卡巴的应用程序控制会干扰主防的判断吗？

ksss5566

问题源于卡巴的监控机制：卡巴在拦截的优先级上是先应用程序控制再主防的，对吧。如果这话错了，或我曲解了，请指正，谢谢！
如果是对的，那是否存在有这样一种可能：
如果一个样本被应用程序控制限制了，就不一定能跑出典型的行为了，因为没有足够的行为，主防无法判断该样本是否有害。
而如果是被放行了，其行为就会被卡巴的主防认定为是有害。
简单说，就是有没有kis只是限制而kav直接主防拦截，这种情况呢？
如果有，是否就代表着kis主防的效果受到了应用程序控制的影响呢？
再者，即使样本因为行为的限制，无法造成危害，那也是恶意样本，短时间内其是否就一直留在电脑上，直到卡巴发现并入库呢？

PS：姐夫在2楼和4楼已经给出答案了。38楼、41楼和44楼，蚊子大大也有详细的解答。
感谢姐夫和蚊子大大。

jefffire

当然会有一定的问题。卡巴现在默认的应用程序控制（HIPS）的规则是非常宽松的，几乎可以认为没有什么限制，所以影响不大。


但是只要HIPS拦截了关键动作，不过就是剩下些垃圾罢了，不会对安全造成严重威胁。

ksss5566

jefffire 发表于 2014-9-19 15:20
当然会有一定的问题。卡巴现在默认的应用程序控制（HIPS）的规则是非常宽松的，几乎可以认为没有什么限制， ...

感谢姐夫的解答。

所以影响不大

意思是：存在kav主防拦截弹kis只是限制的样本。

不会对安全造成严重威胁

我可以这样理解吗？某些威胁比较小的动作，依然可能存在，并且影响安全或导致用户的数据出现泄露什么的，只是不会让系统出大的问题，是这个意思吗？

jefffire

ksss5566 发表于 2014-9-19 15:56
感谢姐夫的解答。

意思是：存在kav主防拦截弹kis只是限制的样本。

默认设置下，因为规则宽松，可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规则，那么HIPS肯定是会影响PDM的运作的。但是既然已经设置了严格规则，从安全性讲是要高于PDM的。

ksss5566

jefffire 发表于 2014-9-19 16:18
默认设置下，因为规则宽松，可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规 ...

感谢姐夫的解答。

挥泪斩情思

jefffire 发表于 2014-9-19 16:18
默认设置下，因为规则宽松，可以认为基本上不存在这样HIPS影响PDM的情况。

如果自己手动设定严格的规 ...

姐夫大大，有个问题请教下，好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的贴，里面的那个样本链接里的样本大部分都是卡巴已经入库的了

在VM里试了下，关闭卡巴的文件反病毒和应用程序控制两个组件后双击样本，报法基本上都是PDM：XXXXX（特征码）

然后刚才又试了下，特意找了个卡巴扫描不报的样本，照上面的操作试了下，卡巴全程无反应，就是弹出了两个框显示正在分析新建的文件（我开了交互，关闭了文件监控和程序控制，上面那次的设置也一样），其他就没了，这是怎么回事？能解答下吗？谢谢

jefffire

挥泪斩情思 发表于 2014-9-19 16:27
姐夫大大，有个问题请教下，好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的 ...

不是特征码啊。PDM的报法一直是PDM：XXXX这样的。

卡巴特征码不杀，PDM杀的样本，你可以问问消停，哦，现在叫胖福了。

lai001lai007

看大神之间的讨论帖就是受益匪浅啊！
话说HIPS不是"主机入侵防御系统"吗？这个应该就是主防吧？为什么说是应用程序控制？PDM是什么？

挥泪斩情思

jefffire 发表于 2014-9-19 16:32
不是特征码啊。PDM的报法一直是PDM：XXXX这样的。

后面那个XXX应该是属于通用行为特征吧

我见过连续双击十个样本，后面的XXX都是同一个的情况

那我上面说的那个，是不是属于过了卡巴的PDM？

样本即便卡巴扫描不报，双击PDM照样有可能拦截是吗？？

问题比较多，麻烦了，谢谢

驭龙

挥泪斩情思 发表于 2014-9-19 16:27
姐夫大大，有个问题请教下，好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的 ...

跟云有关，文件监控关闭以后，实际上SW杀的大多数是需要联网，之后报的是PDM BXXXXX什么的，如果开文件监控的话，你用十个Kaspersky漏沙的样本双击，效果并不理想

@jefffire  这个我上次跟你说过一次，只是没有具体的分析过