浅析 HIPS 信任具有数字签名的应用程序，该勾不该勾

microlao

大家一定对HIPS应用程控中” 信任具有数字签名的应用程序” 勾选不信任。小弟也对此深存疑问，于是四出找寻答案，提出一些见解，也请各位卡饭大大指教，有错也希望指正。

HIPS应用程控中，分类为信任区域有2种情况：
1.KSN数据库
2.数字签名

大家都同意，KSN数据库必定可靠。而大家有争议的，主要是：数字签名。


数字签名的可靠性，要提到2009年，有一只病毒：”Trojan-Downloader.Win32.Delf.xnz”。它俱有数字签名，而且数字签名是完整的、但它是一只恶意软件。




事实上，数字签名有以下2种情况：
1.有数字签名，但破损了
2.有数字签名，完整的

因此就出现了争议，到底勾选Kaspersky的” 信任具有数字签名的应用程序” ，会不会将带有”完整数字签名”的病毒，加进信任区域？我认为：并不会。

原因、理据如下：

引用Kaspersky官方的英文原文：

How Application Control controls the applications' rights
All the applications installed on the computer fall into one of the following groups:
•Trusted. Applications with digital signatures issued by trusted vendors, or applications that are listed in the Kaspersky Lab trusted applications database. These applications have no restrictions on their activity in the system..


中文翻译如下：
以下情况程序会被分类为可信区域：
1.        具有由可信供應商发布(by trusted vendors)的数字签名的应用
2.        卡巴斯基实验室信任的应用程序数据库(即KSN)


换言之，推算Kaspersky对数字签名有以下3种分类：
1.        可信供應商发布(by trusted vendors)的数字签名，签名完整
2.        未知/不可信供货商，发布的数字签名，签名完整
3.        签名破损


如果没有理解错，只有”签名完整，且可信供應商发布(by trusted vendors)的数字签名”，Kaspersky才会被HIPS应用程控中，分类为”信任区域”。而未知/不可信供货商、签名破损，应会排除在外，也解释了为何预设是勾选的(卡巴有信心)。


因此，勾选 ” 信任具有数字签名的应用程序” 是相当可靠的。
如有错误，欢迎指正。

小结：第1次在卡饭发长篇文，原创

pal家族

鼓励这类文章，欢迎在卡饭多交流！

microlao

各位大大，如有错请指正。 。 。大家一起讨论，卡巴太强大，很多地方值得研究讨论^.<

ysj963

万一不小心混进了卡巴斯基的数字签名库呢，你的理由并不完整。

microlao

ysj963 发表于 2017-1-5 21:09
万一不小心混进了卡巴斯基的数字签名库呢，你的理由并不完整。

混进的方面，我理解是：
如果"可信的"数字签名库有混进风险，那么 KSN 则有着同样的风险。

tgzw1680

这个只是程序控制而已，即使是真的签名，真有危险动作还有sw一关要过。。。。所以无需担心。当然那种卡巴认为不是什么太危险的类型除外，比如流氓，远控这些类。。。。主要是卡巴sw太过宽松。。。。。。。，sw应该是卡巴的最后防御了

ccboxes

这个就是自己权衡了，不勾主要是为了防流氓，对安全其实没有太大影响。

Desmond96

然而像以前realtek数字签名被盗,然后一起挂掉

maruiyun

前排围观..  虚拟机测试..勾与不勾..能影响QQ全家桶是否安装...

猪头无双

换言之，推算Kaspersky对数字签名有以下3种分类：
1.        可信供應商发布(by trusted vendors)的数字签名，签名完整
2.        未知/不可信供货商，发布的数字签名，签名完整
3.        签名破损

这部分推论是怎么推出来的？我觉得你的思路在这里是做了个理想化的推定分类，应该还有细致分析可挖