关于瑞星内核加固与木马防御存在联动的研究

sanhu35

询问框还是囧，基本信息都看不全

52kafan

看到楼主的帖子，我有感而发：下面谈一谈我个人的理解和看法，

（1）个人认为，瑞星要能够形成“联动的立体防御体系”，必先独立各个查杀模块然后最优化各种功能。
系统防护安全监控结构部分无非是“注册表”“服务”“驱动”“插件”“进程”“host  ”  等，所有单项异常，都可以形成一个hips行为，对于这样的行为，可以利用捕捉行为+云端的海量可信白名单来实现监控
（2）如果安照病毒、病毒木马的动态仿真行为特征又可以像微点捕捉行为库那样来实现对异常行为、未知软件的监控
（3）云查杀技术越来越成熟了，从云端“及时预警”这个角度出发，除了可能秒级报出黑名单外，也可以用于主动防御模块规则的分级，例如在云端分析到的未知软件可以自动按高强度行为监控规则进行

所以基于（1）（2）（3）三种不同的监控原理，都可能对同一行为产生三种甚至更多形式的预警

我想这些功能模块尽管彼此独立，但是却是相互作用的，这也就可以解释我们为什么会看到“联动防御”的效果了

shiningsoul

唯一不足就是图有点模糊，一定要点击开到最大才看得清楚。

楼主幸苦了！

jmxc

不用瑞星的长知识了

gxbwow

楼主威武，学习了

929658879

感谢楼主，学习了

qqq123123

一个很奇怪的现象，从你的截图中我们发现如果同时开启的话提示就变了，变为未知流氓行为？那么也就是说有内置的规则库对应不同的分组，比如你图中的改主页的设置就是“流氓软件”，如果是修改系统时间，就归类为“恶意软件”···如果有可能的话希望多研究一些不同类型的样本，看看瑞星给出的提示，这样或许能够看出瑞星是如何定义“流氓程序”、“恶意木马”、“网页木马”等定义的！···以上皆为个人猜想，如有不妥还望指正！···

补充：是否可以从瑞星的定义中找出漏洞？

expensive6688

qqq123123 发表于 2011-7-29 18:57
一个很奇怪的现象，从你的截图中我们发现如果同时开启的话提示就变了，变为未知流氓行为？那么也就是说有内 ...

漏洞是一定有的