瑞星杀毒软件2008设置、优化图文详解

时间: 2008-02-14 / 分类: 未分类 / 浏览次数: / 0个评论 发表评论

瑞星杀毒软件2008设置、优化图文详解瑞星杀毒软件2008设置、优化图文详解
瑞星08版已经出来一段时间了,可以说瑞星08版的一大特点就是主动防御功能。从注册表到文件,他给我们提供了强大的保护功能。适当添加一定的主动防御规则,可以保证你的电脑“百毒不侵”。
瑞星的主动防御分为系统加固,应用程序保护控制,应用程序保护,程序启动控制,恶意行为检测和隐藏进程检测等六大部分。
系统加固可以说就是瑞星为我们设置好的主动防御规则,用户可以根据需要勾选适当的选项达到保护电脑的作用。然而有一大部分功能(应用程序保护控制,应用程序保护,程序启动控制)是需要用户自定义的,所以可能部分用户对于这部分功能不甚熟悉,本文就对这部分功能的使用进行详细讲解,并给出我现在设定的主动防御规则给大家参考,算是抛砖引玉吧!
一、应用程序访问控制:
它可以实现
1.监控任意注册表项目功能
具体设置方法如下:
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加


图1
单击注册表和文件访问控制下面的添加按钮 选择 注册表


图2在弹出的添加注册表规则的对话框中 填入或者勾选相应的项目即可。
2.监控任意自定义文件夹内的文件的创建,修改,删除,访问
具体设置方法如下
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加
活动进程列表选择* 单击注册表和文件访问控制下面的添加按钮 选择 文件

图3
在弹出的添加文件规则的对话框中 填入或者勾选相应的项目即可。
(建议利用此功能监控安全软件和QQ等聊天工具的安装目录)
3.监控任意自定义文件的创建,修改,删除,访问
设定方法同监控任意自定义文件夹内的文件的创建,修改,删除,访问一项
(建议,添加针对某些病毒经常生成的某些文件的规则)
4.监控任意程序的行为
二、程序启动控制
它可以实现监控任意程序被启动的功能,具体设置方法如下:
打开主动防御设置菜单,进入程序启动控制设置面板,单击下面的添加按钮


图4
选择你要监控的被启动的文件,在弹出的“程序启动控制-添加规则”对话框中,单击其下面的添加按钮

图5
在弹出的添加程序的对话框中 填入或者勾选相应的项目即可。
(建议:添加某些容易被病毒启动并且利用的文件的规则)
三、应用程序保护
瑞星08在这个功能的利用上可谓是下了一番功夫了,大部分应该保护的软件都在帐号保险箱中得到了保护,但难免有“漏网之鱼”,所以我们还是需要了解一下如何对应用程序保护进行设置。
打开主动防御设置菜单,进入应用程序保护设置面板,单击下面的添加按钮,在弹出的“选择规则应用对象”中 选择你要保护的程序,之后会出现“应用程序保护-添加规则”的对话框,在其中勾选相应的规则和处理办法即可。
(建议:对安全软件或者网络游戏进行保护。)
安全软件的保护规则建议为
防注入dll:拒绝
防注入代码:拒绝
防内存修改:拒绝
防内存读取:拒绝
防模拟发送消息:拒绝
防模拟按键:拒绝
防监听键盘输入:拒绝
防挂起:拒绝
防结束:拒绝
网络游戏的保护规则建议为
防注入dll:拒绝
防注入代码:拒绝
防内存修改:拒绝
防内存读取:拒绝
防模拟发送消息:拒绝
防模拟按键:拒绝
防监听键盘输入:拒绝


图6

瑞星主动防御规则的设置(参考)
1.监控任意注册表项目功能利用:
这里我监控显示隐藏文件的关键注册表项目的修改和删除操作
设置方法如下:
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加
活动进程列表选择* 单击注册表和文件访问控制下面的添加按钮 选择注册表
在弹出的添加注册表规则的对话框中 单击右边的选择按钮 选中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden整个键 确定
规则名称:显示隐藏文件
监控目标勾选:监控键,包含子键
监控操作 均勾选
触发动作:提示
规则描述:如果有操作修改显示隐藏文件的注册表项,则提示我

图72.监控任意自定义文件夹内的文件的创建,修改,删除,访问的利用:
瑞星防火墙安装目录监控
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加
活动进程列表选择* 单击注册表和文件访问控制下面的添加按钮 选择文件
在弹出的编辑文件规则的对话框中 单击右边的选择按钮 选中 你的瑞星防火墙安装目录 确定
规则名称:瑞星防火墙文件目录监控
监控目标勾选:包含子目录
监控操作:修改,删除,创建
触发动作:提示
规则描述:如果瑞星防火墙文件夹内的文件出现变化,则提示我
大家可以按照这个方法添加你电脑内其他安全软件的目录监控规则,比如360安全卫士等等

图8QQ安装目录监控
现在有很多病毒都会盗取网络游戏的帐号和密码,更有甚者,直接替换或者修改网络游戏中的文件,达到启动游戏则启动自身的目的,所以我们需要对于某些网络游戏的安装目录进行监控
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加
活动进程列表选择* 单击注册表和文件访问控制下面的添加按钮 选择文件
在弹出的编辑文件规则的对话框中 单击右边的选择按钮 选中 你的QQ安装目录 确定
规则名称:QQ文件目录监控
监控目标 不勾选(注意,这里不要勾选包含子目录选项,因为子文件夹里面一般都有用户的信息或者图片等,如果勾选了,那么甚至你一聊天,一储存新的图片瑞星都会报警!)
监控操作:修改,创建
触发动作:提示
规则描述:如果QQ安装文件夹内的文件出现变动,则提示我。

图93.监控任意自定义文件的创建,修改,删除,访问功能的利用:
很多病毒都会创建autorun.inf这个文件,所以我们可以通过对这个文件的创建和访问进行监控
打开主动防御设置菜单,进入应用程序访问控制设置面板,单击下面的添加
活动进程列表选择* 单击注册表和文件访问控制下面的添加按钮 选择文件
在弹出的编辑文件规则的对话框中的监控目标中输入C:autorun.inf
规则名称:C盘autorun.inf监控
监控目标勾选:不勾选
监控操作:创建,访问
触发动作:拒绝
规则描述:如果有程序访问或者创建autorun.inf,则自动拒绝
同理添加 其他盘的autorun.inf监控规则


图104.监控任意程序被启动的功能的利用
通过此功能我们可以添加某些经常被病毒利用的程序的监控规则。
比如iexplore.exe,cmd.exe,rundll32.exe,reg.exe,net.exe,ping.exe,attrib.exe,at.exe等
以iexplore.exe为例说明设置方法:
打开主动防御设置菜单,进入程序启动控制设置面板,单击下面的添加
在浏览中找到%program files%Internet Exploreriexplore.exe
在弹出的
为了防止在桌面上启动该程序瑞星仍提示,我们还需要设置一个Explorer.exe启动IE的规则。
在弹出的程序启动控制-添加规则的 对话框中 单击下面的添加
在之后弹出的 添加程序 对话框中 进行如下的设置
规则名称:Explorer.exe启动Ie
启动者:C:WINDOWSexplorer.exe
触发动作:放过
规则描述:如果Explorer启动IE,则放过

图11点击确定后
继续添加其他程序启动IE的规则
规则设置如下:
规则名称:其他程序启动IE
启动者:*
触发动作:提示
规则描述:如果其他程序启动IE,则提示我


图12
两个规则都设置完毕以后 连续点击确定 确认即可

图13cmd.exe,rundll32.exe,reg.exe,net.exe,ping.exe,attrib.exe,at.exe的启动规则仿照iexplore的启动规则设置即可
5.应用程序保护功能的利用
之前已经说明了应用程序保护的设置方法和规则设置建议,不再赘述。下面仅以保护卡卡助手的防漏墙为例说明其设置方法:
打开主动防御柚貌说ィ 胗τ贸绦虮;ど柚妹姘澹 セ飨旅娴奶砑影磁ィ 诘 龅摹把≡窆嬖蛴τ枚韵蟆敝?选择卡卡助手的runiep.exe
在弹出的“应用程序保护-添加规则”的对话框中 做如下设置
防注入dll:拒绝
防注入代码:拒绝
防内存修改:拒绝
防内存读取:拒绝
防模拟发送消息:拒绝
防模拟按键:拒绝
防监听键盘输入:拒绝
防挂起:拒绝
防结束:拒绝
如果有大家有未被瑞星帐号保险箱保护的某些网络游戏,可以按如上方法加入到瑞星应用程序保护中。
希望大家能够根据自己的需要探索更加适合自己机器的主动防御规则,以更好的保护自己的爱机!


图14
附 一些危险操作时瑞星的保护警报
1.有程序试图在瑞星防火墙中创建文件

图15
选择“拒绝”后

图16

2.有程序试图把QQ安装文件夹中的Timplatform.exe改名

图17
选择“拒绝”后

图18
3.有程序试图在C盘下创建 autorun.inf时

图19
瑞星的相关记录

图20
4.有程序试图结束卡卡助手的runiep.exe时

图21
瑞星2008问答/优化手册[完全版]
前言
我必须声明的是对安全软件的优化都是再保证系统安全的前提下,牺牲软件部分次要性能来达到优化的目的。但是我尽量把这种影响降低再一个最小的范围内!
必读
首先无论是瑞星的老用户还是新用户,在安装2008之后我强烈建大家阅读一下软件的“帮助”。因为2008较以往的版本改动实在是太大了,不但重新改写全部监控代码而且更是在这个版本中加入目前安全软件流行的HIPS功能(也就是主动防御),如果你购买2008正式版的光盘的话这个版本的瑞星终于已经开始支持LINUX引导查杀了!所以对于任何用户来说2008版本的瑞星都是全新的!
推荐安装方法
在目前论坛很多用户都在反映一些和2008有关的奇怪问题,这其中可能有一部分是瑞星还有没发现的BUG引起的,但是更多就是用户安装其它第三方软件和瑞星主动防御模块以及WINDOWS内核三方互动造成的!其实不仅仅是瑞星任何一款有HIPS功能的软件都受这个问题困扰!从厂商的角度来解决在这里我们暂且不说,我只想根据我这几年来使用/测试HIPS软件的经验来说说我个人一个解决方法。那就是重装系统!如果这对你来说不是太难话,这简单的办法几乎可以解决你很多“莫名其妙”的故障。安装好系统和驱动后先下载安装系统补丁,然后就立即安装瑞星2008正式版(对于某些升级“困难”的用户也可以安装08后使用08提供的升级工具升级WINDOWS系统补丁)最后再安装其它软件。这样即最大程度提高HIPS原始安装时间点上系统组件的安全性又避免很多兼容的问题。很多先安装第三方软件后安装瑞星08出现问题通过上面这个颠倒安装步骤的方法都可以很容易的解决或避免…至于这个方法的原因简单的说就是:“从简单开始要比从复杂开始容易的多!”最后要说如果你已经使用HIPS或有HIPS功能的软件的话那再安装瑞星2008就要割舍一下了,因为除非你可以手动给2个HIPS添加互信规则否则两个HIPS“打起架”可不是闹着玩的!
问答篇
2008升级相关问题
可能有一些用户反映目前无法升级或还没有升级到2008版本,因为考虑瑞星用户数量巨大第一时间全部升级显然不现实,所以没有以外情况的话2008的升级还是跟以往的跨版本升级一样采取分批次升级的做法。希望大家不要着急请耐心等待!而且再全部用户升级2008前2007的升级也应该会照常进行的!
为什么安装瑞星2008后开机速度会减慢?
这个跟2008新的主动防御模块(HIPS)有关,因为系统启动时HIPS需要必要的加载验证过程,这是需要时间的所以开机时用户可能会感觉变慢,但是这是所有HIPS功能软件都有的一个现象!
为什么安装2008后系统资源占用极高?
在刚开始安装2008的时候瑞星杀毒软件(主要是HIPS模块),防火墙等需要对系统组件必要验证,比对,记录等。这是需要耗费系统资源的所以用户在刚开始的时候会感觉系统资源耗费比较大,但是一般在一段时间后(非安装第一次启动后)就会明显改善。但是如果长时间没有明显改善的话,基本就是出现兼容问题了。你可以上报瑞星公司也可以参见“建议安装方法”解决(2008组件无法全部打开也可参见此方法)!
为什么某些用户08查杀速度会非常缓慢?
首先08基本会对所有的文件解压查杀这样速度就会慢一些,而且首次查杀时速度确实会慢一些但是再次查杀速度就是显著提高这是因为瑞星智能标记功能使查杀速度加快.另外瑞星杀毒时间也做了大修改,改成实时修正所以开始估算的时间可能会如天文数字,但是这个数字会再不断修正.如以上现象都无法解决请你上报瑞星公司也可以参见“建议安装方法”解决!
为什么安装HIPS后我还会中毒?
首先HIPS本身并不会查杀病毒!简单的说HIPS就是帮助安全软件与恶意软件(病毒/木马)等争夺系统控制权的工具.其基本时靠内置规则来判断正常行为与恶意行为的,但是HIPS更多的时候还是要靠交互操作来提示用户,但是提示本身也不会告诉你到底有危险还是没有危险.排除HIPS本身的BUG情况下,不是说HIPS让病毒感染系统,而是你让HIPS去信任病毒而感染系统的!…所以HIPS对使用者还是有一定要求的,而且用户目前不要指望有一个完全"免打扰"的HIPS.这也我为什么极力推荐大家使用前阅读"帮助"的原因.
优化篇
以往比较常见的设置我全部略过,这里只对新的或重点设置进行图解说明。
监控设置
文件监控—常规设置

图1
高级设置
由于监控部分全部重写,所以有的用户感觉新版2008"监控没有以往明感"但是这其实完全是一个误解,当让如果用户"怀念"以往版本的监控,可以关闭框内选项!当然在优化资源角度来说我强烈建议用户不做修改,使用默认设置.

图2
自定义设置
除框内的压缩文件不选外,其它选项全部选定

图3
邮件监控
如果你不是专业人事或有特殊要求在邮件监控中还是不要选择“记录日志”,因为说白了普通用户来说很少有人看这些况且不记录日志也会大大降。

图4
网页监控

图5
主动防御设置
除“系统加固”和“恶意行为检测”外其它均可不选择“记录日志”

图6
有网友在论坛上反映网上流传很多破解2008主动防御的帖子,这其实不是因为08的HIPS在技术上有什么大的漏洞而是因为瑞星考虑程序兼容的一些问题在主动防御默认规则中设置比较宽松,这就给一些软件/方法结束08防御进程提供了机会,所以在这里我特别对08的HIPS设置进行一下介绍:
我们可以通过2种方法进入主动防御的设置界面:
1是通过主界面菜单
2是通过系统托盘右键菜单
这就是主动防御的组界面在这里我们就可以对主动防御(一下简称HIPS)所有的功能进行设置。
右下角的“主动防御白名单”,应该是大家在测试时期用的最多的一个功能了,但是大家往往都是在烂用这个功能了。因为只要2008的HIPS一出现提示用户就不管三 七二十一的全部都加入到了白名单中了,这十分危险和错误的。因为在白名单的文件/进程等都不在受HIPS功能的保护,所以在你100%确定你要添加的对象没有危险之前请慎重使用该名单!
系统加固
系统加固模块点击“自定义级别”进入详细设置!
1系统动作监控
默认设置中2008只选中最后的“修改内核内存数据”,我建议各位把“挂全局钩子”(有很多测试都说2008对钩子不是很理想,其实这完全十因为测试用户设置的问题造成的)和“加载驱动程序”(要安装或更新驱动请取暂时消该设置)也选择。出发规则时我们选择“提示”
在这里我必须说明二点:
1瑞星2008HIPS的默认设置是最为宽松的设置,它在保护系统安全的最低前提下最大限度的减少HIPS的提示次数,如果用户对2008提示“过敏”的话,我下面的内容就不要看,因为HIPS本身就是靠和用户交互操作来达到系统安全的目的。如果你想要一个没有提示绝对智能的HIPS的话SNS,SSM,EQ,S3和瑞星以及世界上任何一款HIPS都做不到。要真是这样的话请放弃HIPS回归Ghost和黑盒流吧!
2出发规则时之所以择“提示”而不是拒绝,是因为用户在安装软件或某些操作的时候可能会触发规则直接“拒绝”用户的操作就无法完成,所以我们选择“提示”一旦触发用户决定下一步的行动。
2注册表监控
全部选择当然是安全性能最高的,但是提示数量也是用户无法接受的,在这里我只是给出一个我自己认为应该添加的内容,因为2008的说明非常详细大家到时候可以根据自己的要求设置。
文件关联:
“INI/文件默认打开方式”和“INI文件关联”全部选择,触发动作:提示
系统配置:
“浏览器辅助对象”和“引导执行”全部选择,触发动作:拒绝(“浏览器辅助对象”后4个SHELL壳以及引导执行也可以选上,用户酌情。拿步准又想要安全请把触发动作设置为“提示”)
IE配置:
如果你使用IE为浏览器而且又经常被恶意软件劫持,你最好将IE配置全部选中!触发动作:拒绝
3关键进程保护
系统进程保护:
“EXPLORER*.EXE”全部选择,触发动作:提示
4系统文件保护
系统关键目录:
前4项脚本全部选择,触发动作:提示
后面的因为对于经常安装/卸载软件的用户经常要写入这些目录所以,大家根据自己情况设置。
系统配置文件:
“用户策略脚本文件”和计算机组策略脚本文件” 全部选择,触发动作:拒绝
“SYSTEM.INI文件”和“WIN.INI文件” 触发动作:提示
应用程序保护
应用程序保护模块这是对应用程序,尤其是和网络相关的程序进行保护使用的模块!这里我们用QQ做例子这是对应用程序,尤其是和网络相关的程序进行保护使用的模块!这里我们用QQ做例子
添加程序后出现设置界面,默认全是放过用户要设置成“提示”或“拒绝”差别和上面介绍的一样。前者有提示后者没有直接拒绝。如保护的程序是聊天软件或网络游戏请把“防模拟发送消息”“防模拟安键”“防键盘监听”选上。但是这个模块还缺少广泛的游戏验证所以大家在测试的时候留意一下和自己的游戏是否冲突并上报给瑞星官方。
防火墙设置优化
开启此模块

图7
高级设置
请参考框内设置对自己的设置进行修改。

图8
ARP欺骗设置

图9
可信任区
内网用户一定要把自己的内网IP地址段加入到可信任区中!

图10
ARP欺骗设置

图11

您阅读此文共耗时

发表评论

你必须 登录后 才能留言!