卡巴信任组的问题

猫大人

已经装好了KIS2017，现在有个新问题，为啥我这边卡巴他自动加入信任组的程序，又弹提示“已阻止可疑操作，读取其他进程内存”，一弹弹20多条。我看了下信任组权限里读取其他进程内存不是自动允许的吗？他把程序自动加信任组里然后又报他可疑行为阻止他，这不是打自己脸？

还有就是我看了下，好像低限制组在设置里勾了自动选择推荐操作之后，基本都是自动允许的，跟信任组是不是就没啥区别了。

ccboxes

第一点：
发个弹窗截图来才好确定，不过应该是权限继承的的问题，卡巴的应用程序控制有权限继承的设定，被受限制组启动的信任组程序会套用受限制组的规则。

第二点：
对，所以要用应用程序控制就不能使用自动模式。

猫大人

ccboxes 发表于 2017-6-16 12:27
第一点：
发个弹窗截图来才好确定，不过应该是权限继承的的问题，卡巴的应用程序控制有权限继承的设定，被 ...

到家了，截图发上来给看看。

就算是继承权限，我电脑里就5个低限制组，其他全是信任组，应该也不会阻止读取进程内存才对吧。

顺便问下我WIN10 1703 下，卡巴的通知设置是不是有点问题？ 这两个选项，我只要关掉其中任意一个，整个卡巴就完全没有任何通知了。只有两个全开，右下角才会弹通知，声音也是WIN10自带的系统提示音。不知道是不是WIN10兼容问题。
还有就是，我就想他更新完病毒库不要弹窗，其他威胁事件都能弹窗警报，不知道能不能设置。

ccboxes

猫大人 发表于 2017-6-16 18:42
到家了，截图发上来给看看。

就算是继承权限，我电脑里就5个低限制组，其他全是信任组，应该也不会阻 ...

这个不顶用。。。。。。。
你要发弹窗的截图，从这里看明显是直接禁止，肯定是你的规则有问题。

关于通知，这个不太清楚，我对这方面没有要求。

帝辛

猫大人 发表于 2017-6-16 18:42
到家了，截图发上来给看看。

就算是继承权限，我电脑里就5个低限制组，其他全是信任组，应该也不会阻 ...

通知不能点恢复隐藏的通知。不然更新通知就会一直蹦出来

pal家族

radar的规则是则么样的？亲发出来？
另外在应用程序规则里打开radar的详细信息，里面有个运行顺序，请截图。
首先肯定的是你修改的低限制组或那一个组的设置，否则就是radar是一个被拉近高限制组的程序启动的

microlao

ccboxes 发表于 2017-6-16 12:27
第一点：
发个弹窗截图来才好确定，不过应该是权限继承的的问题，卡巴的应用程序控制有权限继承的设定，被 ...

你好，想请教一下继承问题^.^

如果HIPS设置了新程序禁止写入D Drive，而 svchost.exe 因为有签章，所以卡巴它分成信任组。 。 。问题是，无档案病毒注入加密指令到svchost.exe，继而攻击作加密。请问被注入加密指令的 svchost.exe ，会否失去信任组权限？被注入指令后，卡巴会注消其信任组权力吗？

星河漫步

microlao 发表于 2017-6-24 10:57
你好，想请教一下继承问题^.^

如果HIPS设置了新程序禁止写入D Drive，而 svchost.exe 因为有签章，所 ...

注入系统关键进程，会被报的吧，高危动作。

microlao

星河漫步 发表于 2017-6-24 11:06
注入系统关键进程，会被报的吧，高危动作。

但是，想知道HIPS权限方面，会如何。毕竟智能主防是最后防线，了解HIPS能更折腾^^haaa

ccboxes

microlao 发表于 2017-6-24 11:12
但是，想知道HIPS权限方面，会如何。毕竟智能主防是最后防线，了解HIPS能更折腾^^haaa

这一点很简单啊，病毒想要注入svchost.exe也必须有自己的进程，你只要打开应用程序控制，把限制组的“入侵其他进程”权限设置为询问或者禁止（注意最好不要全禁止，有些正常程序也会有类似行为）就可以了。

这样设置想绕过就只能使用Exploit，这就不是HIPS管的了，卡巴的系统监控与入侵防护会阻止Exploit。