查看: 9153|回复: 58
收起左侧

[已解决] 卡巴的应用程序控制会干扰主防的判断吗?

[复制链接]
ksss5566
发表于 2014-9-19 15:13:10 | 显示全部楼层 |阅读模式
本帖最后由 ksss5566 于 2014-9-20 15:29 编辑

问题源于卡巴的监控机制:卡巴在拦截的优先级上是先应用程序控制再主防的,对吧。如果这话错了,或我曲解了,请指正,谢谢!
如果是对的,那是否存在有这样一种可能:
如果一个样本被应用程序控制限制了,就不一定能跑出典型的行为了,因为没有足够的行为,主防无法判断该样本是否有害。
而如果是被放行了,其行为就会被卡巴的主防认定为是有害。
简单说,就是有没有kis只是限制而kav直接主防拦截,这种情况呢?
如果有,是否就代表着kis主防的效果受到了应用程序控制的影响呢?
再者,即使样本因为行为的限制,无法造成危害,那也是恶意样本,短时间内其是否就一直留在电脑上,直到卡巴发现并入库呢?

PS:姐夫在2楼和4楼已经给出答案了。38楼、41楼和44楼,蚊子大大也有详细的解答。
感谢姐夫和蚊子大大。

jefffire
头像被屏蔽
发表于 2014-9-19 15:20:12 | 显示全部楼层
本帖最后由 jefffire 于 2014-9-19 15:24 编辑

当然会有一定的问题。卡巴现在默认的应用程序控制(HIPS)的规则是非常宽松的,几乎可以认为没有什么限制,所以影响不大。


但是只要HIPS拦截了关键动作,不过就是剩下些垃圾罢了,不会对安全造成严重威胁。
ksss5566
 楼主| 发表于 2014-9-19 15:56:55 | 显示全部楼层
jefffire 发表于 2014-9-19 15:20
当然会有一定的问题。卡巴现在默认的应用程序控制(HIPS)的规则是非常宽松的,几乎可以认为没有什么限制, ...

感谢姐夫的解答。
所以影响不大

意思是:存在kav主防拦截弹kis只是限制的样本。
不会对安全造成严重威胁

我可以这样理解吗?某些威胁比较小的动作,依然可能存在,并且影响安全或导致用户的数据出现泄露什么的,只是不会让系统出大的问题,是这个意思吗?
jefffire
头像被屏蔽
发表于 2014-9-19 16:18:13 | 显示全部楼层
ksss5566 发表于 2014-9-19 15:56
感谢姐夫的解答。

意思是:存在kav主防拦截弹kis只是限制的样本。

默认设置下,因为规则宽松,可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规则,那么HIPS肯定是会影响PDM的运作的。但是既然已经设置了严格规则,从安全性讲是要高于PDM的。
ksss5566
 楼主| 发表于 2014-9-19 16:23:58 | 显示全部楼层
jefffire 发表于 2014-9-19 16:18
默认设置下,因为规则宽松,可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规 ...

感谢姐夫的解答。
挥泪斩情思
发表于 2014-9-19 16:27:08 | 显示全部楼层
本帖最后由 挥泪斩情思 于 2014-9-19 16:28 编辑
jefffire 发表于 2014-9-19 16:18
默认设置下,因为规则宽松,可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规 ...


姐夫大大,有个问题请教下,好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的贴,里面的那个样本链接里的样本大部分都是卡巴已经入库的了

在VM里试了下,关闭卡巴的文件反病毒和应用程序控制两个组件后双击样本,报法基本上都是PDM:XXXXX(特征码)

然后刚才又试了下,特意找了个卡巴扫描不报的样本,照上面的操作试了下,卡巴全程无反应,就是弹出了两个框显示正在分析新建的文件(我开了交互,关闭了文件监控和程序控制,上面那次的设置也一样),其他就没了,这是怎么回事?能解答下吗?谢谢

jefffire
头像被屏蔽
发表于 2014-9-19 16:32:02 | 显示全部楼层
本帖最后由 jefffire 于 2014-9-19 16:35 编辑
挥泪斩情思 发表于 2014-9-19 16:27
姐夫大大,有个问题请教下,好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的 ...


不是特征码啊。PDM的报法一直是PDM:XXXX这样的。

卡巴特征码不杀,PDM杀的样本,你可以问问消停,哦,现在叫胖福了。
lai001lai007
发表于 2014-9-19 16:35:23 | 显示全部楼层
看大神之间的讨论帖就是受益匪浅啊!
话说HIPS不是"主机入侵防御系统"吗?这个应该就是主防吧?为什么说是应用程序控制?PDM是什么?

挥泪斩情思
发表于 2014-9-19 16:37:54 | 显示全部楼层
jefffire 发表于 2014-9-19 16:32
不是特征码啊。PDM的报法一直是PDM:XXXX这样的。

后面那个XXX应该是属于通用行为特征吧

我见过连续双击十个样本,后面的XXX都是同一个的情况

那我上面说的那个,是不是属于过了卡巴的PDM?

样本即便卡巴扫描不报,双击PDM照样有可能拦截是吗??

问题比较多,麻烦了,谢谢
驭龙
发表于 2014-9-19 16:40:12 | 显示全部楼层
挥泪斩情思 发表于 2014-9-19 16:27
姐夫大大,有个问题请教下,好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的 ...

跟云有关,文件监控关闭以后,实际上SW杀的大多数是需要联网,之后报的是PDM BXXXXX什么的,如果开文件监控的话,你用十个Kaspersky漏沙的样本双击,效果并不理想

@jefffire  这个我上次跟你说过一次,只是没有具体的分析过
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:18 , Processed in 0.129822 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表