51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2543|回复: 1
打印 上一主题 下一主题

瑞星2008主动防御技术的实际价值尚难确认

[复制链接]
  • TA的每日心情
    慵懒
    2015-1-8 08:46
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2007-11-27 17:08:34 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    瑞星发布了新的杀毒软件瑞星2008版,将“主动防御”列为和查杀毒相并列的主要核心功能。

      易观分析

      易观国际研究认为,目前全球范围内还没有任何一家安全厂商做到了真正完全的主动防御,且黑客攻击和病毒的变化也会导致主动防御从技术上难以完全实现。瑞星的主动防御技术更多还是依赖特征码监测的方式,并没有实现真正意义上的主动防御。

      首先,主动防御技术的核心内容是对病毒行为的监测,由于新病毒的不断出现导致其行为特征的多变和不断出新,且行为监测技术对正常软件的误报也会大大提升。瑞星将行为监测和病毒特征码监测结合的方式并不能从根本上解决新病毒无法查杀和正常软件误报的问题。

      其次,从瑞星采用的技术上分析,瑞星将ZwCreateThread、ZwWriteProcessMemory、ZwLoadDriver、ZwSetValueKey、ZwDeleteKey等函数挂钩以阻挡远程线程注入、拦截SCM的驱动加载、拦截注册表操作等。这只能在一定程度上防范病毒和黑客的攻击,且监测的不全面导致了漏洞的出现,例如没有拦截ZwSaveKey、ZwRestroeKey等方式写入注册表、没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术,这给病毒和木马的制作者留下很多后门。

      综上所述,瑞星的主动防御技术对用户安全的帮助有限,且监测的不全面导致了众多漏洞的出现,其主动防御的实际价值并不明显。

      易观建议

      针对行业用户:

      1.对众多宣称具有主动防御技术的安全产品谨慎对待,目前所有的主动防御技术只能做到局部的,并没有完全具有主动防御技术的产品出现。

      2.对于进程相关方面知识欠缺且安区要求相对较低的用户不必选择主动防御产品,主流的杀毒软件及时升级可以应对一般的安全风险。

      针对瑞星等安全厂商:

      病毒行为特征是不断动态变化的,通过病毒行为监测的方式防御未知病毒并不是最有效的方式,在目前的形势下应扩大自身后台的升级带宽和服务器响应能力,采取对用户端及时升级的方式来防范病毒的大规模扩散。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    该用户从未签到

    2#
    发表于 2007-11-27 17:10:53 | 只看该作者
    帮楼主顶一下
    现在关心OA测试的人很少
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-9 01:39 , Processed in 0.063615 second(s), 27 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表