【IT168 瑞星09技术大会报道】每年一届的瑞星技术大会堪称互联网安全狂欢节，众多安全领域专家纷纷在这个场合下发表自己多年来的研究成果。今年的瑞星2009技术大会，也可以说是一次对云安全的一次回顾与展望。面对众说纷纭的云，未来的应用和发展又在哪里?相信本次大会给人不一样的感受。

　　提问：你好!我们单位的一些用户来讲，他们的计算机水平本来相对就比较低，他们只会使用一些我们自己单位系统。我想问的是瑞星你们有针对这种人群的杀毒软件，或者叫傻瓜版，不用他进行操作。谢谢。

　　刘刚：实际上改善用户体验是我们瑞星一直追寻的目标，针对这种客户，我们也会考虑出一些简化版，或者是功能上更简易的版本，这个是我们公司有计划开发的。

　　提问：我想问一下可不可以简单介绍一下，你们存储数据的硬件和软件，对这个比较感兴趣，谢谢!

　　主持人：硬件是我们的服务器集群，软件是瑞星自主研发的瑞星云安全系统，谢谢!

　　提问：我们也在做杀毒软件评选活动。有没有可能两款杀毒软件共存一台机器上，我知道Windows已经自带了MSE，对杀毒软件市场带来一定冲击，我想有没有可能两种软件共存。

　　主持人：用户同一操作系统下，我们只建议安装一款专业杀毒软件。如果说你的系统装了两款杀毒软件以后，它底层的监控之间会产生冲突的，要监控整个系统运行以及网络大量数据。如果说同时装了两套具有相同功能，而不是性能的产品时候，之间会有冲突的。你可以回去试试，装我们瑞星再装其他软件，我估计比你中毒以后还难用。还有Windows里面的系统，我们大家理解为具有杀毒功能或者具有安全扫描功能的组建，这个是比较准确的一个意思。它是组建，是可以跟瑞星很好兼容的。另外我觉得外国杀毒软件，由于地域性有可能水土不服，可以作为扫描工具，想真正保证电脑安全，希望大家还是支持本土产品。

　　提问：能否介绍一下它们比较致命的，本土的不足。

　　主持人：这个问题，计算机病毒跟自然界病毒它是有很多相同之处的。就是说你可能日本人得了一些特别严重的病，可能我们中国根本就没有这种病毒，如果说他们的医院大量的病人吃这种药，你说很有效果，中国药店老引进这种药，我们本地又没有这种病毒，那不是没用吗。而且还得掏钱买这个药，还得通过海关等等，做国际贸易，这都是资源的浪费。

　　提问：我们现在碰到一个问题，当然我们也是用户。现在瑞星杀毒，我们每天也都在查杀，而且修整补丁都是非常及时。现在我们用360扫的时候，木马病毒还存在，瑞星杀毒软件对木马这一块好像有点问题，我感觉上面，相比之下有点问题。当然并不是瑞星不好。第二个问题，现在基本上关注的防杀毒的技术，瑞星这一块对微软核心技术的跟踪，或者说微软每推出一个新的版本的时候，这块跟踪实质性，刚才已经说到了，微软也没公布过补丁，这块瑞星跟微软有什么关系?有没有相应的技术有相应的人员进行分析。谢谢!

　　刘刚：首先第一个问题，瑞星是一家专业反病毒公司。请不要拿娱乐大众的公司跟我们专业公司相提并论。还有我再次强调，实际上木马是病毒的一种，它并不是独立分离出去的恶意，像所谓娱乐化公司说的那样，木马是木马，病毒是病毒，这一点希望你能理解。至于第二个问题，瑞星在微软操作系统发布的前期都会对新版本操作特性以及更新的技术做追踪、分析，去解决良好的兼容性问题。至于您说64位Windows操作系统，目前我们是支持的，只有主动防御功能在64那块被屏蔽掉了。

　　主持人：再补充一句，微软、W7都有很多人用了。W7的发布会以及上周微软亚洲MP大会，瑞星作为微软公司亚洲五十家合作伙伴，唯一一家受邀的反病毒厂商参会，进行了主题演讲，这一点就可以体现出瑞星我们的技术实力，以及我们与微软公司之间的关系。另外一点，真真正正的干货，微软每年都会给我们公司寄金牌合作伙伴的奖杯，大家如果感兴趣，可以去瑞星公司参观一下谢谢!

　　提问：我比较关注一点网页挂马。我们曾经客户端被迅雷误报一次。国外的杀毒软件经常会误报，如果说这个图片里边代码跟病毒规则是有特性的就会报有病毒。我的问题是瑞星对网页挂马检测的时候有没有什么手段?

　　刘思宇：像你刚才提到的误报情况，实际上这跟各个安全厂商对于网页挂马判断方法是有关系的。比如说像你刚才提的形式，就是特别特征码的方式对一个网页是否带毒进行判断。像瑞星的化，我们的主动防御里边有一个木马入侵防御的功能。这里边就是对于网页挂马的防御方法。实际上是通过挂马的行为，这些脚本如何在虚拟机里边执行的?都做了什么样恶意的行为?比如说覆盖了某一些内存地址，执行恶意指令。这段程序脚本作用是在你的后台下载一个程序，并且还有执行的动作。我们是通过类似于这样行为模式判断、认定是否存在网页挂马的。通常用这种方式来说判断就不会出现像你刚才所说的误报问题。

　　提问：非常感谢您的回答，不会像国外软件基于很简单的行为检测木马了。刚才前面讲到虚拟机，判断行为的时候会在虚拟机里面检测，因为虚拟机开发难度比较大，耗时也比较长。我们这个虚拟机在W7运行怎么样?

　　周军：这些病毒在在执行环境其实执行环境很强，我们模拟W7这个代价是相当的，所以我们很容易能够替换环境模拟数据，解决相兼容。我们虚拟机在Windows平台的一致性是相当好的，完全可以兼容这些平台。

　　提问：您说的VM，是不是指令在嵌入之后通过地址转换…

　　周军：在执行过程当中会把目标代码放在三环执行。第一，基于病毒问题分析得来，绝大多数病毒是在三环运行的。还有由于三环是非常受限的环境，所以把病毒代码放在三环跑的时候，会有很好的嵌入。环境的切换是在三环来做的，当我们执行零环目标代码的时候是有特殊方式处理的。

　　提问：我是网易公司的，我们最近做了网易宝的产品，类似于支付宝的在线支付平台。在九月份就出现了大量的，它可能不属于病毒，属于欺骗。用户下载了一个订单，会把订单伪装到模拟淘宝页面，当被骗用户到淘宝上买东西的，骗子会把UL发给用户。这样的话用户把订单支付完之后，实际上是给骗子支付了。这种情况不属于病毒，它拿到的UL都是合法的，我们瑞星云安全有没有把这种也纳入进去。实际上它是欺骗，不是病毒。

　　主持人：您刚才说的这个问题，在前一段某重大媒体曾经曝光过某支付平台网站，由于本身网站支付流程，还有它的网站程序存在着重大漏洞，曾经出现过类似的问题。至于技术上的问题，我们请思宇，通过防挂马或者钓鱼方面做一些解释。

　　刘思宇：实际上您刚才也提到了这不是病毒方面的问题，这等于就是我刚刚介绍的一些传统的犯罪模式搬到网上进行了，它是在进行欺骗。这种网站我们认为是钓鱼网站。对于钓鱼网站，虽然它并不是我们传统的防御范围，但是对于这块技术其实我们也会进行相关的研究，比方说通过它的一些代码，以及它想要仿冒网站的特性来去定义一些钓鱼网站。另外对于我们云安全体系里面，我们对于用户上报的钓鱼网站，会通过我们恶意网址库、黑名单库对它进行拦截。另外还有包括跟一些支付平台的一些合作关系，将他们给过来仿冒他们网站的钓鱼网址，我们也会加入到我们客户端里面进行防御，实际上我们是做了一些工作的。

　　提问：你说的是事后了，我们损失已经造成了，有没有一种手段在它支付的时候就能够判别出A和B。现在我们也在做防御方面的识别，现在识别也只能达到80%，还是有一些识别不出来的。瑞星有没有基于云安全对事先进行防御?

　　主持人：这个问题实际上我刚才说了，不是病毒的问题，但是安全厂商针对挂马网站或者钓鱼网站，我们是专注处理这方面的威胁。一方面我们希望平台它的流程能够足够的健全，要想法设法阻止这种，和另外一方面像您刚才说的20%可以和瑞星合作。谢谢!

　　提问：实际上现在在线支付平台，不管是支付宝也好、腾讯也好，或者是银行页面也好，现在没有一家公司能够完全的说，客户支付的订单认定是A支付的。现在问题就是，首先在银行那一端就不支持怎么区分A和B，支付的时候银行只会认你的银行卡号，而不会判别是支付宝哪个用户下的单。首先银行端是不安全的，到网易也好，或者到腾讯也好，或者到支付宝也好，它UL只要能拿到是合法的，订单就成功的。怎么防止我一个合法的UL被一个不合法的人获取而拦截的问题。

　　主持人：我个人理解是属于支付平台自身安全机制的问题，如果说您需要我们瑞星支持的话，可以在会后与我们安全专家进行更细致的沟通，我们会为您提供一套比较安全的方式的一些建议。当然瑞星主要是针对一个互联网安全提供很好的保障服务商。谢谢大家!