瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星安全联盟论坛 » 对系统加固的改进建议
shulun743 - 2016-9-1 14:43:00
一、现状:


1、为了提升用户体验,错误的删除监控点,以牺牲用户安全为代价,换取拦截弹窗的数量降低!


2、系统加固的 ,已经不合时宜,因为它们的存在只是为了控制弹窗数量的多少,但是并没有对程序进行严格的权限和启动控制应该换种策略,来替代系统加固!


3、利用签名和云安全信息自动放行,也是设计不太合理,因为很多的带有签名的云信息是安全的程序的动作,瑞星一直在拦截提示用户,如底层磁盘访问?




二、改进方案


概论:




纵观近几年的发展,国内的主防都向着弹窗少的方向发展,这个本来是个好事?拼命的改进主防的易用性就该表扬啊?但是碰上了勒索、敲竹杠病毒呢?全部趴窝后,我才发现原来是精简了监控点,这不是本末倒置吗?而国内又拼命的玩弄文字游戏,炒作概念(如360那样的防火墙,防毒墙?这也叫墙?),又是家家评测第一,直接影响了国内主防的发展方向。加上了国内外整体大环境,外加大流氓的免费策略,直接造成了劣币驱良币,n多创业公司倒闭,更不用说主防的停滞不前了!而瑞星也受到这些思潮的影响,乐呵呵的挥刀自宫,阉割自己的系统加固(2012)?并且把自己的应用程序控制也砍掉了,不得不说是个不小的损失啊,看来受国内舆论的影响,受害不浅!而国外呢,拼命的改进主防技术,主要以卡巴等为代表的开发了强大的hips + 行为+沙盘的模式的主防!而瑞星是最接近国际大厂的技术水平,却被国内带路党,搞混了方向,不得不说是一种悲哀啊,失去的四年!!!人生有几个四年?


方案


1、系统加固直接大改,重新写,这个本来是瑞星最大的亮点,现在却黯淡无光,不应该啊!!!



最近的测试,发现瑞星的拦截点都不存在了,既没有控制病毒重启电脑,也控制不了病毒修改登录账号和密码,简直是败了!!!而病毒利用ieexplorer做坏事,拼命的感染系统,而瑞星跟在屁股后面拼命的追,就没有想过和平年代 ieexplorer加把锁,就让人家把它们当车开走了?


建议增加拦截点:


a进程、线程控制


  启动、停止和暂停其它的进程和线程 


b、保护进程


  防御代码注入



    询问 其它进程的内存


    句柄控制


      调试 窗口消息


c、操作系统保护


  创建隐藏的文件、进程和注册表


  重启或关闭操作系统


  修改登录账号和密码


摄像头


键盘 钩子


录音和录屏?


2、做得自动放行和云安全中的文件这个功能系统加固的很多规则相冲突,如签名进程底层访问磁盘,既然能自动放行了,这里还要询问???


这不是冲突吗???我估计是瑞星对签名和云安全的文件也是不是很信任,怕有虫子混在其中,对用户造成伤害把?干脆大改得了!!!


不要自动放行签名和云安全了,而是直接利用信誉云+签名数据库+ 社区云的规则来自动放行吧?


卡巴的逻辑就是利用了信誉云+ 社区云+ 签名库,来综合判断是否进程是安全与否,最终决定是否放行的!!!


这里,我强烈建议瑞星开发社区云+ 信誉云,利用社区强大的力量来去除误报和漏报!!!


并且卡巴自己建立了签名数据库,无法确认的是放到了不信任中的,也就是说卡巴不信任这个证书!!!


同时卡巴利用社区云,收集用户程序信息, 并上传到官方服务器供客户端下载使用,来避免了一个进程


既没有签名又没有云安全信息的尴尬,并增强了卡巴hips易用性的!!!





上点图  ,太枯燥:::


1、拦截点
















常见的AD行为有
”加载驱动(设备驱动程序安装)“
”安装钩子“
”运行一个可执行程序(创建一个新的进程\启动一个子进程\调用一个程序)“
”结束\挂起进程(进程终止)“
”修改其他进程内存(进程间内存写)“
”直接访问物理内存“
”直接访问底层磁盘“
”获得键盘的输入记录“
”获得屏幕内容“
”窗口消息“
”访问COM接口“


2、信誉云


















comodo 也是通过主动信誉扫描 快速收集程序的安全信息,并通过鉴定迅速确认是否存在漏杀现象!!!



据说360 ,也是通过 非白即灰  策略,上传exe dll 等文件鉴定,快速收录文件的信息!!!


建议瑞星能在客户端, 开放 云信誉查询 并添加 用户评分的功能呢,这样也能快速反馈是否存在误报漏报的的问题 并且可以给其它用户分享hips限制策略 !!!

用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 UBrowser/5.7.15319.202 Safari/537.36
shulun743 - 2016-9-1 14:53:00
分组详解:





卡巴 将对 程序的 控制分成了三个组 , 信任 、不信任和 限制组!!!






提供了 多种视图 ,来供用户使用 ,  如 现在的这个就是从程序的 限制功能 和 是否允许启动来划分的饿






是否允许启动???






是从 正在活动的进程 还有 所有程序和 启动项 角度来划分的!!!


a、低限制组


















这是低限制组 ,  就是一部分资源 ,允许 程序访问 ,不会弹窗询问用户,也就是不需要用户的干预?


而一些 敏感的 操作 ,就需要 用户的 干预了!!!


b、














除了一些 地方允许程序访问外,大部分地方都是自动阻止 程序访问的!!!


c、不信任组

















所谓的不信任组 ,就是 直接 全部阻止了 程序的动作, 不会 通知用户,  要是 通知 只会 通知用户 ,有程序 被划分到了 不信任组!!!
shulun743 - 2016-9-1 14:57:00
、沙盘---      发现 很多 勒索,  还是 感染 还有 敲竹杠 ,让人 防不胜防 ,建议 做 沙盘 , 一招吃遍天下!!!


卡巴  a    comodo    数字都有沙盘 ,建议瑞星 也要做到 客户端中!!!






二、程序粒度控制


adll


bcmd


c、脚本



三、程序发起源识别 ,这个 应该添加了 !!!


瑞星工程师20 - 2016-9-1 15:28:00
建议已收集。
1
查看完整版本: 对系统加固的改进建议