“主动防御”功能
从瑞星2008版开始,大家最关注的是“主动防御”功能,与此有关的负面评论中,最集中的就是瑞星不能拦截冰刃或狙剑,现在09公测了,好像大家对这个问题依然重视。那么,瑞星真的这么弱么,别人一两年前就能做到的,瑞星却做不到?被冰刃过,是不是意味着瑞星很弱?
在我们开发2009之初,也讨论过这个问题。最终的结论是,瑞星不会对冰刃、狙剑等安全工具做攻防,就算继续被别人指指点点,瑞星的工程师也坚持做自己认为对的事情。
1、像冰刃、狙剑这种安全工具结束进程时,并不是直接去结束进程,换句话说不像大家看到的这么简单。Windows系统下的所有操作,都是通过对象形式进行的,例如:窗口、文件、个体。这类安全工具都是通过更底层的系统内部函数,如:结束系统对象来实现的,通过先打开要结束进程的对象,再进行结束对象的操作。瑞星如果要拦截此类操作,首先要检测打开对自身程序进行打开或删除的对象,然后再拦截其的打开或删除对象的操作。如果拦截冰刃和狙剑,会严重影响电脑资源占用率、拖慢机器。在一些老机器上效果相当明显,我们目前还保留着一台老机器用于诸如此类的测试,特别是这种在速度方面的差距影响。如果使用该方式必然会使用驱动技术,在同级对抗中是没有意义的。
2、无论是病毒或者是安全工具,同级代码之间的对抗,胜利者永远是后出招的,谁在明处谁倒霉。病毒或安全工具放出驱动后,与瑞星的驱动进行对抗,如果要保持对抗的优势,就必须频繁分析对方的招数并升级,双方这样频繁的升级,对于用户电脑安全而言,没有半点好处。 如果我们把冰刃干掉,那么冰刃会不会为了“技术的尊严”针对我们做优化,然后我们再研究新的破解之道……?
网友评论