,我强烈建议瑞星开发社区云+ 信誉云,利用社区强大的力量来去除误报和漏报!!!
并且卡巴自己建立了签名数据库,无法确认的是放到了不信任中的,也就是说卡巴不信任这个证书!!!
同时卡巴利用社区云,收集用户程序信息, 并上传到官方服务器供客户端下载使用,来避免了一个进程,
既没有签名又没有云安全信息的尴尬,并增强了卡巴hips的易用性的!!!
上点图 ,太枯燥:::
1、拦截点
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件常见的AD行为有
”加载驱动(设备驱动程序安装)“
”安装钩子“
”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“
”结束\挂起进程(进程终止)“
”修改其他进程内存(进程间内存写)“
”直接访问物理内存“
”直接访问底层磁盘“
”获得键盘的输入记录“
”获得屏幕内容“
”窗口消息“
”访问COM接口“
2、信誉云
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件comodo 也是通过主动信誉扫描, 快速收集程序的安全信息,并通过鉴定迅速确认是否存在漏杀现象!!!
据说360 ,也是通过 非白即灰 的策略,上传exe ,dll 等文件鉴定,快速收录文件的信息!!!
建议瑞星能在客户端, 开放 云信誉查询 , 并添加 用户评分的功能呢,这样也能快速反馈是否存在误报或漏报的的问题, 并且可以给其它用户分享hips限制策略 !!!
用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 UBrowser/5.7.15319.202 Safari/537.36