微点交流论坛

标题: 瑞星2008实战“小浩”病毒！ (转载) [打印本页]

作者: 反黑先锋 时间: 2007-8-26 09:48 标题: 瑞星2008实战“小浩”病毒！ (转载)

文章转自瑞星版主过客2007,tom2000

【瑞星主动防御系统加固】参考使用手册
http://forum.ikaka.com/topic.asp?board=207&artid=8354534

瑞星2008RD测试以及对HIPS模块的理解
http://forum.ikaka.com/topic.asp?board=207&artid=8354775

"在FD测试中实在令我抓狂，于是转到RD测试项目。其实测试非常简单主要使用xyzreg编写的BypassRegMon对2008的注册表监控进行测试，这个测试原理是先在资源中写好一个可供导入的注册表配置文件，调用regedit将hiv文件的内容转储到runkey的上层目录然后改回到真正的启动项去。但是瑞星似乎只能防御常规方法B...

做完这个测试之后，我突然想到一句禅语“顿悟之前，劈柴挑水；顿悟之后，挑水劈柴。”

我一直在说安全软件集成的HIPS和单体HIPS是不同的，但是我们的“测试”是否是在用“用户”的力量正在把瑞星2008推向HIPS误区中呢？

长期以来困扰安全软件的一个问题就是，病毒破坏安全软件本身进程和文件后达到感染的目的。HIPS的出现刚好解决安全软件面临的这个难题，所以很多安全厂商都在自己的产品中引入HIPS机制，但是HIPS本身的一些缺陷又成了安全厂商新的困扰。首先就是兼容性的问题，不用说其它软件但是微软操作系统中的内核保护以及VISTA中新的安全机制的引入这些对HIPS的兼容稳定性都构成巨大的挑战。再次就易用性的问题，编写思想在超前，内部规则在强大的HIPS在更多的时候还是要靠提示框跟用户进行交互操作来达到保护系统的目的。这就必须要求使用者对计算机知识有相当程度的了解，否则看不明白这些提示HIPS还是起不到效果。但是有多少用户能看懂这些提示？就算能能看懂在多如牛毛的提示中有几个人能避免非技术上误操作？所以在安装HIPS的用户中更多的人把HIPS设置成“学习模式”其实这样还不如卸载HIPS.....

但是安全软件要面对的就是最普通的用户，他们不会因为你一个什么HIPS而去深入的学习枯燥的计算机知识，所以安全厂商就必须在HIPS实用性上和易用性稳定行之间做取舍。最后妥协的办法就是安全软件集成的HIPS不会象单体HIPS那样对整个系统进行保护，而是在保护安全软件自身的情况下最大限度对系统关键部分进行保护。

但是即便是这样，对于用户来说HIPS还是“太复杂了”以往版本中的瑞星详细设置就没有多少用户可以根据自己的要求进行设置，而新HIPS引入则更让用户“望而兴叹”。而且从目前测试论坛反映的情况来看排除BUG和界面因素，更多用户表现出来还是对HIPS的不适应。--;)深有同感

写这篇帖子我用了很长的时间，因为着之中有太多的矛盾。安全软件需要HIPS，但是HIPS不是一般用户“玩”，而安全软件又要面对最普通的一般用户...解决矛盾只有妥协，但是妥协的答案在“瑞星2008实战小浩病毒”一文中就有了,这不仅仅是瑞星的答案也是所有有HIPS功能的软件的答案！我唯一希望就是但愿瑞星2008能寻找到一个“完美”平衡点！"

瑞星2008实战“小浩”病毒！
http://forum.ikaka.com/topic.asp?board=207&artid=8354140

[ Last edited by 反黑先锋 on 2007-8-27 at 20:08 ]

作者: 反黑先锋 时间: 2007-8-26 09:59
写的比较客观看了下【瑞星主动防御系统加固】参考使用手册发现瑞星08测试者自己也感觉蛮晕的何况是大众用户茫茫疑海..

作者: qq2008444 时间: 2007-8-26 11:19
瑞的HIPS比卡巴智能一点...

作者: 宇中之神 时间: 2007-8-26 11:37
慢慢来吧,任何事情都不是一两天可以做好的,希望瑞星越做越好不过在主动防御没有做好之前我还是用卡巴

作者: gudan 时间: 2007-8-26 11:44 标题: TO:3

咔吧的主动防御最起码自己写了原生函数到SSDT，而瑞星就不怎么样了，用了钩子

作者: qq2008444 时间: 2007-8-26 15:44

Quote:

Originally posted by gudan at 2007-8-26 11:44:
咔吧的主动防御最起码自己写了原生函数到SSDT，而瑞星就不怎么样了，用了钩子

:P我知只是说比卡巴少报一点
我也知道它用的是钩子

卡巴的比较坚固但是太草木皆兵
开个"我的电脑"都提示RUNDLL32.EXE注入所有进程....

作者: youdemeide 时间: 2007-8-27 19:00
写的比较客观看了下了解一下了。

作者: youdemeide 时间: 2007-8-27 19:22
写的比较客观看了下了解一下了。

作者: aliu134 时间: 2007-8-27 20:18
微点还是这么热闹啊!呵呵
不知道怎么样了!
病毒也不知道有什么发展

作者: 就叫墨菲 时间: 2007-8-28 06:24
这只是使用心得吧，点链接去看了一下，别人没写这么多，就发了几张图，介绍了使用过程，版主这帖有点唬人的意思啊。

作者: 998csc 时间: 2007-8-28 16:46
KIS8和KKS9恐怕会更上一层楼吧?呵呵

作者: 特别请假一天 时间: 2007-8-28 17:18

Quote:

Originally posted by 就叫墨菲 at 2007-8-28 06:24:
这只是使用心得吧，点链接去看了一下，别人没写这么多，就发了几张图，介绍了使用过程，版主这帖有点唬人的意思啊。

不能再潜水了 10楼看帖都不会

瑞星2008RD测试以及对HIPS模块的理解
http://forum.ikaka.com/topic.asp?board=207&artid=8354775

附件 1: snap.jpg (2007-8-28 17:18, 64.14 K,下载次数： 43)

附件 2: snaptwo.jpg (2007-8-28 17:19, 39.83 K,下载次数： 53)

作者: 特别请假一天 时间: 2007-8-28 17:29

Quote:

Originally posted by 特别请假一天 at 2007-8-28 17:18:

不能再潜水了 10楼看帖都不会

瑞星2008RD测试以及对HIPS模块的理解
http://forum.ikaka.com/topic.asp?board=207&artid=8354775

瑞星工程师
我们对系统，对“主动防御”都有相当的认识，这个不劳您费心，如果阁下有时间的话不妨分析下世界上主流的杀毒软件，看看是不是人人都带一套“主动防御”，在反病毒的圈子里“主动防御”等一系列技术没有全面共识的标准，不过有一点就是对用户影响最小，最准确的危险判别方法依然是特征码扫描方式，这是无可厚非的，真正的“主动防御”想发挥到极致需要系统开发商（例如微软）的支持，在没有系统开发商支持的情况下，靠非官方的手段做出来的“主动防御”带来的不稳定性会严重影响用户的使用。所以真想系统会“防御”，必须有系统开发商提出标准才可以真正起到作用。
接下来看看中国市场上的“主动防御”，各个论坛上对于这个概念都在激烈的争吵着，已经争吵到使用了哪个系统API的程度，我们是做软件的，不是简单的技术爱好者，我们想给用户提供的是一个解决方案，最理想的状况是软件安上不用设置，或者用户只需按一个按钮，就完成了保护。最好用户根本感觉不到安全软件的存在（不是被病毒干掉了：），这是我们追求的最高境界。

!瑞星很会调头说没有微软支持就做不出好的主动防御将来瑞星用户中毒是不是应该去找微软算帐? 因为微软没有技术支持瑞星

我倒很想想瑞星的所说的2008最高境界将来用户使用后会有什么反应

作者: flo 时间: 2007-8-28 19:19
很有潜力的一贴，冒个泡~~
HIPS在普通用户的出路只有自动分析+白名单。
其实许多测试程序所采用的方法现实中恶意程序使用得极少。处理不处理，其实不一定能使安全性很大地提升，所以楼主文章的怀疑是很有道理的。
比如说xyzreg的那个突破注册表的程序，它采用的是软转储的方法，其实许多HIPS都有考虑。稍微BT的一点是，它从目标注册表键的上一级恢复，导致大量HIPS晕倒…… 这对于面向大众的东西，其实不太重要……这点上微点就聪明多了，它可以以“测试程序不是病毒”来有力地反击~~

Quote:

Originally posted by qq2008444 at 2007-8-26 15:44:
:P我知只是说比卡巴少报一点
我也知道它用的是钩子

卡巴的比较坚固但是太草木皆兵
开个"我的电脑"都提示RUNDLL32.EXE注入所有进程....

瑞星的主动防御也是SSDT挂接啊~
卡巴有基本保护模式，此时它就不那么草木皆兵了。

Quote:

Originally posted by 特别请假一天 at 2007-8-28 17:29:
瑞星工程师
我们对系统，对“主动防御”都有相当的认识，这个不劳您费心，如果阁下有时间的话不妨分析下世界上主流的杀毒软件，看看是不是人人都带一套“主动防御”，在反病毒的圈子里“主动防御”等一系列 ...

我特别不爽的是“我们是做软件的，不是简单的技术爱好者”。
瑞星自己的产品用的也不全是微软官方推荐的技术，它自己用的那点非官方技术已经足以实现卡巴、SSM的功能了。如果不是一个一个API拦截好处理好，哪里有最高境界？
要微软支持是对的，比如Vista没有SP1还没有很多厂商敢搞主动防御。但是不能全等着微软吧，等微软自己搞OneCare了，完善病毒保护了，你打算干啥？
懒还给自己找借口，就有点过分了……

[ Last edited by flo on 2007-8-28 at 19:23 ]

作者: 反黑先锋 时间: 2007-8-31 10:40

Quote:

Originally posted by flo at 2007-8-28 19:19:
很有潜力的一贴，冒个泡~~
HIPS在普通用户的出路只有自动分析+白名单。
其实许多测试程序所采用的方法现实中恶意程序使用得极少。处理不处理，其实不一定能使安全性很大地提升，所以楼主文章的怀疑是很有道理的 ...

拷问式“主动防御”会不会让用户和杀软厂商主动崩溃？

大众用户不懂买杀毒软件就是为了杀毒如果“主动防御”老是拷问用户譬如安什么东西注册表监控都要有提示普通用户不疯才怪杀毒软件搞了半天连自己都分不清是不是病毒还是正常程序你把程序行为都告诉我我要是懂这些我还花钱请你杀毒专家干什么用

真正的主动防御应该由杀毒软件来识别自己的主动防御才对而不是主要依靠用户来识别、监督、判断。

作者: qq2008444 时间: 2007-8-31 10:47
“我们是做软件的，不是简单的技术爱好者”
既然是做软件的,就必须考虑用户能否吃得消他所报的提示
如果杀软一直报告
那么机器还没崩溃用户的神经就先崩溃了
只是一直报告要用户决断
那用户买下你的产品有何作用?

作者: hard 时间: 2007-8-31 13:21
我用了微点啊，没有经常报提示信息啊，比之什么瑞星防火墙，天网防火墙，还有卡巴等等要好多了，它们是新装个软件就要加入什么新规则来着。真是的烦死了！

作者: 微点放大是焦点 时间: 2007-9-1 18:33
卖花赞花香的,我对瑞星一直以掩饰的态度说事情并不感到奇怪.要让大众都懂得什么是真什么是假还需要很多时间啊.

作者: 黑之翼 时间: 2007-9-1 19:59
ＨＩＰＳ我用ＭＳＭ，ＥＱ都可以

作者: gqstar 时间: 2007-9-2 18:17
用过不少hips ,感觉如果不懂，见了都允许，起不到作用，使用和设置有点烦
用微点，很安静，也不凡

作者: wing 时间: 2007-9-3 12:41
都认真地看了，如果什么都要提示的话，我估计没有多少人用。像我这种菜鸟的人多了，提示什么都点确定。卡7本人也用过，如果开注册表保护是很多提示。看了一下，X星提示的也不少。关键是多少人会认真看这些提示？没有易用性是不会有好下场的，除非是什么FANS的。我没用过X星08不评论，卡7用过，微点正在用。微点比卡巴智能一点提示少，很多安全类的软件都没有任何提示，包括联网。卡巴就都有提示。
PS：本人的处女贴:P

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn