高手给讲讲瑞星2008吧

baba

凭良心说，我用过卡巴也用过瑞星都是正版，512的内存，2.8G的塞扬CPU，瑞星比较稳定，顺手，系统流畅。卡巴确实有点卡，当打开多网页，更是卡的要命。当然卡巴的内核，杀毒，那是瑞星所不能比的。

lvjie

又一口水潜力贴..........................彻底口水

暗天使

司令也来啦·~~

eaco

以后卡饭禁止讨论瑞星好了！！
黑瑞星的人比说瑞星好的人更可恶！！！
真不知道这些要骂瑞星的为什么要顶贴
你不屑瑞星 鄙视瑞星
就完全可以无视其存在没有必要如此“关心”瑞星

狂飙的蜗牛

不可否认.瑞星有强大的宣传
所谓广告做的好,假货也卖的掉~就是这个道理.

moonsilver

Windows只用ring0和ring3，RING0只给操作系统用，RING3谁都能用，应用程序不能用ring0，这样解释很清楚了吧

killloop

百度找到了

转：
电脑的所有操作指令是由CPU发出的。一般的，CPU指令分为四个优先层级， ring0、ring1、ring2和ring3，但windows只用了其中的ring0和ring3两个特权级别。应用程序运行在ring3，涉及到操作系统任务调度、内存管理、中断和I/O等等的特权指令只有在 Ring0才能执行。对于病毒的活动来说，由于反病毒软件必须保证其在内存阶段即被截获并作出处理，所以普通的用户级程序是无法监控的，只有工作于ring0层（也即系统核心层）的程序才能监控系统活动。



简单地说，病毒在感染一个文件后，常常会对同类文件进行重复感染，如“新欢乐时光（VBS/KJ）”病毒，会感染所有.exe可执行文件，当病毒在被触发时，病毒会发出感染另一个文件的请求。此时，运行在ring0下的杀毒软件实时监控程序就可以第一时间根据用户的决定选择不同的处理方案，如清除病毒，禁止访问该文件，删除该文件或简单地忽略。这样就可以有效地阻止病毒的进一步在本机上的传播。
===========================================================================


参考：http://www.gonet8.com/Article/7/200708/7211.html
本文将说明现有防毒软件自我保护机制与木马们的防御对策。适合新手至高手阅读，如果现在你正担心你的木马被查杀，不妨看看此文，你定会有收获的。

　　前些天，看论坛上有很多人说用进程结束的方法消灭杀毒软件来保护自己的马儿。不知大家发现没有，AVP和KV以及瑞星的一些进程都是无法结束的。这样杀毒软件还在运行着，撞上你的马还是会杀掉的。现在来说说这些进程为什么杀不掉。

　　因为杀毒软件是运行于Ring0级的，程序资源级别分为0、1、2、3， 0级最高，3级最低。只有0级资源的才能访问0级资源的程序。Ring0级运行于内存最高端，享有最高有权限。一般的木马都是2级资源级别的（像灰鸽子、黑洞、阿拉QQ大盗等等），有些是1级（像Bio-Net、Beast等等 这种不多）。当然无法结束位于0级资源的杀毒软件进程。

　　但是黑洞2001－2004的版本，却可以用他的进程过滤搞定很多杀毒软件。这是为什么？因为，他是不用进程结束的，而是窗口标题检测，发现类似“杀毒、木马克星、安全”之类的字眼就向该窗口发送无条件退出命令（WWQ_Quit）。这样就可以免除Ring资源级别的障碍了。阿拉QQ大盗则是干扰其扫描引擎来达到阻止杀毒软件的目的。

　　关于实现0级对0级资源程序的操作

　　目前，尚无对杀毒软件进程有效的解决方案。本人才思不及，只能给出解决的编程思路。

　　要对Ring0级资源操作，必须是汇编级语言。大家可以用Vxd技术来实现，这样编写起来比较方便，而且用汇编语言编写很可能会被杀毒软件认为是病毒，因为其病毒特征过于明显。把整个程序写成驱动程序的形式，加入到系统内存顶端，就可以对杀毒软件进程为所欲为。

　　首先程序启动，在内存最高端开辟一块内存，把自身复制上去并运行。然后写启动，写服务。接着在内存中搜寻杀毒软件内存标识符，找到以后，把杀毒软件内存标识符所在区域用无用垃圾数据覆盖，导致其出错退出。这些过程不能借助 INT13 写盘中断来完成，否则会被判定位病毒的。必须绕过杀毒软件设下的写盘捕获陷阱，这就需要极其高超的编程技术了。像这种编程能力，除了丧心病狂的病毒编写者还有操作系统编写者，其他人是无力触及的。等你有了这种能力，那么离你的超级病毒出炉也就不远了。

　　木马的防杀对策

　　加壳

　　这个不用说，好处多得没完。打个比方：把一个人的手接到脚上，把脚接到手上，这样公安就认不得你啦。

　　修改特征码

　　

　　这个也是在加壳失败以后对付杀毒软件的好方法。需要注意的是，一个病毒被定义的特征码往往不止一条！所以要修改很多对才可以免查杀，这个还得靠运气。有时修改的特征码不一定对，如果特征码很多，那么修改工作将异常痛苦。

　　花指令

　　原来被KV杀的，用花指令技术处理过后还是被杀？因为KV的断点跟踪会不断追踪下去，除非你的程序无限大，否则总有一天，KV会报毒。

　　Rootkit

　　超级内核后门。好处很多，具体大家自己体会了。

　　引用一句经典名言：虽然瑞星的内存杀毒可以杀灰鸽子，可是重启后灰鸽子还是噗拉噗拉的飞着。

　　注意：瑞星的内存杀毒其实是进程＋DLL监控，只是提取了部分木马的内存特征码。

　　对付KIS 2006，修改免杀相当复杂，不是简单改动源码和反汇编可以做到的。需要从源码处下功夫。
=====================================================================
自己做救世主! 打响系统安全保卫战

4.最艰难的寻找：Ring 0后门
　　随着安全技术的发展和计算机用户群的技术提高，一般的木马后门越来越难生存，于是一部分有能力的后门作者把眼光投向了系统底层——Ring 0。位于Ring 0层的是系统核心模块和各种驱动程序模块，所以位于这一层的木马也是以驱动的形式生存的，而不是一般的EXE。后门作者把后门写成符合WDM规范（Windows Driver Model）的驱动程序模块，把自身添加进注册表的驱动程序加载入口，便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件EXE的信息，所以通过驱动模块和执行文件结合的后门程序便得以生存下来，由于它运行在Ring 0级别，拥有与系统核心同等级的权限，因此它可以更轻易的把自己隐藏起来，无论是进程信息还是文件体，甚至通讯的端口和流量也能被隐藏起来，在如此强大的隐藏技术面前，无论是任务管理器还是系统配置实用程序，甚至系统自带的注册表工具都失去了效果，我们不得不借助于更强大的第三方工具。幸好，一部分持有编写Ring 0程序能力的人并没有加入Ring 0木马的阵营，而是把技术用到了安全检查方面，于是我们有了IceSword、RootkitRevealer、knlsc等优秀的检测工具。
　　一般的进程工具是运行在Ring 3级别的，它们读取的依据来自Ring 0层，这些数据是可以被运行于Ring 0级别的木马修改的，所以它们根本无法得知木马程序信息，而IceSword等检测工具不同，它们和Ring 0木马一样，也是通过驱动的模式进入Ring 0层工作的，不再需要从Ring 0层获取信息，所以它们能得到未被木马篡改的原始链表数据，例如最原始的进程信息，它是不能被更改的，如果木马把它自身从原始进程信息里删除，就意味着它要自我终结了。所以一旦有进程工具从 Ring 0层直接读取了原始数据，再把这个数据和Ring 3层获取到的进程列表比较一下，就能迅速发现哪个是拼命隐藏自身的木马程序了。很巧合的是，驱动程序和系统服务共享同一个加载入口，即HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，只要查找相应的Ring 0木马文件名，就会发现它，删除掉注册表的加载数据后重新启动计算机，再删除掉木马文件就可以解决了。
============================================================================================================================
http://bbs.meyet.com/dispbbs_61_166100.html    5楼  赛门铁克工作在ring0

[ 本帖最后由 killloop 于 2007-11-29 18:42 编辑 ]