瑞星2011木马行为防御+扫描（卡饭2月包）

heaven888

扫描我就不说了，绝大部分都已经入库。扫描后基本有一堆几k到几百k的文件，病毒样本基本废了。经过我的简单筛选，样本剩余32个。下面是木马行为防御部分。
环境：win xp sp3 msdn
软件：瑞星全功能2011，winrar4.0
设置：仅开木马行为防御和程序联网控制
版本最新，另外扫描和测主防时全部设置成高
由于卡饭样本有动作类似性的特点，所以重复的拦截就不上图了。
























剩余样本：


       虽然没有具体分析样本的行为，但是不难看出是以流氓样本为主。从测试也可以看出，瑞星也不是一点防御能力也没有，但是相比拦截木马就差得比较远。从瑞星的主防性质上来说，防流氓比较难，所以瑞星云要跟上啊，不要让流氓软件成为瑞星的死角。另外大家还可以从某张截图上看出一个问题：明明是流氓样本，但是一部分是文件是在瑞星云的白名单里，自动放行......所以瑞星工程师们要注意此问题，毕竟流氓软件跟正常软件很像啊

村支部书记

才这么几个啊，2月测了几次啊

heaven888

回复 2楼 村支部书记 的帖子

是2月大包，共1300+病毒样本，如果一个个双击不知点到猴年马月

MagicFuzzX

对付流氓软件主要还是要看安全助手的了

pianokjt

heaven888 发表于 2011-3-3 09:49
回复 2楼 村支部书记 的帖子

是2月大包，共1300+病毒样本，如果一个个双击不知点到猴年马月

其实我认为的主防能力还包括：就算特征码已经入库，但双击运行后，能否拦截病毒启动也是主防的能力一方面。
当然，如果杀软的实时监控足够灵敏的话，在你运行样本前，杀软就帮你杀了或提示你，那是好，但就我所知，并不是主流杀软都能达到这种境界的，更何况，实时监控的设置多种多样，包括读写监控，执行前扫描等，就算特征码扫描能识别，能不能在执行时拦截下来，这个很不好说。
我试过其他一些杀软，明明弹窗已经警告你是病毒，但我强行双击的话，还是不能拦截的。
或者执行时，弹窗警告是病毒，但在我处理之前，已经拦截失败了。。。

宇中之神

感谢楼主辛苦测试了

知微

怎么识别未知流氓软件和未知木马的呢？

heaven888

回复 5楼 pianokjt 的帖子

你提的问题很好，我来回答一下。瑞星的文件监控设置为高，就会监控文件的读写，如果默认设置，则双击样本就会删除，从以前的测试看，只要入库没有出现过瑞星的情况，所以基本轮不到木马行为防御发威。此次设置是官方建议的，这要可以更好得改进木马行为防御。

pianokjt

heaven888 发表于 2011-3-3 15:55
回复 5楼 pianokjt 的帖子

你提的问题很好，我来回答一下。瑞星的文件监控设置为高，就会监控文件的读写， ...

其实这个问题我一直不想发帖在数字区谈。
因为我用数字的木马防火墙主动防御就有这个问题，虽然说一直在增强，但在拦截方面还是有很多问题（当然我是普通用户，非专业测试），你说云扫描干掉绝大部分，然后剩下的极少数就测主防，然后很多数字粉丝就认为主防100%拦截，完全是两个概念，就算你扫描特征码入库，启发扫描查出来就能保证运行后主防100%拦截？？当然不是，不想惹口水，在这边说两句非专业的。。。

cdszlg

感谢楼主！！