再问一个技术性问题--关机过程中卡巴如何监控

fljoan1

昨天下载系统补丁，是在下载完后在关机选项里面选择“安装更新并关机的”。
于是我想问一下，在开启主动防御的时候，由于更新过程中往往要对系统关键部位进行改动，而且往往这些改动是要被卡巴主动防御拦截的。可由于我是在关机过程中安装的，那时候已经注销了，按理说卡巴已经不能弹出询问的对话框了，这时候卡巴的主动防御还起不起作用呢？
谢谢~

[ 本帖最后由 fljoan1 于 2007-8-18 23:07 编辑 ]

327935796

起－－－－－－－－－

rcbblgy

一般杀软和HIPS都在注销界面出现前就退出了，所以不会被拦截。

fljoan1

这么说,如果一个病毒伪装成补丁程序,或者正常的补丁程序被病毒感染了,那么在关机安装补丁的时候杀软不是一点作用也没有了么?

天才杨威利

我现在想说的是，之所以软件会在下次重启时进行文件替换是在注册表里有一个键值，如果将这个键值改为1的话，在下次从其的时候系统就会将该键值后面所指向的文件进行替换，担着这个简直是卡巴检测的，所以如果所指向的文件有病毒的话，那么卡巴耶还是会拦截的。所以不用担心。

fljoan1

按LS所说，既然补丁要改RUNONCE键，而卡巴此时不拦截，就说明当时至少是主动防御已经不在后台监控咯？
其实我想问的核心问题是，在安装系统补丁的时候卡巴（而不仅仅是主动防御）有没有退出后台？
如果当时卡巴已经退出，那病毒可否利用此漏洞，伪装成补丁文件躲避卡巴的查杀。
如果当时卡巴尚未退出，那么若是此时查出病毒，还能不能跳出警告框的图形用户界面？

jlennon

是更新并关机,不是关机并更新

fljoan1

按楼上的说法，如果此时卡巴发现可疑行为，是可以跳出警告框的咯？

jlennon

这个就不知道了,我只玩过几次卡巴,从未长时间用杀软.

理论上有这样的可能,实际我没见到,但有些技术我们暂时是根本见不到的,关机后重启,在杀软及HIPS加载前病毒抢夺控制权,那就能干很多事.

守拙

呵呵,我也正想知道!