瑞星殺毒軟件網(wǎng)絡版技術(shù)培訓

瑞星殺毒軟件網(wǎng)絡版技術(shù)培訓Name:付欲華Tel-mail:fuyh@2主要內(nèi)容三、網(wǎng)絡版主要功能四、網(wǎng)絡版安裝使用一、網(wǎng)絡版框架結(jié)構(gòu)二、網(wǎng)絡版升級原理五、網(wǎng)絡版常見問題處理六、技術(shù)支持流程說明3分布式體系結(jié)構(gòu)

系統(tǒng)中心支持Windows服務器操作系統(tǒng)服務器端支持Windows服務器操作系統(tǒng)

客戶端其他Windows工作站、Unix/Linux操作系統(tǒng)

控制臺所有Windows操作系統(tǒng)查殺病毒自動升級實時監(jiān)控查殺病毒遠程安裝實時監(jiān)控自動升級系統(tǒng)中心網(wǎng)絡管理遠程報警遠程殺毒自動升級客戶端服務器端控制臺控制設置管理備注有提示哦！4單中心體系結(jié)構(gòu)5系統(tǒng)中心模塊數(shù)據(jù)管理中心(RavAgent)升級管理中心(RavUpdate)報警代理中心(RavAlert)日志查詢統(tǒng)計中心(RNReport)6系統(tǒng)中心模塊RavAgent:數(shù)據(jù)管理中心管理客戶端和其它核心對象的數(shù)據(jù)將在規(guī)定時間內(nèi)沒有注冊的客戶端置為未激活狀態(tài)定期刪除在設定時間內(nèi)沒有激活的客戶端信息管理分組信息及管理員信息組策略信息管理授權(quán)計數(shù)的管理與控制UDP監(jiān)聽和黑白名單控制7系統(tǒng)中心模塊RavUpdate：升級管理中心從瑞星網(wǎng)站或上級中心升級新版本文件為客戶端提供升級文件服務漏洞補丁包下載提供設置接口，以便設置如下信息:Internet網(wǎng)絡連接：直接連接，代理，撥號升級途徑：從網(wǎng)站升級，從上級中心升級升級方式：下載手動升級包，智能升級定時升級設置用戶ID專用版信息8系統(tǒng)中心模塊RavAlert：報警代理中心病毒日志,事件日志的保存采用插件方式處理病毒日志，支持多種報警方式。如報告給控制臺，報告給上級中心，發(fā)郵件(STMP)，發(fā)消息(Message)，寫NT事件日志(NTEventLog)，發(fā)送SNMP陷阱(SNMPTrap)等漏洞信息報警與保存收集并保存客戶端的IE歷史記錄（僅在網(wǎng)吧版中有效）提供病毒信息，漏洞信息，IE歷史記錄的查詢接口9系統(tǒng)中心模塊RNReport:日志查詢統(tǒng)計中心病毒日志的查詢與統(tǒng)計漏洞攻擊日志的查詢與統(tǒng)計事件日志的查詢防火墻事件日志查詢10系統(tǒng)中心模塊RavBroker:多網(wǎng)段系統(tǒng)中心查找代理當客戶端與系統(tǒng)中心處在不同網(wǎng)段，客戶端無法找到系統(tǒng)中心，且客戶不需要安裝多中心系統(tǒng)時，則在此客戶端所在的網(wǎng)段安裝RavBroker，作為多網(wǎng)段查找系統(tǒng)中心的代理。主要功能：建立UDP監(jiān)聽，收到客戶端的查找系統(tǒng)中心的請求后，將預先設定的系統(tǒng)中心RavAgent的IP和端口返回給客戶端。11管理控制臺模塊遠程控制遠程管理遠程設置實時監(jiān)控客戶端的防毒狀況防毒策略的定制與分發(fā)系統(tǒng)設置日志查詢與統(tǒng)計

常用管理工具：RavControl:管理控制臺RavRemote(遠程安裝NT客戶端)RavTools(瑞星網(wǎng)絡版配置工具)AlrtPlgInCfg（插件配置工具,只能在系統(tǒng)中心上使用）SCBak(系統(tǒng)中心核心數(shù)據(jù)備份工具,只能在系統(tǒng)中心上使用)ReportView(日志查詢統(tǒng)計工具)LeakMgr(漏洞信息管理工具)IEHisRep(IE歷史記錄查詢統(tǒng)計工具)DCMgr(下載中心管理工具)12客戶端/服務器端模塊服務器端:WindowsNT/2000/2003服務器服務器端是專門為可以應用為網(wǎng)絡服務器的操作系統(tǒng)設計的防病毒子系統(tǒng)。它承擔著對當前服務器上病毒的實時監(jiān)控、檢測和清除任務，同時自動向系統(tǒng)中心報告病毒監(jiān)測情況客戶端:WindowsNT/2000工作站、Windows95/98/Me/XP客戶端、UNIX/Linux客戶端客戶端是專門為網(wǎng)絡工作站（客戶機）設計的防病毒子系統(tǒng)。它承擔著對當前工作站上病毒的實時監(jiān)控、檢測和清除任務，同時自動向瑞星系統(tǒng)中心報告病毒監(jiān)測情況。13客戶端/服務器端模塊主要程序：RavService：客戶端通訊代理(服務)RavTray：網(wǎng)絡版托盤程序LogPack：日志打包工具RNCltCfg:網(wǎng)絡版客戶端配置工具CCenter:跨Session多進程通訊中心(服務,服務名RsCCenter)RavMond:實時監(jiān)控(服務，服務名RsRavMon)RavMon:單機托盤程序14多中心體系結(jié)構(gòu)15多中心體系結(jié)構(gòu)RavSender(下級通訊代理):進程:Ravsender.exe負責將本級中心的命令和數(shù)據(jù)轉(zhuǎn)發(fā)給下級中心，并將下級中心返回的數(shù)據(jù)轉(zhuǎn)發(fā)給本中心的組件。上級中心的一個RavSender可對應下級中心的一到多個RavReceiver。一個中心可以有多個RavSender,但一臺主機上只能啟動一份RavSender。RavReceiver(上級通訊代理):進程:Ravreceiver.exe負責將上級中心的命令和數(shù)據(jù)轉(zhuǎn)發(fā)給本中心的相關(guān)組件，并將本中心的數(shù)據(jù)轉(zhuǎn)發(fā)給上級中心。一個中心只能有一個RavReceiver。16網(wǎng)絡版通訊方式UDP:7273－7282系統(tǒng)中心備注有提示哦！17網(wǎng)絡版各模塊之間的邏輯關(guān)系Ravservices.exe管理控制臺Ravcontrol.exe控制臺下達命令，獲取信息；客戶機匯報殺毒信息；系統(tǒng)中心客戶端服務器端Ravagent.exeRavupdate.exeRavalert.exeRNReport.exeRavservices.exe初始化Corba對象線程RavUpdtN.exe查詢RavUpdate的Corba對象信息升級運行RavCopy注冊和查詢其他模塊下載RavCopy傳遞版本信息匯報查殺毒信息RavTask.exe定時檢查RavService是否運行，如果沒有就運行之。數(shù)據(jù)庫RavUpgrd.exe18控制臺工作結(jié)構(gòu)圖系統(tǒng)中心RavAgent.exe提供注冊、查詢其他程序RavAlert.exe維護病毒信息控制臺客戶端服務器端RavService.exe響應遠程命令，狀態(tài)變化時的上報RavControl.exe更新Service列表信息RavControl.exe控制、設置、查詢/遠程查殺RavRemote.exe遠程安裝客戶端

19瑞星網(wǎng)絡版各服務/進程/端口系統(tǒng)中心服務及進程進程名服務名相關(guān)文件依賴服務說明RavAgent.exeRavAgent\Rav\RavAgent.exe無數(shù)據(jù)管理中心RavUpdate.exeRavUpdate\Rav\RavUpdate.exe無升級服務RavAlert.exeRavNetAlert\Rav\RavAlert.exe無報警代理RNreport.exeRNReport\Rav\RNReport.exe無查詢統(tǒng)計中心CCenter.exeRisingProcessCommunicationCenter\Rav\CCenter.exeRemoteProcedureCall(RPC)進程間通訊RavService.exeRavService\Rav\RavService.exe無客戶端通訊代理RavMonD.exeRsRavMon\Rav\Ravmond.exeRisingProcessCommunicationCenter實時監(jiān)控后臺服務RavMon.exe無\Rav\RavMon.exe無監(jiān)控托盤程序（前臺界面，小傘）RavTask.exe無\Rav\RavTask.exe無定時任務調(diào)度程序RavTray.exe無\Rav\RavTray.exe無托盤程序RavStub.exe無\Rav\RavStub.exe由RavMond.exe啟動登錄桌面瑞星圖標顯示程序20瑞星網(wǎng)絡版各服務/進程/端口上下級通訊代理服務及進程進程名服務名相關(guān)文件依賴服務說明上級服務器（上級系統(tǒng)中心）RavSender.exeRisingMulti-CenterCommunicationSender\Rav\RavSender.exe無瑞星網(wǎng)絡版下級通訊代理下級服務器（下級系統(tǒng)中心）RavReceiver.exeRisingMulti-CenterCommunicationReceiver\Rav\RavReceiver.exe無瑞星網(wǎng)絡版上級級通訊代理21瑞星網(wǎng)絡版各服務/進程/端口客戶端/服務器端服務及進程進程名服務名相關(guān)文件依賴服務說明CCenter.exeRisingProcessCommunicationCenter\Rav\CCenter.exeRemoteProcedureCall(RPC)進程間通訊RavService.exeRavService\Rav\RavService.exe無客戶端通訊代理RavMonD.exeRsRavMon\Rav\Ravmond.exeRisingProcessCommunicationCenter實時監(jiān)控后臺服務RavMon.exe無\Rav\RavMon.exe無監(jiān)控托盤程序（前臺界面，小傘）RavTask.exe無\Rav\RavTask.exe無定時任務調(diào)度程序RavTray.exe無\Rav\RavTray.exe無托盤程序RavStub.exe無\Rav\RavStub.exe由RavMond.exe啟動登錄桌面瑞星圖標顯示程序22默認對象通訊端口編號進程名稱進程說明開放端口

TCPUDP

1RavAgent數(shù)據(jù)管理中心19767273~72822RavUpdate升級管理中心19773RavAlert瑞星報警中心19784RavService客戶/服務器端通訊服務19795RNReport日志查詢統(tǒng)計中心19806RavControl瑞星管理控制臺19817RavUpgrd瑞星客戶端升級服務19828RavReceiver上級通訊代理16889RavSender下級通訊代理168923瑞星網(wǎng)絡版各目錄文件CopyRun：工作目錄，RavCopy組件的運行目錄DLCenter：下載中心目錄，保存（也可以叫緩沖）從網(wǎng)站或上級中心下載文件DLCenter/Website:存放升級包文件;DLCenter/Patch:存放經(jīng)過處理的漏洞補丁程序,供下級中心或客戶端下載;GroupInfo：分組信息（系統(tǒng)中心獨有）GroupInfo/AdminInfo.grp文件:用記事本打開可修改控制臺登陸密碼;GroupInfo/License.msg:用記事本打開可查看序列號注冊信息;Language：語言配置資源文件Patch：漏洞補丁存放位置PatchOut：病毒庫文件（*.def），用于后臺合庫用臨時目錄Plugin：各種報警插件文件存放位置RAVSENDER：下級通訊代理緩存文件位置ScanBD：漏洞掃描界面圖形文件存放位置SchImage：圖標文件（已經(jīng)沒用用了）ShortCut：快捷鍵圖標文件存放位置Skin：界面皮膚資源文件存放位置Strategy：組策略存放位置Update：備份目錄，瑞星網(wǎng)絡版的安裝目錄，用于修復和新版本更新xmls：各種xmls文件，用于升級校驗24瑞星網(wǎng)絡版日志文件25瑞星網(wǎng)絡版配置及數(shù)據(jù)文件配置文件：Rav.ini：單機版配置文件，存在于系統(tǒng)目錄下NetConfig.ini：主要是升級代理的配置文件，存在于\rav目錄下RavInfo.ini：網(wǎng)絡版默認目錄存放處、安裝文件等，存在于\rav目錄下RavRemote.ini：遠程安裝客戶端配置文件，\rav目錄下數(shù)據(jù)文件：RefuseIP.ini：拒絕IP列表，存在于\rav目錄下License.msg：安裝序列號文件，存在于\rav\GroupInfo目錄下AdminInfo.grp：管理員信息，存在于\rav\GroupInfo目錄下26瑞星網(wǎng)絡版其他目錄文件C:\RavBIN:隔離區(qū)文件（*.bin）C:\windows\ravID.ini:唯一標識一個客戶端,邦定mac地址的唯一guidC:\windows\RavNetDB.dsn:數(shù)據(jù)庫數(shù)據(jù)源配置文件C:\windows\RavNetDB.mdbf:真正的數(shù)據(jù)庫文件（access數(shù)據(jù)庫）\數(shù)據(jù)庫安裝路徑\RavNetDB.mdf:真正的數(shù)據(jù)庫文件（msde數(shù)據(jù)庫或sql數(shù)據(jù)庫）\rav\ravlog.dsn：單機數(shù)據(jù)源配置文件\rav\viruslog.mdb：單機數(shù)據(jù)庫文件27組策略管理流程28漏洞補丁分發(fā)管理流程29日志報告流程30標準引擎查殺流程31NIMAYA病毒查殺實例32主要內(nèi)容三、網(wǎng)絡版主要功能四、網(wǎng)絡版安裝使用一、網(wǎng)絡版框架結(jié)構(gòu)二、網(wǎng)絡版升級原理五、網(wǎng)絡版常見問題處理六、技術(shù)支持流程說明33升級系統(tǒng)組成升級管理中心：RavUpdate.exe版本升級程序：RavUpgrd.exe上級通訊代理：RavReceiver.exe(用于多系統(tǒng)中心產(chǎn)品)下級通訊代理：RavSender.exe(用于多系統(tǒng)中心產(chǎn)品)客戶端通訊中心：RavService.exe安裝程序：RavUpdtN.exe升級系統(tǒng)相關(guān)的目錄：安裝目錄(rav)：瑞星網(wǎng)絡版的安裝目錄備份目錄(update)：瑞星網(wǎng)絡版的安裝目錄，用于修復和新版本更新下載目錄(download)：版本升級的臨時目錄，升級完畢后程序會刪除該目錄。工作目錄(CopyRun)：RavCopy組件的運行目錄下載中心目錄(DLCenter)：保存（也可以叫緩沖）從網(wǎng)站或上級中心下載文件數(shù)據(jù)目錄:保存rav.ini.cfg等相關(guān)文件

升級系統(tǒng)相關(guān)的文件：

配置文件（cfg文件）-升級所需參數(shù)NetConfig.ini-版本升級程序參數(shù)RavUpdate.ini-升級管理中心參數(shù)備注有提示哦！34升級相關(guān)流程—升級途徑系統(tǒng)中心升級途徑：從瑞星網(wǎng)站升級從上級系統(tǒng)中心升級（多系統(tǒng)中心）客戶端升級途徑：從系統(tǒng)中心升級從升級代理進行升級根據(jù)系統(tǒng)中心及客戶端升級途徑的不同，分為以下升級流程：系統(tǒng)中心升級流程（如果是多系統(tǒng)中心則為根中心）子系統(tǒng)中心升級流程客戶端升級流程從網(wǎng)站下載手動升級包流程35升級相關(guān)流程—系統(tǒng)中心升級流程參與升級的程序：升級管理中心（RavUpdate.exe）版本升級程序：RavUpgrd.exe安裝程序：RavUpdtN.exe

從瑞星網(wǎng)站得到最新的版本號和Rav\ComsVers.inf版本號進行對比，如果網(wǎng)站版本新，則需要升級向網(wǎng)站發(fā)送相關(guān)信息（帳號，版本號等）得到升級地址，同時用于校驗帳號升級專用版數(shù)據(jù)升級Unix數(shù)據(jù)得到限時版剩余時間創(chuàng)建工作目錄rav/download/,通過下載中心下載最新的ComsVer.inf保存在

rav/download/下。從ravupdata.ini文件中讀取升級的方式設置rav/NetConfig.ini文件各種參數(shù)。確保ravcopy組件為最新的，將Rav/update下的Ravcopy組件拷貝到rav/download下，按照新的CompsVer.inf的內(nèi)容判斷是否需要升級Copy組件，用Copy組件的xml文件校驗文件是否損壞，是否需要修復，必要的話通過下載中心下載需要的文件。得到最新版本更新程序組件,下載最新的ravcopy組件到rav/copyrun目錄運行版本更新程序RavUpgrd.exe進行智能升級,下載到rav/download目錄,再copy到rav/update目錄更新,升級完畢后，刪除下載目錄Rav/download,調(diào)用安裝程序RavUpdtN.exe

此次版本升級完畢注意：系統(tǒng)中心通過下載中心去網(wǎng)站下載時候，會將下載下來的文件緩存在Rav\DLCenter\WebSite下，使得其他客戶端再下載時候，可以直接從系統(tǒng)中心Rav\DLCenter\WebSite下直接取得，減少訪問外網(wǎng)的網(wǎng)絡流量。升級流程36升級相關(guān)流程—子系統(tǒng)中心升級流程參與升級的程序：子系統(tǒng)中心升級管理中心：RavUpdate.exe上級系統(tǒng)中心升級管理中心：RavUpdate.exe上級通訊代理：RavReceiver.exe(用于多系統(tǒng)中心產(chǎn)品)下級通訊代理：RavSender.exe(用于多系統(tǒng)中心產(chǎn)品)版本升級程序：RavUpgrd.exe安裝程序：RavUpdtN.exe子系統(tǒng)中心升級流程和系統(tǒng)中心（頂級中心）相似，所不同是文件不是網(wǎng)站下載，而是從上級中心下載37注意：升級相關(guān)流程—子系統(tǒng)中心升級流程子系統(tǒng)升級管理中心（Ravupdate）子系統(tǒng)上級通訊代理（RavReceiver）父系統(tǒng)下級通訊代理（RavSender）父系統(tǒng)升級管理中心（Ravupdate）請求信息瑞星網(wǎng)站或上級中心升級文件參與文件更新的各個模塊各自擁有其緩沖目錄，如果在請求的過程中，某一模塊的緩沖目錄中存在該請求的文件，會直接返回通知該文件的請求模塊獲取該文件。38升級相關(guān)流程—客戶端升級流程參與升級的程序：客戶端通訊中心：RavService版本升級程序：RavUpgrd.exe安裝程序：RavUpdtN.exe。

客戶端通訊中心（RavService）根據(jù)配置設置請求文件的父對象（系統(tǒng)中心管理中心（Ravupdate）或升級代理）客戶端通訊中心（RavService.exe）從父對象得到最新的版本信息文件Compsver.inf

得到最新版本更新程序組件運行版本更新程序RavUpgrd.exe進行智能升級升級完畢后，調(diào)用安裝程序RavUpdtN.exe

此次版本升級完畢升級流程39升級相關(guān)流程—從網(wǎng)站手動下載升級包升級流程參與升級的程序：升級管理中心：RavUpdate.exe

從瑞星網(wǎng)站得到最新的版本號向網(wǎng)站發(fā)送相關(guān)信息（帳號，版本號等）得到升級地址，同時用于校驗帳號升級專用版數(shù)據(jù)升級Unix數(shù)據(jù)得到限時版剩余時間得到最新的版本信息文件（文件名一般為Compsver.inf）向網(wǎng)站發(fā)送相關(guān)信息（帳號，版本號等，為了和智能升級區(qū)分會加上特別的參數(shù)）得到手動升級包的地址，同時用于校驗帳號去該地址下載最新的手動升級包，保存到設置的位置（升級包的名字一般為updata.exe）向網(wǎng)站發(fā)送升級完成標志（用于限制其每天的升級次數(shù)），完成此次升級升級流程40主要內(nèi)容三、網(wǎng)絡版主要功能四、網(wǎng)絡版安裝使用一、網(wǎng)絡版框架結(jié)構(gòu)二、網(wǎng)絡版升級原理五、網(wǎng)絡版常見問題處理六、技術(shù)支持流程說明41主要功能與特性集成對客戶端防火墻的管理客戶端自動分組支持客戶端作為升級代理客戶端搜索工具支持靜默/自動安裝漏洞補丁支持Intel的AMT技術(shù)第三方接口支持42集成對客戶端防火墻的管理為了最小程度地避免防火墻對企業(yè)正常業(yè)務的影響，集成在網(wǎng)絡版中的防火墻對現(xiàn)在的瑞星個人防火墻進行精簡，只提供最實用的功能。且僅在07專業(yè)版中定制提供(只是作為專用版的一個可選組件，專用版的標準母盤中不包含此組件)。管理控制臺提供對客戶端防火墻的集中管理，監(jiān)控客戶端防火墻狀態(tài)，讀取和設置客戶端防火墻的配置。客戶端防火墻的攻擊事件能實時/定時報告到系統(tǒng)中心。日志查詢統(tǒng)計工具可對全網(wǎng)的防火墻攻擊事件進行查詢和統(tǒng)計。43客戶端自動分組在各個企業(yè)，特別是大中型企業(yè)的網(wǎng)絡管理員實際應用中，網(wǎng)絡管理員希望系統(tǒng)中心安裝過程中可以繼承AD中的客戶端分組信息，或繼承"網(wǎng)上鄰居"中客戶端的分組信息；安裝系統(tǒng)中心后，可以根據(jù)預先設定的分組策略對新注冊的客戶端自動分組，以便減少他們的日常維護工作量。通過管理控制臺可對分組規(guī)則進行管理。分組規(guī)則支持計算機名稱，IP地址范圍，操作系統(tǒng)類型。每個組允許有多個規(guī)則。根據(jù)規(guī)則的添加順序依次匹配。自動分組工具支持將AD中的客戶端分組信息或“網(wǎng)上鄰居”中的客戶端分組信息導入到系統(tǒng)中心分組規(guī)則中。此工具僅限在系統(tǒng)中心上使用。44支持客戶端作為升級代理客戶端通過窄帶網(wǎng)絡與系統(tǒng)中心升級時會非常慢,且占用出口帶寬嚴重,影響企業(yè)的正常業(yè)務通訊。為了加快升級速度，均衡網(wǎng)絡流量。特別是解決類似國稅系統(tǒng)中客戶端通過窄帶網(wǎng)絡與系統(tǒng)中心相連，保證客戶端能盡快升級。主要功能：控制臺可設置開啟或關(guān)閉“客戶端作為升級代理”（默認關(guān)閉此功能）,并可指定客戶端作為升級代理。RavAgent能夠返回某個客戶端所在子網(wǎng)的客戶端升級代理。RavAgent支持自動生成客戶端升級代理。客戶端從RavAgent查詢本網(wǎng)段端的升級代理，當存在升級代理時嘗試從升級代理處升級，否則依然從系統(tǒng)中心Update升級。45客戶端搜索工具通過此工具可快速掃描指定網(wǎng)段/網(wǎng)絡鄰居的客戶端是否安裝了瑞星殺毒軟件，或其他廠商的殺毒軟件（需提供客戶端的用戶名和口令）。46支持靜默/自動安裝漏洞補丁以設置客戶端完全靜默安裝漏洞補丁，并盡量準確地提示用戶是否需要重啟。47支持Intel的AMT技術(shù)Intel正在與各個ISV合作積極推進其“博銳(vPro)”技術(shù)。擁有博銳AMT技術(shù)的計算機在未開機狀態(tài)下,IT管理人員也能對其進行管理，管理特性分為三大類：發(fā)現(xiàn)(Discover),診斷(Heal)和保護(Protect)。瑞星殺毒軟件利用iAMT的一些特性增強網(wǎng)絡版的管理功能：通知長時間沒有開機的客戶端升級對因病毒侵擾而無法啟動的計算機進行遠程引導殺毒48第三方接口支持61所安管平臺AV接口開發(fā)報告病毒日志和系統(tǒng)事件設置客戶端的防毒策略神州數(shù)碼AV接口查詢?nèi)鹦菤⒍拒浖臓顟B(tài)(安裝狀態(tài)，啟動狀態(tài)，監(jiān)控狀態(tài)，版本等)查詢病毒日志查詢系統(tǒng)漏洞信息49其他改進網(wǎng)絡版版安裝時允許選擇已經(jīng)存在的SQLServer數(shù)據(jù)庫或安裝MSDE(默認)日志查詢統(tǒng)計工具支持分頁顯示產(chǎn)品個性化－不同的產(chǎn)品提供不同的cfinet_xxx組件數(shù)據(jù)文件遷移到ApplicationData目錄50控制臺首頁給出網(wǎng)絡內(nèi)的總體安全情況讓管理員對整個網(wǎng)絡內(nèi)總體安全情況有直觀的和防病毒系統(tǒng)的運行情況有一個全局的了解,并針對問題給出指導操作。首頁顯示的內(nèi)容如下：總體安全情況包括：病毒排行Top5,感染最多客戶端排行Top5(本中心，后臺定時統(tǒng)計)防病毒系統(tǒng)的運行概況：系統(tǒng)中心最近升級版本和時間（版本過低或長時間未升級應給出警告）客戶端的升級比例（已升級到最新的客戶端和未升級到最新版本的客戶端百分比）授權(quán)及使用情況(已經(jīng)<5給出警告信息)日志數(shù)量(過大時>100萬條需要提示用戶整理)重要事件：如果發(fā)現(xiàn)系統(tǒng)中心日志是Access,給出提示系統(tǒng)中心升級遇到的嚴重問題(如磁盤空間不足，無法連接Internet或上級中心)系統(tǒng)中心核心組件運行不正常升級需要重新啟動51遠程提取客戶端的診斷信息當客戶端存在安全問題或防病毒軟件運行不正常時，管理員能遠程提取到一些信息以便分析客戶端的安全情況或防病毒系統(tǒng)不正常工作的原因。并遠程解除客戶端的一些安全威脅?？商崛〉目蛻舳诵畔ǎ寒斍斑\行進程/模塊列表，普通自啟動項(注冊表Run)AppInit_DLLs系統(tǒng)文件關(guān)聯(lián)(.exe.com.cmd.bat.txt.log.scr.reg.doc.htm.html.pif)其它啟動項(Win.ini,System.ini等)Winlogon啟動項IE–BHOIE–TOOLBARWinsockSPI系統(tǒng)服務文件驅(qū)動系統(tǒng)驅(qū)動項已安裝軟件列表52管理員權(quán)限細分管理員級別權(quán)限管轄范圍超級管理員所有本級中心和下級中心審計管理員查看（導出）客戶端信息，查詢/統(tǒng)計日志（病毒，事件，攻擊，防火墻，防御，操作），查詢漏洞信息。只包括本級系統(tǒng)中心所有客戶端操作管理員對管轄的客戶端有全部操作權(quán)限沒有對系統(tǒng)中心的設置和組策略設置的權(quán)限，不能刪除日志可選擇本級系統(tǒng)中心的客戶端進行管理,并支持按組添加可管理的客戶端53集成對主動防御的遠程管理遠程開啟，關(guān)閉主動防御監(jiān)控；遠程設置客戶端的主動防御策略；設置“主動防御”組策略；主動防御日志上報與管理：顯示哪些客戶端觸發(fā)了主動防御規(guī)則54瑞星的主動防御發(fā)展史98~99版病毒掃描器千禧版簡單的文件監(jiān)控2001、2002、2002增強出現(xiàn)郵件監(jiān)控、網(wǎng)頁監(jiān)控2003、2004注冊表監(jiān)控、引導區(qū)監(jiān)控、內(nèi)存監(jiān)控、漏洞攻擊監(jiān)控2005、2006、2007漏洞攻擊監(jiān)控2008主動防御55主動防御架構(gòu)用戶進程文件訪問規(guī)則注冊表訪問規(guī)則進程啟動控制系統(tǒng)動作規(guī)則郵件監(jiān)控文件監(jiān)控網(wǎng)頁監(jiān)控進程活動行為判定其他進程引擎HIPS層傳統(tǒng)監(jiān)控層行為分析層56HIPS層功能和特點HIPS是什么HostIntrusionPreventSystem主機入侵防御系統(tǒng)HIPS層具備的功能HIPS層是利用已經(jīng)設置好的規(guī)則，對計算機中的行為進行檢測。當發(fā)生觸發(fā)規(guī)則的事件時，HIPS層能夠很準確地判斷并報告。HIPS層的特點優(yōu)點規(guī)則可以很方便地進行配置。無需特征碼，就能夠進行判斷。對規(guī)則判斷準確。如果規(guī)則設置合理，無需升級，能夠抵御部分未知病毒。缺點由于單純運用規(guī)則進行判斷，誤報率較高。配置不當?shù)臅r候，會影響計算機正常運行。57傳統(tǒng)監(jiān)控的功能和特點傳統(tǒng)監(jiān)控分類文件監(jiān)控（智能監(jiān)控、強殺文件）郵件監(jiān)控Smtp簡要介紹Pop3簡要介紹SPI（ServiceProviderInterface）簡要介紹網(wǎng)頁監(jiān)控（VBScript、JScript）傳統(tǒng)監(jiān)控的特點優(yōu)點準確率高，識別率高。缺點需要引擎和病毒庫支持，必須進行特征碼識別。需要不斷升級58功能優(yōu)化之傳統(tǒng)監(jiān)控的優(yōu)化文件監(jiān)控：增加了“智能監(jiān)控”和“強制殺毒”兩種模式。智能監(jiān)控：用戶可以選擇修改、生成和執(zhí)行三種情況下進行查毒。當用戶再次訪問已經(jīng)查殺過的文件時，可以按其選擇的模式來進行查殺。而以往的文件監(jiān)控則是任何動作都會引發(fā)查殺。智能監(jiān)控，大幅度提高了工作效率，減少了系統(tǒng)資源的占用。強制殺毒：對正在執(zhí)行的病毒，由于系統(tǒng)使用該文件，無法刪除。以往的處理方式是，重啟后刪除。導致很多病毒總是無法徹底刪除。選擇強制殺毒模式后，系統(tǒng)將正在運行的病毒程序進行處理，徹底解決了，rootkits類病毒，總是無法徹底刪除的情況。郵件監(jiān)控：增加多端口設置功能，可以對設置的所有端口的進行郵件監(jiān)控。59行為分析層功能和特點行為分析層功能瑞星的反病毒工程師提煉了大量病毒的行為特點。通過HIPS獲取進程活動的特點，行為分析層能夠?qū)@些行為特點進行判斷，當達到惡意水平時，會進行相應的報告。特點由于是通過大量分析獲取的數(shù)據(jù)，報告的準確率很高。無需病毒庫支持能夠判斷出未知病毒60瑞星的主動防御特點三層結(jié)構(gòu)，各有所長，各有所短，優(yōu)勢互補，相互支持。HIPS層無需病毒庫支持，但是誤報率較高。傳統(tǒng)監(jiān)控層需要病毒庫支持，誤報率低，但是需要不斷升級。行為分析層能夠比較準確的判斷未知病毒。三重過濾61主動防御

系統(tǒng)加固 應用保護 自我保護 應用訪問控制 程序啟動控制 惡意行為檢測 隱藏進程檢測主動防御技術(shù)

主動防御是一種阻止惡意程序執(zhí)行的技術(shù)。

瑞星的主動防御技術(shù)提供了更開放的高級用戶自定義規(guī)則功能，用戶可以根據(jù)自己系統(tǒng)的特殊情況，制定獨特的防御規(guī)則，使主動防御可以最大限度的保護系統(tǒng)。62主動防御之系統(tǒng)加固系統(tǒng)加固針對惡意程序容易利用的操作系統(tǒng)脆弱點進行監(jiān)控、加固，以抵御惡意程序?qū)ο到y(tǒng)的侵害。主要表現(xiàn)在以下幾個方面。對系統(tǒng)動作進行監(jiān)控，監(jiān)控所有程序?qū)etHook和LoadDriver的使用;對注冊表進行監(jiān)控，防止未知程序?qū)ψ员磉M行不正常的操作；對系統(tǒng)關(guān)鍵進程監(jiān)控，保護系統(tǒng)關(guān)鍵進程；對系統(tǒng)文件進行保護，防止未知程序?qū)ο到y(tǒng)文件進行破壞。63主動防御之應用程序訪問控制被指定程序啟動子進程加載驅(qū)動安裝鉤子監(jiān)控文件監(jiān)控注冊表應用程序訪問控制可以對用戶添加的可疑程序進行監(jiān)控，以限制其訪問計算機資源的范圍。64主動防御之應用程序保護應用程序保護可以保護指定的應用程序不被惡意程序攻擊。用戶可以添加游戲軟件、即時通訊軟件等，對它們進行保護。InjectDLL防止指定進程被注入DLL。WriteMemory防止把一些用戶認為關(guān)鍵的進程的內(nèi)存寫亂RemoteThread防止其他程序?qū)χ付ǔ绦騿⑦h程線程。SendMessage防止讓用戶的程序執(zhí)行病毒發(fā)送的消息SendInput防止對用戶指定的程序發(fā)送模擬鍵盤消息TerminateProcess防止強行關(guān)閉用戶指定的程序被保護程序InjectDllWriteMemoryRemoteThreadSendMessageSendInputTerminateProcess65主動防御之自我保護以往的版本中，都未對瑞星產(chǎn)品自身進行很好的防護，導致一些病毒，針對瑞星產(chǎn)品進行破壞。例如橙色八月病毒的泛濫導致很多用戶，無法運行瑞星殺毒軟件、卡卡安全助手，無法瀏覽瑞星網(wǎng)站等現(xiàn)象。

針對這個問題，在2008版產(chǎn)品中，我們通過主動防御技術(shù)，使瑞星殺毒軟件實現(xiàn)自我保護，預防病毒針對瑞星殺毒軟件進行破壞目的。66主動防御之程序啟動控制程序啟動控制功能允許用戶監(jiān)控指定可疑程序的啟動過程，有助于阻止并截獲未知惡意程序，并可以用于發(fā)現(xiàn)指定的應用程序被篡改。程序子程序提示、阻止、放過、防篡改67主動防御之惡意行為檢測通過對病毒行為規(guī)律分析與歸納，并結(jié)合判定病毒的經(jīng)驗，對各種程序動作進行監(jiān)控，分析程序動作之間的邏輯關(guān)系，制定出病毒識別規(guī)則，實現(xiàn)自動判別新病毒的功能。惡意行為檢測能夠?qū)ο到y(tǒng)中的程序進行監(jiān)控，用戶可以根據(jù)行為檢測報告發(fā)現(xiàn)可能包含惡意代碼的應用程序。68主動防御之隱藏進程檢測隱藏進程檢測可以檢測“任務管理器”中無法查看的進程，被隱藏的進程很有可能是包含惡意代碼的應用程序。69其他功能管理員管理的客戶端支持按組添加分組規(guī)則中計算機名支持通配符專殺工具的獲取和分發(fā)管理員可設置客戶端的描述信息(如：房間號，聯(lián)系人名稱，電話等信息)可查看客戶端的MAC地址信息一級中心手工導入補丁，二級中心客戶端也能獲取到系統(tǒng)中心支持更改漏洞補丁的保存路徑定時自動掃描客戶端的漏洞RavTray添加“立即升級”菜單項，允許客戶端自主發(fā)起升級請求日志打包工具新增收集客戶端“已安裝軟件列表”70客戶端安裝包制作工具由于某些原因，客戶端軟件損壞需要重新安裝，但使用光盤安裝版本又比較低，安裝后還需要再進行升級，故增加瑞星安裝包制作工具，如果用戶卸載某臺客戶端，可以直接使用制作的安裝包進行安裝，避免重復升級，并且也能解決某些客戶端版本過低無法升級的問題。71病毒報警與日志報表日志報警插件支持SysLog為解決大型網(wǎng)絡中病毒日志龐大引起的效率問題，同時又兼顧新病毒的及時報告,調(diào)整了病毒的上報策略：當天客戶端的新病毒信息立即上報給系統(tǒng)中心報警中心，重復的病毒信息將定時報告統(tǒng)計信息；下級中心只上報病毒統(tǒng)計信息(病毒名稱和病毒數(shù)量)采用水晶報表增強病毒日志報表的表現(xiàn)效果。支持按計劃生成日報，月報并發(fā)送給指定管理員的郵箱中。72世界反病毒能力未知病毒查殺專利號：ZL01117726.8硬盤數(shù)據(jù)恢復專利號：ZL01117730.6訪問文件系統(tǒng)的方法專利號：ZL01142154.1完全控制文件的方法專利號：ZL01142157.6軟件升級的方法專利號：ZL01142155.X內(nèi)存監(jiān)控和帶毒運行方法專利號：ZL01142156.8

73全面支持主流操作平臺Windows系列

Windows95/98/MeWindowsNTFamilyWindows2000FamilyWindowsXPFamilyWindows2003ServerFamilyWindowsVista

非Windows系列

FreeBSDUNIX（IBMAIX、SUNSolaris、HP-UX等）

Linux（RedHatLinux、TurboLinux、紅旗Linux等基于Intelx86處理芯片的系統(tǒng)）74主要內(nèi)容三、網(wǎng)絡版主要功能四、網(wǎng)絡版安裝使用一、網(wǎng)絡版框架結(jié)構(gòu)二、網(wǎng)絡版升級原理五、網(wǎng)絡版常見問題處理六、技術(shù)支持流程說明75現(xiàn)場處理問題流程判斷問題類型使用問題產(chǎn)品問題病毒問題升級問題bug問題需求問題其他問題提交瑞星售前是否可以處理？結(jié)束瑞星服務是否正常開啟？瑞星各端口通訊是否正常？提取問題和相關(guān)日志提交瑞星售前嘗試解決問題解決問題提取可疑文件提交瑞星公司76如何判斷服務是否啟動77如何判斷端口是否通訊正常表示端口不通表示端口通78控制臺密碼忘記停止RavAgent服務用記事本打開\Rav\GroupInfo\AdminInfo.grp修改”password=”項,清除后面的代碼保存,并重啟RavAgent服務79客戶端找不到系統(tǒng)中心如何處理答：確認全部客戶端不激活還是部分不激活。全部不激活，如下處理：在中心服務器上進行的操作1、檢查系統(tǒng)中心本地是否啟動了防火墻；（windows2003sp1的系統(tǒng)默認啟動了防火墻）2、確認系統(tǒng)中心版本，剛裝的中心版本低，請用戶先升級系統(tǒng)中心；3、重啟RAVNETAGENT服務；4、刪除GROUPINFO文件夾。如果所有客戶端和中心不在同一個網(wǎng)段，在任一臺客戶端上安裝多網(wǎng)段代理程序；部分不激活，如下處理：在系統(tǒng)中心服務器上進行的操作：1、檢查服務器端或客戶端的授權(quán)數(shù)是否超出；2、檢查中心是否設置了黑白名單；在客戶端本地進行的操作：1、檢查客戶端本地是否啟動了防火墻（XPsp2系統(tǒng)默認啟動了防火墻）可使用telnet命令測試客戶端和中心的通訊是否正常。2、檢查RAVSERVICE服務是否已經(jīng)正常重啟。3、客戶端和中心不在同一個網(wǎng)段，在客戶端托盤里輸入中心IP;4、客戶端ghost系統(tǒng)后安裝瑞星，指導用戶刪除ravid.ini文件；80控制臺登錄提示連接中心失敗的原因1、RAVNETAGENT服務沒有啟動,手動啟動,啟動類型設置為自動2、GROUPINFO配置文件損壞,刪除后文件夾后啟動RAVNETAGENT服務3、網(wǎng)絡中存在另一個中心,卸載它或設置黑名單4、RAVNETAGENT服務啟動時,報停止響應,重啟服務器5、RavAgent.exe損壞或AGENT服務不存在,修復瑞星.6、配置文件RsConfig.cfg損壞,重裝中心7、未建立網(wǎng)絡連接,RAVNETAGENT服務無法啟動8、本地啟動了防火墻,或RAVNETAGENT端口被占用，無法建立監(jiān)聽。81通知系統(tǒng)中心升級時提示連接升級對象失敗，如何處理?提示連接升級對象失敗說明RAVUPDATE服務異常。1、檢查UPDATE服務的狀態(tài)，如何停止，啟動該服務。2、telnetRavupdate.exe端口看能否訪問。3、若服務狀態(tài)是已啟動，可重啟RAVUPDATE服務觀察。4、服務無法啟動，報1053錯誤，沒有響應，可以指導用戶重啟服務器觀察。5、啟動RAVUPDATE服務報193錯誤，ravupdate.exe程序損壞，指導用戶修復。82通知系統(tǒng)中心升級時提示序列號未注冊，如何處理?1、用戶從第一次升級計算，超過了一個月的時間仍未注冊將不能升級，告訴用戶盡快注冊。2、用戶添加了擴容，但序列號未注冊，告知用戶盡快郵寄擴容卡注冊。83客戶端升級時提示下載文件失敗，主要是什么原因，如何處理答：系統(tǒng)中心不存在客戶端需要的升級組件或升級組件損壞。需要在中心做修復目錄，建議勾選自動升成升級文件的智能壓縮文件。如果升級文件損壞，建議刪除損壞的文件后做修復目錄或用升級包手動升級中心。84客戶端與控制臺監(jiān)控狀態(tài)不一致如何處理1、可以刷新一下控制臺狀態(tài)，觀察監(jiān)控的狀態(tài)是否正確。2、重啟客戶端RAVSERVICE服務，客戶端重新注冊到中心后觀察。3、如