请大家谈谈瑞星的主防

shulun743

反病毒测试员 发表于 2013-7-16 21:43
不清楚 不过现在的引擎一点都不比那个时候的差 貌似星星里有好几派的人 肯定和他们几个不合适吗的菜导致离 ...

离职有多种原因，最大的可能是积攒下启动资金，和实际的研发经验和重要的管理经验，然后自己当老板开公司，叫你不这样吗？你难道不想自己当老板，只想给人家打工一辈子？李彦宏就是典型的例子，在硅谷积攒下100万美刀，回国创业！

shulun743

31997 发表于 2013-7-16 20:40
1.不是监控，而是360云主防的规则，触犯了规则就拦截。360卫士只有简单的执行监控，完整的监控体系在36 ...

你还是没有理解我的意思，我说的监控是指，杀软利用驱动进入并控制内核，驱动采用api      HOOK技术，挂钩ssdt和shadown ssdt实现对进程的监控？我说的你明白了吗？不是指的文件监控那种监控，我说的是主防监控！

31997

shulun743 发表于 2013-7-18 13:41
这是不可能的，若是病毒还行，若是正常程序吗？若正常程序运行，你拉黑拦截，不就干扰程序运行了吗？别和 ...

360的云是有自我分析处理能力的，可以自动分析，是不需要人工干预的，我说的拉黑不是一发现未知文件就拉黑，而是未知文件在运行时出现了危险的动作才会拉黑，拉黑时，云端是还会自动分析的，一般是不会出现误报的。现在几乎每天都会出现上万个新病毒变种，若果每一个病毒都要人工分析，岂不是把人累死了？现在360所拉黑的文件绝大部分都是云自动工作的，只有其他人从360官方网站上报的少部分病毒是人工分析拉黑的。

31997

shulun743 发表于 2013-7-18 13:51
你还是没有理解我的意思，我说的监控是指，杀软利用驱动进入并控制内核，驱动采用api      HOOK技术，挂钩 ...

这已经不算是监控了，这是属于HIPS的范畴了，主防是主防，监控是监控，不存在什么主防监控。监控一般指的是：文件监控（就是我刚才说的实时扫描文件中是否包含恶意代码，文件监控由执行监控，写入监控，读取监控组成），网页监控（即采用流量扫描方式监控常用端口），邮件监控（即监控POP和SMTP端口）。 而hips可以限制进程,或者禁止更改或者添加注册表文件什么的，即AD，FD，RD。HIPS一般就是通过你说的挂钩子实现的

gxrsprite

shulun743 发表于 2013-7-17 21:32
你要搞清楚，我说的的规则大幅优化说的是行为引擎，取消ad是指的系统加固，不是一个概念！！！

只是说 ...

整个主防就是一个东西，拆东墙补西墙的这边不行了那边怎么可能强大起来

gxrsprite

shulun743 发表于 2013-7-18 13:51
你还是没有理解我的意思，我说的监控是指，杀软利用驱动进入并控制内核，驱动采用api      HOOK技术，挂钩 ...

现在有点技术的谁还直接挂钩这两张表。 而且说什么为了降低误报的调节参数，说难听就是降低了查杀率，你的查杀误报比不能整个提升，怎么调都只是妥协而已，调来调去都是借口。

itow

shulun743 发表于 2013-7-16 07:28
瑞星主防没更新并不是研发没研究透原先代码，而是主要精力放在了两部分~
1-新引擎的研发上
2-现在软件的优 ...

说得好

shulun743

gxrsprite 发表于 2013-7-19 10:58
整个主防就是一个东西，拆东墙补西墙的这边不行了那边怎么可能强大起来

整个主防都是使用相同驱动挂钩  api  函数的！！！

但系统加固和行为防御 可是两码事！！！

系统加固的ad功能取消了，是指ad拦截弹窗取消了，但是 其拦截点还在~~~

行为防御 的报警规则 被优化了，所以降低了 误报率！！！

跟你说理论 ，你可能。。。。。。  你试试能否找到瑞星09版，你自己使用其木马编辑器就知道了行为分析引擎的工作原理了

shulun743

gxrsprite 发表于 2013-7-19 11:00
现在有点技术的谁还直接挂钩这两张表。 而且说什么为了降低误报的调节参数，说难听就是降低了查杀率，你的 ...

嗨  老兄 ，你能说 卡巴  诺顿等一些杀软杀软 没有技术吗

你能说瑞星 没有 技术吗？？？

挂接 ssdt是 最安全 最成熟 的技术

业界 只有360和金山 不是使用上述技术的！！！

那你说不挂接 上述表？挂哪个？别说使用类似数字的函数过滤

也别说使用 inline hook

shulun743

gxrsprite 发表于 2013-7-19 11:00
现在有点技术的谁还直接挂钩这两张表。 而且说什么为了降低误报的调节参数，说难听就是降低了查杀率，你的 ...

保证现有查杀率的基础上，将 存在大量的误报的行为规则 重新 做做，使之不是那么敏感