卡巴斯基2013主动防御说明(证明其并没有抛弃主防,而是被系统监控取代)

afsfdagd

近日常常看到有人发帖，说卡巴2013中主防被取消，有人认为整合，有人认为没有了，众说纷纭，相信很多人对此心存疑惑。所以我进行了一个测试，来打消大家的疑惑。

首先开门见山地说一句，无论是2013kav，还是kis，都包含2012那是的“主动防御”，大部分被整合到系统监控，少部分整合到应用程序控制

我用的是clt测试(仅仅测试其功能是否存在，能否拦截，以此反驳那些认为取消主动防御的人)
首先，应用程序控制拦截设置调制权限(不属于旧版设置项中的主防防御，属于纯手动hips)

这里拦截了就防御成功，我们点击允许，应用程序控制拦截可疑隐藏加驱(很熟悉吧，旧版中主防里的可疑加驱拦截，也是红色弹窗，被整合到了应用程序控制中)

我们忽视弹窗，再次允许，系统监控拦截可疑木马行为(旧版中的主防一部分集成到这里，这个应该就是大家心目中非应用程序控制的主防吧)

继续往下测试，（允许了一些应用程序控制的弹窗，不然拦截太狠了系统监控出不来）系统监控红色弹窗，典型后门行为，还附上威胁活动分析，可以算是智能主防的一种体现


测试做到这里相信大家已经看到，卡巴的主防是集成在其他组件里而不是没了测试做到这里相信大家已经看到，卡巴的主防是集成在其他组件里而不是没了，系统监控这个组件在kav中同样有，因此也具备行为拦截能力与回滚
其余的测试就不做了哈，上次系统监控在测试中还拦截了两种不同加载驱动(报的名称不同)，这个应该是那个行为流特征bss的作用，不知为何第二次测试程序那一项测试直接保护成功，卡巴也没拦(相当于测试无法进行，防御成功)，附上那项的日志图。




总结:这次测试仅供参考，有好奇的人别拿病毒实验。看到有人说用一个病毒测试2013主防没报警(没开应用程序控制)，然后得出主防没的结论，这样不科学，因为旧版主防也不一定报警，要对照。刚刚首项测试中体现了复合防御，因为应用程序控制对很多人来说不好上手，它是纯手动hips，大家更需要系统监控那样的，因此当应用程序控制误允许后，系统监控有一定几率再次拦截，实行补救措施，并且系统监控加入了漏洞防护，应该与旧版主防相比有进步之处。不过这项功能也没有达到无敌的境界，很多威胁双击还是会过，只是比旧版改进了一点，应用程序控制用得好才能测试病毒，不过世界上没有百分百的防御，一两项测试不过不能说明问题，大家还是要养成良好的上网习惯。这次测试仅供参考，有好奇的人别拿病毒实验，有风险，出了问题后果自负哈。

Killer_cg

支持技术贴子

浮生如梦

谢谢楼主解答以及辟谣~~~

dongwenqi

技术支持，好文章

sanhu35

其实就是PDM加入到系统监控中了，  程序控制依旧没变。

afsfdagd

sanhu35 发表于 2013-1-12 19:40
其实就是PDM加入到系统监控中了，  程序控制依旧没变。

也不尽然，我记得旧版隐藏驱动加载是主防拦截了而不是2013的应用程序控制(记不清了哈，可能是)，大部分是加到系统监控里了，我发帖只是想验证pdm加到系统监控的猜想

sanhu35

afsfdagd 发表于 2013-1-12 19:58
也不尽然，我记得旧版隐藏驱动加载是主防拦截了而不是2013的应用程序控制(记不清了哈，可能是)，大部分是 ...

嗯 ，既然都在的话，防御就没有降低

lanji66

学习了解了

风萧萧马鸣

支持技术贴

kafan988

嗯，终于明白了啊