针对主动防御和未知木马防御的一些建议(瑞星工程师进)

星空下的吻

   RIS2011增加了不少恶意行为的拦截点,成功率也较上一个版本有比较大的进步,再加上木马防御,应该说产
品在主防方面已经日趋成熟,但是有几个建议希望工程师可以考虑:



  1.众所周知,主防现在的真正难点是在于用户的使用上,让一些经验丰富的老手来判断是否拦截之类的,倒是


可以,但是产品针对的毕竟绝大多数都是对安全不大了解的人,所以我希望在拦截的用于上能够更加的通俗易


懂,尽量少用专业术语;




2.第一条是不足以解决智能的问题的,所以希望瑞星官方可以考虑这样的措施:在特定的几项恶意行为发生后


就结合木马防御直接报出未知木马或未知病毒,而不是像现在的更多的单纯是一个一个动作的分析,这个措施


就有点类似微点这样的智能拦截,即行为拦截.


3.在设置系统加固选项的时候,我希望瑞星官方能够拿出一套比较稳定而又行之有效的模板规则,默认就为


这套规则,不要再让一些用户手动设置;


4.不知瑞星又没有沙箱的打算呢???这或许也是个方向吧!!




   瑞星的产品在09-11这个阶段看到了明显的进步,希望官方能够坚持走技术路线,不断完善,做更好的自


己!!!加油!!

zmzcy

消灭0回复

MagicFuzzX

1.如果有些语言不用术语根本无法描述，或者显得山寨。。
2.木马行为防御本身就是多步分析的，那个系统加固才是单步拦截的（像HIPS）。
3.系统加固我倒认为本身可以不用启用，行为防御足够了，按新的测试版默认已经是最低级别了，因为本身不支持通配符和每一条规则都对应相应的白名单，做到通用就难了。
4.沙盘据说是放弃了，不过瑞星的行为引擎可以记录对应进程产生的PE文件，判断为可疑行为的时候可以根据记录删除，不过这也有很多问题，像lnk快捷方式，下载者下载的加密后的PE文件（像需要xor 0x95才能成为标准PE文件等），沙盘我希望还是要的~~

哥帅

工程师哪去了

liaomo817

建议发到卡卡论坛去在这里貌似木有回应。

冷空气

支持一下

瑞星工程师5

建议已收集，感谢您的参与！

ahhh

LS
只会有一句、我想纯粹路过、但是看到主防了、又想说楼主说的问题
我也觉得现在测试相对于普通用户是达不到的、测试的时候打开文件都知道那个是病毒、谁知道现实使用中是瑞星误报还是怎么滴、情况复杂、所以智能模式的星星让我很不放心
瑞星他们没开发沙箱的计划。

PS：那个啥、去用金山预览版吧、那个不错、我现在就是毒霸体验团队的