» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 瑞星2008实战“小浩”病毒！ (转载)    21   1/3   1   2   3   >  作者: 标题: 瑞星2008实战“小浩”病毒！ (转载) 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #1  瑞星2008实战“小浩”病毒！ (转载) 文章转自瑞星版主过客2007,tom2000 【瑞星主动防御系统加固】参考使用手册 http://forum.ikaka.com/topic.asp?board=207&artid=8354534 瑞星2008RD测试以及对HIPS模块的理解 http://forum.ikaka.com/topic.asp?board=207&artid=8354775 "在FD测试中实在令我抓狂，于是转到RD测试项目。其实测试非常简单主要使用xyzreg编写的BypassRegMon对2008的注册表监控进行测试，这个测试原理是先在资源中写好一个可供导入的注册表配置文件，调用regedit将hiv文件的内容转储到runkey的上层目录然后改回到真正的启动项去。但是瑞星似乎只能防御常规方法B... 做完这个测试之后，我突然想到一句禅语“顿悟之前，劈柴挑水；顿悟之后，挑水劈柴。” 我一直在说安全软件集成的HIPS和单体HIPS是不同的，但是我们的“测试”是否是在用“用户”的力量正在把瑞星2008推向HIPS误区中呢？ 长期以来困扰安全软件的一个问题就是，病毒破坏安全软件本身进程和文件后达到感染的目的。HIPS的出现刚好解决安全软件面临的这个难题，所以很多安全厂商都在自己的产品中引入HIPS机制，但是HIPS本身的一些缺陷又成了安全厂商新的困扰。首先就是兼容性的问题，不用说其它软件但是微软操作系统中的内核保护以及VISTA中新的安全机制的引入这些对HIPS的兼容稳定性都构成巨大的挑战。再次就易用性的问题，编写思想在超前，内部规则在强大的HIPS在更多的时候还是要靠提示框跟用户进行交互操作来达到保护系统的目的。这就必须要求使用者对计算机知识有相当程度的了解，否则看不明白这些提示HIPS还是起不到效果。但是有多少用户能看懂这些提示？就算能能看懂在多如牛毛的提示中有几个人能避免非技术上误操作？所以在安装HIPS的用户中更多的人把HIPS设置成“学习模式”其实这样还不如卸载HIPS..... 但是安全软件要面对的就是最普通的用户，他们不会因为你一个什么HIPS而去深入的学习枯燥的计算机知识，所以安全厂商就必须在HIPS实用性上和易用性稳定行之间做取舍。最后妥协的办法就是安全软件集成的HIPS不会象单体HIPS那样对整个系统进行保护，而是在保护安全软件自身的情况下最大限度对系统关键部分进行保护。 但是即便是这样，对于用户来说HIPS还是“太复杂了”以往版本中的瑞星详细设置就没有多少用户可以根据自己的要求进行设置，而新HIPS引入则更让用户“望而兴叹”。而且从目前测试论坛反映的情况来看排除BUG和界面因素，更多用户表现出来还是对HIPS的不适应。--深有同感 写这篇帖子我用了很长的时间，因为着之中有太多的矛盾。安全软件需要HIPS，但是HIPS不是一般用户“玩”，而安全软件又要面对最普通的一般用户...解决矛盾只有妥协，但是妥协的答案在“瑞星2008实战小浩病毒”一文中就有了,这不仅仅是瑞星的答案也是所有有HIPS功能的软件的答案！我唯一希望就是但愿瑞星2008能寻找到一个“完美”平衡点！" 瑞星2008实战“小浩”病毒！ http://forum.ikaka.com/topic.asp?board=207&artid=8354140 [ Last edited by 反黑先锋 on 2007-8-27 at 20:08 ] ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-8-26 09:48 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #2   写的比较客观  看了下【瑞星主动防御系统加固】参考使用手册 发现瑞星08测试者自己也感觉蛮晕的 何况是大众用户 茫茫疑海.. ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-8-26 09:59 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #3   瑞的HIPS比卡巴智能一点... ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-26 11:19 宇中之神 注册用户 积分 175 发帖 175 注册 2007-8-21 #4   慢慢来吧,任何事情都不是一两天可以做好的,希望瑞星越做越好不过在主动防御没有做好之前我还是用卡巴 ※ ※ ※ 本文纯属【宇中之神】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-26 11:37 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #5  TO:3 咔吧的主动防御最起码自己写了原生函数到SSDT，而瑞星就不怎么样了，用了钩子 ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-26 11:44 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #6     Quote: Originally posted by gudan at 2007-8-26 11:44: 咔吧的主动防御最起码自己写了原生函数到SSDT，而瑞星就不怎么样了，用了钩子 我知只是说比卡巴少报一点 我也知道它用的是钩子 卡巴的比较坚固但是太草木皆兵 开个"我的电脑"都提示RUNDLL32.EXE注入所有进程.... ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-8-26 15:44 youdemeide 新手上路 积分 6 发帖 6 注册 2007-8-27 #7   写的比较客观  看了下了解一下了。 ※ ※ ※ 本文纯属【youdemeide】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-27 19:00 youdemeide 新手上路 积分 6 发帖 6 注册 2007-8-27 #8   写的比较客观  看了下了解一下了。 ※ ※ ※ 本文纯属【youdemeide】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-27 19:22 aliu134 中级用户 积分 317 发帖 315 注册 2007-5-26 #9   微点还是这么热闹啊!呵呵 不知道怎么样了! 病毒也不知道有什么发展 ※ ※ ※ 本文纯属【aliu134】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 甘秋千摆 浪剑明心 随情而立 行益则侠 望夜秋忆思亲 恨苍天戏烬千百痴情人 2007-8-27 20:18 就叫墨菲 新手上路 积分 8 发帖 8 注册 2007-8-27 #10   这只是使用心得吧，点链接去看了一下，别人没写这么多，就发了几张图，介绍了使用过程，版主这帖有点唬人的意思啊。 ※ ※ ※ 本文纯属【就叫墨菲】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-28 06:24  21   1/3   1   2   3   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号