查看: 3745|回复: 10
收起左侧

[已解决] 浅析 HIPS 信任具有数字签名的应用程序,该勾不该勾

[复制链接]
microlao
发表于 2017-1-5 20:42:04 | 显示全部楼层 |阅读模式
本帖最后由 microlao 于 2017-1-5 20:52 编辑

大家一定对HIPS应用程控中” 信任具有数字签名的应用程序” 勾选不信任。小弟也对此深存疑问,于是四出找寻答案,提出一些见解,也请各位卡饭大大指教,有错也希望指正。

HIPS应用程控中,分类为信任区域有2种情况:
1.KSN数据库
2.数字签名

大家都同意,KSN数据库必定可靠。而大家有争议的,主要是:数字签名。
B.png

数字签名的可靠性,要提到2009年,有一只病毒:”Trojan-Downloader.Win32.Delf.xnz”。它俱有数字签名,而且数字签名是完整的、但它是一只恶意软件。
er3.png
ER2.png
ER1.png

事实上,数字签名有以下2种情况:
1.有数字签名,但破损了
2.有数字签名,完整的

因此就出现了争议,到底勾选Kaspersky的” 信任具有数字签名的应用程序” ,会不会将带有”完整数字签名”的病毒,加进信任区域?我认为:并不会。

原因、理据如下:

引用Kaspersky官方的英文原文:
Q.png
How Application Control controls the applications' rights
All the applications installed on the computer fall into one of the following groups:
•Trusted. Applications with digital signatures issued by trusted vendors, or applications that are listed in the Kaspersky Lab trusted applications database. These applications have no restrictions on their activity in the system..


中文翻译如下:
以下情况程序会被分类为可信区域:
1.        具有由可信供應商发布(by trusted vendors)的数字签名的应用
2.        卡巴斯基实验室信任的应用程序数据库(即KSN)


换言之,推算Kaspersky对数字签名有以下3种分类:
1.        可信供應商发布(by trusted vendors)的数字签名,签名完整
2.        未知/不可信供货商,发布的数字签名,签名完整
3.        签名破损


如果没有理解错,只有”签名完整,且可信供應商发布(by trusted vendors)的数字签名”,Kaspersky才会被HIPS应用程控中,分类为”信任区域”。而未知/不可信供货商、签名破损,应会排除在外,也解释了为何预设是勾选的(卡巴有信心)。

A.png
因此,勾选 ” 信任具有数字签名的应用程序” 是相当可靠的。
如有错误,欢迎指正。

小结:第1次在卡饭发长篇文,原创

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 感谢支持,欢迎常来: )

查看全部评分

pal家族
发表于 2017-1-5 20:48:45 | 显示全部楼层
鼓励这类文章,欢迎在卡饭多交流!
microlao
 楼主| 发表于 2017-1-5 20:50:53 | 显示全部楼层
各位大大,如有错请指正。 。 。大家一起讨论,卡巴太强大,很多地方值得研究讨论^.<
ysj963
发表于 2017-1-5 21:09:07 | 显示全部楼层
万一不小心混进了卡巴斯基的数字签名库呢,你的理由并不完整。
microlao
 楼主| 发表于 2017-1-5 21:21:24 | 显示全部楼层
ysj963 发表于 2017-1-5 21:09
万一不小心混进了卡巴斯基的数字签名库呢,你的理由并不完整。

混进的方面,我理解是:
如果"可信的"数字签名库有混进风险,那么 KSN 则有着同样的风险。
tgzw1680
发表于 2017-1-5 21:29:29 | 显示全部楼层
本帖最后由 tgzw1680 于 2017-1-5 14:32 编辑

这个只是程序控制而已,即使是真的签名,真有危险动作还有sw一关要过。。。。所以无需担心。当然那种卡巴认为不是什么太危险的类型除外,比如流氓,远控这些类。。。。主要是卡巴sw太过宽松。。。。。。。,sw应该是卡巴的最后防御了
ccboxes
发表于 2017-1-5 21:34:50 | 显示全部楼层
这个就是自己权衡了,不勾主要是为了防流氓,对安全其实没有太大影响。
Desmond96
发表于 2017-1-6 02:04:07 | 显示全部楼层
然而像以前realtek数字签名被盗,然后一起挂掉
maruiyun
发表于 2017-1-6 02:16:05 | 显示全部楼层
前排围观..  虚拟机测试..勾与不勾..能影响QQ全家桶是否安装...
猪头无双
头像被屏蔽
发表于 2017-1-6 02:47:56 | 显示全部楼层
换言之,推算Kaspersky对数字签名有以下3种分类:
1.        可信供應商发布(by trusted vendors)的数字签名,签名完整
2.        未知/不可信供货商,发布的数字签名,签名完整
3.        签名破损


这部分推论是怎么推出来的?我觉得你的思路在这里是做了个理想化的推定分类,应该还有细致分析可挖
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 00:22 , Processed in 0.135690 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表