我心目中的主防模样，以瑞星为例

shulun743

添加  程序控制  如下图








瑞星这个 控制 就很好  ，直接 移植到  新版 主防中  就好




直接 砍掉  系统加固




只用 这一个  控制 程序 就 OK 了




防御策略 就是 若检测到程序运行 ，自动为此程序创建控制规则




就像 防火墙 一样  ，  自动为签名和云鉴定程序  放行，控制规则全部放行！










若 没有 签名和未通过鉴定 的程序 运行 ，也自动为此程序创建 控制规则




在这里 ，控制规则 可以这样设定


若 文件类  注册表类  以及 程序类 规则 共有 15个


若程序是安全的 ，就 创建规则 ，并全部放行


若 程序是 未知的，就创建规则，视情况放行



对于未知的程序，文件和注册表 我就不多说了，只强调一点，严格控制驱动加载


若试图加载驱动就拦截询问


再加上 控制此程序运行，若是未知的，询问用户 是否运行此程序


这样 ，拦截弹窗 会 减少， 用户体验好了，关键是安全性 比 现在的策略好


卡巴的 策略就是 没有 签名和未经过鉴定的程序运行，会直接拦截询问用户


并创建规则


卡巴的运行策略就是 ：


1、未知程序运行  →   拦截询问用户？


2、若用户放行    →    控制并创建规则


3、引擎检测并评估危险级别，引擎自动分析30秒！


若无法分析 威胁强度，直接 为此程序创建5条规则（低威胁组）（若总共有15条的话）


4、若威胁性低，创建5条规则（若总共有15条的话）（自动创建的）


5、若威胁高，创建15规则（自动创建的）


6、所有的 创建规则，生效并拦截询问


例子：


5条规则     →  低威胁组


10条规则  →  高威胁组


15条规则  →  黑名单组

琴心魅影

瑞星的主防很出色，可惜近几年注重企业版，对个人版有所松懈。

辽宁大连~~小海

期待瑞星再一次跳跃大舞台

zmyx279323199

前几年在国产中瑞星主防还算不错的，这几年呵呵了

HEMM

去掉为签名程序放行好点应该，虽然询问会多点点。

ibc

可惜不适合小白。。。。抓不住小白的产品，即使再有技术也有饿死的危险。

daojianwuhen

有种hips的感觉？

徐庆

daojianwuhen 发表于 2014-2-6 19:13
有种hips的感觉？

瑞星2011就保持单点hips+多步行为分析，v16以后去掉了一部分模块，要不然主防是很有一套的

剑圣TORRES

只要瑞星全功能重启，我第一时间把家里的三台电脑全都换上瑞星全功能！

dingqiankun

瑞星是很优秀，但是几次赖在电脑里删不干净的历史总会让我敬而远之。