卡巴7自我保护的一个小测试

bingren922

在卡巴7打开自我保护的情况下，重启，进入PE系统，改时间到2017年，把卡巴的主执行程序avp.exe改名为avp111.exe。
重启进入WINXP系统，这时卡巴斯基已没有在运行了

试删除卡巴目录，不成功。试把avp111.exe名字改回来，不成功。




也就是说，卡巴自我保护和主程序avp.exe是否运行无关，应该是那几个SYS文件的事。


但目前有一个问题，前几天在一家客户那里遇到卡巴被改时间后整个program files里那个目录被删除的情况
改时间可以让卡巴停止查杀病毒，但按刚才的测试结果来说绝对不会停止自我保护的
也就是说，有可以突破卡巴自我保护的病毒了

病毒样本没办法带来，因为那家客户很麻烦，不让用U盘只能用光盘

之前听说过卡巴的自我保护被攻破的情况，但我倒还真是第一次遇到






之前发了一个帖子，好像说的有点乱，大家没看明白我要说的重点。卡巴被禁止掉，被镜像映射掉都很常见，但整个目录被删掉我可是第一次看到

[ 本帖最后由 bingren922 于 2007-8-27 10:07 编辑 ]

kirk8

哦，谢谢了，学习了

曲中求

当卡巴在监控的时候，说自我保护能力是可行的。当卡巴不监控的时候，自我保护没有什么意义。换句话说，当系统时间无法更改，在当前环境下，整个目录和进程都受到保护而又不其它办法时，才能谈得上自我保护。

呵呵，其实说穿了，最好的防御就是进攻，最好的自我保护，就是查杀能力。

所以依在下愚见，最好的自我保护＝自身保护+查杀率，缺一不可。自我保护能力再好，防御能力不好，和没有自我保护没有两样。相同，查杀率再高，也不可能100%的查杀率，所以，要两手抓才是硬道理。

[ 本帖最后由 曲中求 于 2007-8-27 11:40 编辑 ]

bingren922

自我保护也不是没意义啊，比如用注册表防御设置好IFEO的防御，一般来说自我保护要在的话，更新之后可以把病毒查出来的。而且现在很多这样的情况，加壳加花很费劲弄出来的木马，作用仅仅是破坏掉杀软，然后再安心的去下载盗号木马。

像我遇到的问题，卡巴目录不在了，这时候会有卡巴的虚拟网卡出错，也就根本上不了网（拨PPPOE提示找不到设备啥的），什么都干不了了


我是觉得自我保护很重要，毕竟最流行的杀软是经常被特别照顾的，卡巴想要做到像红伞那样的查杀率很难。通过用户上报解决了一些免杀后，如果用户还可以正常更新，那还是可以把病毒杀掉的，就怕这时候杀软已经被干掉了

[ 本帖最后由 bingren922 于 2007-8-27 11:47 编辑 ]

曲中求

呵呵，自我保护当然有意义，我的意思是说，只有当监控有效时，自我保护才能叫自我保护，当监控无效时，自我保护便不再有什么意义。

也许可以说更新后可以立即查杀没有查杀到的病毒，不过我想真要等卡巴更新查到你机子里没有的木马，其实速度并不会像样本区我们所看到的那么快，就像当时绿盟挂马一样，第二天还不查杀，本来俺以为有人已经上报了，当时才发现没有，后来才上报才查杀的。所以，当用户第一时间发现卡巴被干掉，便会立即ghost还原或者是用其它第三方工具查杀，基本上不会等到下次更新再查杀的。

当杀软被干掉，就是明显的不正常症状，这个会使用户发现。所以俺一直认为，最笨的方法，就是干掉杀软。最好的方法，就是过掉杀软所有的监控在后台隐藏运行，用户一般不容易发现（木马），要不就像病毒一样，干脆让你只有格盘。。。

[ 本帖最后由 曲中求 于 2007-8-27 12:03 编辑 ]

听雨醉

卡巴是安装在这个program files里吗？
如果是，我也奇怪。。。

xffsfy

原帖由 听雨醉 于 2007-8-27 12:05 发表
卡巴是安装在这个program files里吗？
如果是，我也奇怪。。。

的确是在C:\Program Files里啊，不对么？

rcbblgy

把系统时间向前改

听雨醉

晕，我问楼主。。。你是他MJ？


卡巴的随机自启动项，除了run处的avp.exe和服务处的avp.exe外，还有：
驱动：
kl1Kl1        Kaspersky Lab        c:\windows\system32\drivers\kl1.sys        
klifKlif        Kaspersky Lab        c:\windows\system32\drivers\klif.sys        
winlogon：
klogonLogon Visualizer        Kaspersky Lab        c:\windows\system32\klogon.dll

当然还有一个浏览器插件c:\program files\kaspersky lab\kaspersky internet security 7.0\scieplgn.dll，因与本主题关系不大在此不赘述。

我试着改了系统时间至2017年，卡巴即失去监控灰显而去，不断升级又无果。。。

本着探讨技术、为卡巴寻找bug以期其不断完善造福万众卡饭的思想上，只要将上述三个文件改名，然后重新启动电脑，来查看卡巴的自我保护到底是哪个文件在起作用。。。？（可能看到这里有些高手在窃笑ing，不过，我们不是高手，所以只好出此下策鸟～）

不过抱歉，我没有进行测试，上述只是思路。对那三个文件的改名可以在纯dos下进行。。。

wangjay1980

卡巴不监控后，病毒加载驱动后，想干什么都行，例如你如果允许冰刃的驱动加载，那么冰刃可以随便删除卡巴的文件，谁的权限大，谁就可以主宰别人

当然这样比较牛的病毒很少

[ 本帖最后由 wangjay1980 于 2007-8-27 14:57 编辑 ]