论文部分内容阅读
近日,著名信息安全厂商瑞星发布了瑞星杀毒软件2008版(测试版),其中加入了强大的主动防御功能,通过该功能模块,我们对系统的控制能力大大增强,可以手工做一些原本做不到的事情,例如:主动防御3721插件。
作为一款臭名昭著的流氓插件,3721在很多网友的心目中留下了深刻的印象,它以无所不在的捆绑、挥之不去的难以卸载,让人敬而远之。但是有些我们常用的共享软件又集成了这个插件,一不留神就又装上了,很麻烦。
下面,我们以Readbook里捆绑的3721插件为例,实战演练如何用瑞星2008对流氓插件进行防御。在此之前,我们先了解一下主动防御的原理:瑞星主动防御会对所有的系统资源进行监控,如API(应用编程接口)、注册表键值、磁盘等都会被主动防御保护起来。如果你制定规则,不让3721修改注册表、不让其在系统目录创建文件,那它也就不能进入你的系统了。
图1
第1步 打开瑞星杀毒软件2008版,点击“防御→应用程序访问控制→设置”,打开设置界面。
第2步 点击“添加→浏览”,找Readbook.exe程序,将其加入规则控制范围。
系统默认了三条规则,包括挂全局钩子、加载驱动、启动子程序,这些对于Readbook是不够的,还要加入一条:不准它在C盘创建任何文件。
第3步 添加文件规则,选择监控目标,加入C盘下的“Program Files”目录,记得勾选“包含子目录”,监控动作三项全选,触发动作选“提示”即可。这时在规则框里就多了一条关于Readbook的规则。
Ok,现在试验一下效果吧:打开Readbook配置右键选项,这时3721会跳出来自动安装,几乎在同时瑞星就会报警,拒绝3721进入你的硬盘。看着这个拒绝提示,很爽吧……
图2
同理,利用这种主动防御方式,可以阻止任何流氓软件进入你的电脑,需要的仅仅是一点点技巧而已。
作为一款臭名昭著的流氓插件,3721在很多网友的心目中留下了深刻的印象,它以无所不在的捆绑、挥之不去的难以卸载,让人敬而远之。但是有些我们常用的共享软件又集成了这个插件,一不留神就又装上了,很麻烦。
下面,我们以Readbook里捆绑的3721插件为例,实战演练如何用瑞星2008对流氓插件进行防御。在此之前,我们先了解一下主动防御的原理:瑞星主动防御会对所有的系统资源进行监控,如API(应用编程接口)、注册表键值、磁盘等都会被主动防御保护起来。如果你制定规则,不让3721修改注册表、不让其在系统目录创建文件,那它也就不能进入你的系统了。
图1
第1步 打开瑞星杀毒软件2008版,点击“防御→应用程序访问控制→设置”,打开设置界面。
第2步 点击“添加→浏览”,找Readbook.exe程序,将其加入规则控制范围。
系统默认了三条规则,包括挂全局钩子、加载驱动、启动子程序,这些对于Readbook是不够的,还要加入一条:不准它在C盘创建任何文件。
第3步 添加文件规则,选择监控目标,加入C盘下的“Program Files”目录,记得勾选“包含子目录”,监控动作三项全选,触发动作选“提示”即可。这时在规则框里就多了一条关于Readbook的规则。
Ok,现在试验一下效果吧:打开Readbook配置右键选项,这时3721会跳出来自动安装,几乎在同时瑞星就会报警,拒绝3721进入你的硬盘。看着这个拒绝提示,很爽吧……
图2
同理,利用这种主动防御方式,可以阻止任何流氓软件进入你的电脑,需要的仅仅是一点点技巧而已。