【~~另类感觉~~ 瑞星2009主动防御成熟度简易试用、小结（附多图）】

月影天心

PS：本贴已更新，非常感谢cliffboy的共同参与！！


今天终于试了瑞星2009，感觉很不爽，不可否认的是，网页挂马拦截做的相对较好，主动防御也在08的基础上进行了少许改进，但就主动防御易用度、成熟度而言，个人觉得还有待更多的改进，也许我不是用瑞星的专家，可能我理解上也存在问题，等各位高手的指正。

存在这样一个个人认为是瑞星2009主动防御成熟度较差的问题：白名单的设置问题。看一下两个实例：

1、第三方软件进程调用IEXPLORER.EXE
如图1，软件进程试图调用IEXPLORER.EXE（弹出的窗口信息忘记截下来了，下图为主防的历史记录），我已点击“信任”，瑞星的说明文字中明确提示“将加入到自定义白名单中”，但白名单却是空的（如图2。多次发生此类情况），Why？难道是白名单在自动添加程序时有时会失效？？？
图1：

图2：



2、主动防御存在漏洞
如图3，这是主动防御设置（已经达到最高级）。
图3：


运行某一需进行创建驱动或底层操作的软件，这里以著名的EVEREST为例。如图4，在启动EVEREST过程中，瑞星2009主动防御弹出提示，值得注意的是两个问题：
第一，主动防御的类型是“注册表项保护”；
第二，主动防御提示的访问程序是System32下的SERVICES.EXE。
图4：


令我感到奇怪的是，整个过程瑞星就弹出了这唯一一个主动防御警告，当EVEREST在创建、加载驱动，进行底层操作的时候瑞星的主动防御毫无反应，这是为什么呢？？？不知道对其他的相关软件，瑞星的主防又会是怎样。

同时，来看看自动添加到白名单的程序，如图5，竟然是SERVICES.EXE！！！这就是说，除了EVEREST之外，以后任何调用SERVICES.EXE访问、运行的程序都不会再有提示，包括病毒。那么这个主动防御能防住什么？？？
图5：


09-2-8  19:06 重要更新：
有跟帖的朋友反映瑞星的主防表现与以上不尽相同，自己分析了下，应该是未勾选“自动放过签名程序”，所以，对于正版、完整、官方的软件，瑞星似乎能够准确提示。这里要特别再说明一下瑞星的主防问题：

1、默认情况下，“自动放过签名程序”是勾选的，所以会造成很大的安全隐患；
2、就算将以上勾选取消，也不是完美的，还是存在以上所述的漏洞。除去现在一堆的被恶意修改过的程序不说（这些程序往往冒充官方的，但却包含着威胁），即便你的合法程序被拦截了，但是调用的系统进程（这里是SERVICES.EXE）是以主调用者（即实现主体）的形式呈现出来的，“信任”之后的依然是软件调用的系统进程，还是会出现以上所述的隐患，除非一种情况，那就是每次运行一种底层软件，在弹出的警告中选择“A——信任；B——本次允许；C——.........”，我想这样的主防实在称不上智能了吧？我们不列举卡巴、EQ等复杂的主动防御软件，仅仅以PCT Firewall中包含简单的主动防御模块为例就足以证明瑞星的主防改进的地方仍然很多。

3、最后说一下易用性方面的，进行设置太麻烦
更改设置后，在点击“应用”后，必须要输入验证码才能应用成功，着实让我很抓狂。
图6：


总而言之、言而总之，瑞星2009在提高查杀率、抵御网页木马、防溢出方面的进步是有目共睹的，但是它的主动防御依旧显得极不成熟，还是那句话：

”祝愿国产安全软件会发展的更好“！！

[ 本帖最后由 月影天心 于 2009-2-8 19:08 编辑 ]

佰恋雨

恩 了解下...瑞星进步还是有的

MagicFuzzX

自定义白名单,都是自定义了,那个当然是空空如也

MagicFuzzX

这套主动防御系统确实很不成熟

月影天心

原帖由 smilediy 于 2009-2-8 16:55 发表
自定义白名单,都是自定义了,那个当然是空空如也

请弄清楚我的意思，软件已提示”自动添加到白名单“，但在很多情况下却并未成功添加

法外制裁者

瑞星还是有进步的，不过在主防方面还是有很多路要走[:26:]

MagicFuzzX

不好意思是我看错了

法外制裁者

   什么看错了

q534880003

个人感觉验证码歪歪扭扭有点挑衅性

挪威的冬天

问题 2 是策略上的硬伤

从 2008 延续到现在了