主防改造建议—现成的权限控制！

insight

        也许工程师照顾到误报的问题 因此许多过瑞星的流氓软件以及擦边球的恶意软件根本除了入库外 主防无法添加规则 这就使得这些灰色软件 只要一突破病毒库 就基本在电脑里为所欲为了

        看到了瑞星新主防的内容 突发灵感呀！




首先 瑞星可以在系统内核加固中配置上许多的系统访问控制规则   然后设置3个级别     低风险  中风险   高风险

当然 3个级别里的触发规则时的操作也是不一样的  顺序是以低风险  中风险   高风险 依次受限高


例如：

0.exe进入电脑

用户运行

瑞星文件监控+虚拟机+云安全信任度查询+联网操作+是否触发行为防御+是否触发瑞星自保

根据上面的这些方面判定0.exe的安全度    加入适合这个exe安全度的 级别中 加以限制

dl123100

不大面积修改驱动做不到吧

taoyuan237

瑞星文件监控+虚拟机+云安全信任度查询+是否触发行为防御

触犯任何一项就直接报警了，还降权干嘛

主动防御

这个想法不错，卡巴斯基就是这样的。。。。。。。。。。。。。

江湖的fans

回复 3楼 taoyuan237  的帖子

触发文件监控直接报警！
在虚拟机内看看呢？是否有可疑行为（例如瑞星报的反虚拟机？）
云安全，看看其他用户使用此文件的多少？用于安全性参考
瑞星的行为防御要触发那一套规则才行  如果只触发一项可能被忽略的 这样可以看看学习微点  触发了这个2分 触发那个3分  用于安全性参考

非常好的立方防御体系
   

铩雨骑士

文件监控 反虚拟机 瑞星自保 这三个可以直接报警了
云安全信任度+行为分析   不错啊

taoyuan237

回复 5楼 江湖的fans  的帖子


    你想说的是类似费尔的评分吧
行为防御对这些东西本身就是算在内的
降权不实际，与其你先分析一通在降权不如全部降权根据行为允许提权更高效
但是那与UAC何异？
什么虚拟机启发本身就是会报警的，就像特征码一样
行为防御要报警的时候自然也会报警，没达到那个程度你想怎么报？

江湖的fans

回复 7楼 taoyuan237  的帖子


    理解错误

江湖的fans

回复 7楼 taoyuan237  的帖子

你想说的是类似费尔的评分吧——不是
   

taoyuan237

回复 8楼 江湖的fans  的帖子


    那你仔细阐述吧