关于应用程序控制的问题

哥舒夜带刀

如果将未知的程序自动“低限制'，是否可以大幅降低资源占用？但是安全性如何呢？是不是类似于毛豆将其部分限制呢？

飘落的泪

你好：
自动将未知程序放入低限制组，这样做可以省去了打开新的程序时进行行为分析并分组的过程。
在打开新程序时 也就不回出现 内存和CPU占用资源过高的情况了。
但是，当卡巴斯基处于自动模式下，低限制组的应用程序运行产生的行为，卡巴斯基应用程序控制组件默认是放行的，所以 这样降低一部分安全性
交互模式下，没有关系。

如果楼主的卡巴斯基是自动模式，建议 将 分组时间减少到 10 S 来代替将未知程序直接放入低限制组

哥舒夜带刀

飘落的泪 发表于 2011-12-17 17:04
你好：
自动将未知程序放入低限制组，这样做可以省去了打开新的程序时进行行为分析并分组的过程。
在打开 ...

版主，我倒是想用交互模式，但是卡巴很多的提示都搞不懂啊，感觉还没有comodo的提示清晰。未知的程序是卡巴的监控未发现问题吧，即是说kav会认为是安全的。那么可能安全系数并不会下降太多是吧

飘落的泪

哥舒夜带刀 发表于 2011-12-17 17:08
版主，我倒是想用交互模式，但是卡巴很多的提示都搞不懂啊，感觉还没有comodo的提示清晰。未知的程序是卡 ...

未知的程序是卡巴的监控未发现问题吧，这句是什么意思？

KAV 是没有应用程序控制组件的

哥舒夜带刀

飘落的泪 发表于 2011-12-17 17:10
未知的程序是卡巴的监控未发现问题吧，这句是什么意思？

KAV 是没有应用程序控制组件的

我的意思就是说，是卡巴的特征码监控已经是认为没有问题的了，只是应用程序控制那里认为是未知的所以提示。

飘落的泪

哥舒夜带刀 发表于 2011-12-17 17:12
我的意思就是说，是卡巴的特征码监控已经是认为没有问题的了，只是应用程序控制那里认为是未知的所以提示 ...

应用程序控制组件 是 动态的行为 检测与特征码扫描 不一样。
我还不是明白，只是应用程序控制那里认为是未知的所以提示~

不好意思，能详细说下吗

哥舒夜带刀

飘落的泪 发表于 2011-12-17 17:15
应用程序控制组件 是 动态的行为 检测与特征码扫描 不一样。
我还不是明白，只是应用程序控制那里 ...

呵呵，不好意思，我说的不大清楚，而且理解上可能也有问题。
首先，下载一个程序，卡巴的特征码、启发这些引擎自动扫描，没发现问题，它不管。
然后，双击该程序，卡巴的应用程序控制发现它有一些特殊的行为，所以弹窗提示，这是个未知的程序，而且有特殊行为，问你是不是允许。
因为kav没有应用程序控制，所以你即使双击，卡巴也会认为是安全的，除非是触动主动防御。
那为什么主防不和应用程序控制合并啊，而且它的提示很多我都不懂，也不能记住，只能允许或者阻止，或者完全信任

飘落的泪

哥舒夜带刀 发表于 2011-12-17 17:22
呵呵，不好意思，我说的不大清楚，而且理解上可能也有问题。
首先，下载一个程序，卡巴的特征码、启发这 ...

呵呵
不知道为什么 卡巴斯基实验室把应用程序控制和主动防御组件分开来
KAV没有应用程序控制组件，但是KAV 主动防御检测项目要比 KIS 的多很多，用此来增强KAV 对未知威胁的防护能力。
卡巴斯基的主防（应用程序控制）是单步判断 不想诺顿 那样智能多步判断，所以 这个也没有办法
只能依靠用户去判断了

GoldJune

飘落的泪 发表于 2011-12-17 17:30
呵呵
不知道为什么 卡巴斯基实验室把应用程序控制和主动防御组件分开来
KAV没有应用程序控制组件，但是 ...

应用程序控制是单步，PDM是多步，所以不整合很正常。

GoldJune

未知程序是既没有数字签名也没有被卡巴列为信任的程序（设置可以去除这两个检测）。
用交互模式的话可以列入低限制组。自动模式没用过...不讨论了。

这个检测组件和文件反病毒和扫描没有关系。病毒做个面杀就可以绕过扫描引擎了，当然没有入库的病毒扫描结果也会是安全。所以当然需要单步的应用程序控制来保护系统重要文件和注册表等。