kis 2012 档案遭修改提示 bug ?

domino

早期版本KIS7 , 当程序已经建立规则了.
只要当程序改变或被替换或升级新版本时.要连网路都会出现文件遭修改的提示.

在KIS 2012版本,当档名和路径的程序,程序遭修改或替换时,
卡巴会没提式原有的程序遭修改.而直接套用旧程序的规则.

正常应该要像KIS7 那样~ 会提示用户 文件遭变更才对. 2012 却完全没提示.
换句话说~病毒可利用已知固定路径的程序~来替换绕过~ ??


此图是KIS 7 文件遭替换或修改后,程序要连线出现的提示!! KIS 2012 却没

lotnhiro

  不懂 坐等斑斑

牆角寫檢討°

不懂，等待高手替你解决~~~

tgzw1680

2012有强大的白名单机制，你升级的软件还是在白名单里面，除非你升级的软件比卡巴白名单还要早就会提示，否则白名单里面的东东是不会提示的

domino

tgzw1680 发表于 2012-2-8 11:47
2012有强大的白名单机制，你升级的软件还是在白名单里面，除非你升级的软件比卡巴白名单还要早就会提示，否 ...

我测试的程序...是我随便找未知名的工具来测试的.

照理说文件程序遭替换(隨便編譯的EXE 文件)~已经是不同程序了
就算程序遭修改.... 程序的内容和MD5应该都不一样.

怎还会白名单呢? 难道白名单只用EXE 档名来识别吗.

xiuzhiguo

估计是完整路径+md5来判定

domino

xiuzhiguo 发表于 2012-2-8 12:37
估计是完整路径+md5来判定

不太可能,如果是MD5.
那我故意修改原程序.為什麼還是沒有出現提示!

domino

病毒可以利用这点来替换已知程序的规则..
如木马...就可以成功连出了.

感觉2012 在走倒退...

xiuzhiguo

domino 发表于 2012-2-8 12:40
不太可能,如果是MD5.
那我故意修改原程序.為什麼還是沒有出現提示!

貌似那个功能已经去掉了

KasperskyIS

这应该跟新的“应用程序分析”有关，当一个程序被列为受信任组中的话，只要不是因为其它程序通过某种方式启动该程序的话，那么卡巴斯基都按照“受信任”组的规则进行操作（放行）。

以上仅个人看法