RVS LAB 最新版本（修复扩展分区保护延迟问题+新增功能退出而不重新启动扩展分区）

ssyknuwyg

你可以去rvs论坛反映，http://www.wilderssecurity.com/forumdisplay.php?f=102

我这2天靠google翻译，去反映了下lab新版本的问题。

轻闲一柳

先做白鼠试试新版

ssyknuwyg

千万别用现在的63，64版本测试机器狗，数据库没更新了，肯定穿，61版本没事

轻闲一柳

原帖由 ssyknuwyg 于 2009-9-16 21:56 发表
千万别用现在的63，64版本测试机器狗，数据库没更新了，肯定穿，61版本没事

嘿嘿，偶的最新版lab，装完后大概过20分钟左右，system guard自动更新了，联的是台湾的一个IP，版本号15002。ms现在没有以前升级检测得频繁，以前装完很快能升，升完后每隔不短的时间又会联网检测。现在这样比较适合偶，主要是用影子+自动转储功能


2009/9/16 20:46:21    访问网络    允许
进程: c:\program files\returnil\rvssvr.exe
目标: TCP [本机 : 49402] ->  [122.146.191.163 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

[ 本帖最后由 轻闲一柳 于 2009-9-17 07:48 编辑 ]

ssyknuwyg

15002装完后就是，最新数据库应该是19063001，机器狗还是97当时给我，我上报上去的才更新的，我记得很清楚，你装回3061，它过上5，6分钟就能升级到19063001，3063跟3064版本就是不升级，我跟rvs论坛反映了。

轻闲一柳

lab版与以前2008很大不同是，lab版的驱动服务可创建或删除进程，并能加载映像，可能用了类似于虚拟磁盘类的功能（多了设备，\Device\D1C1729C-E0S5-434E-8F45-903721BD551F），影子下被改动的文件会先写进这个设备里，再根据需要退出影子时丢弃或保存这些内容到实盘。应该是比以前的方式更先进些吧[:26:]

ssyknuwyg

驱动防火墙数据库暂时解决方法
下载我提供的61版本最新数据库，关闭rvs保护，停止驱动防火墙，退出rvssvr进程，解压到c:\returnil(我是装c盘）替换原来文件，然后用带nd的hips，或者有防内功能的防火墙，反正只要阻止rvssvr联网就能保持数据库为最新。暂时这样，已经反映这问题，等解决了再开放。

轻闲一柳

3070版已经解决在线升级问题

更新日志说的，增加hips模块指的是什么？完全没看到，也试不出来   个人而言，不需要hips模块

[ 本帖最后由 轻闲一柳 于 2009-9-17 21:09 编辑 ]

ssyknuwyg

rvs估计在说胡话，俺也没看到什么hips模块，运行也没见到什么提示

轻闲一柳

今天玩的时候，偶然发现以下弹窗，是本来就有，还是3070新加的，所谓新加入的hips？

新建、修改、删除系统目录里的dll，exe，sys文件，就有弹窗（在特征库里有的应该没有弹窗）。而且此时，rvs不区分是否为系统正常程序，都报，通杀，还是应该有区分。影子+这样的简易FD，对破坏系统型的恶意东东有很强大的防御力[:26:]

但不监控系统目录里com，drv文件，其它敏感后缀的文件没试。可以倒数60秒，自动按“deny”处理

[ 本帖最后由 轻闲一柳 于 2009-9-18 13:52 编辑 ]