为了减少误报,精简了系统加固规则,不合理
1、近来 发现 瑞星为了 减少 系统加固 弹窗的 数量 , 达到 减少 误报拦截的目标,居然 精简了 拦截规则!!!
这是 不可取 ,岂能 通过 降低 安全 防御标准 ,而 精简 防御规则的呢 ?
看看 现在 还剩下 多少 控制 进程类的 规则吧 ?
就发现了 控制 驱动或服务的加载 ,其它的 如 防注入 啊 , 内存保护啊 什么的 都没有了 ,就是 原先的控制病毒强制重启 也没有了!
删的倒是干净啊? 可是 防御 却 变成 鸡肋了啊!!!
这不是 捡了芝麻 ,丢了西瓜吗?
还是希望瑞星能换种方式 ,来 减少 弹窗的数量 ?
如 进程 控制 + 系统加固 合体 , 推出新版的系统加固, 即 精简的 应用程序分组控制!!!
通过 进程控制 ,能保护 系统进程 不被恶意 利用,如 病毒 利用 explorer 和 ie 疯狂做坏事,
而 ie 也成了帮凶, 若添加 进程控制 , 那么 ie 就不会被篡改啊?
2、新版的 程序分组控制,分 风险组 、信任组 和 不信任组!!!
并且程序控制粒度 再细点, 控制 dll 、cmd 等 ,而瑞星现在 只防御 exe
而 火绒和 卡巴 ,都防御粒度 很细了!!!
3、利用 程序分组控制的 ,分组来 决定弹窗数量!!!
a、信任组 , 全部仿过
b、风险组, 拦截询问
b、不信任, 你懂的
--------------------------------------------------------------------------------------------------------------------
那么 分组控制程序列表是 这样的 ::::::
1、 QQ.exe 属于信任组 默认动作放行
2、 a.dll 属于风险组 默认拦截询问
3、 1.bat 属于风险组 默认拦截询问
4、 Thunder.exe 属于风险组 默认拦截询问
a、利用强大的云 ,获取 文件的 云信誉, 自动将 上述 的 a.dll 或 1.bat 以及 Thunder放入 相应的组中!!!
b、利用行为引擎,自动对程序进行分组,若分析不出来,就放到低威胁组!!!
c、在Thunder运行时,若云中没有相应的信息(刚发布的程序,云还没有来得及收录)就拦截询问是否信任此程序 ?
就像卡巴的拦截窗口显示的 , 限制方式运行 还是 信任模式运行?
用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 UBrowser/5.6.14087.9 Safari/537.36
