卡巴7自我保护的一个小测试

听雨醉

看样子楼主是想明白到底哪个文件关联着卡巴的自我保护～

wangjay1980

自我保护肯定是卡巴的驱动再起作用，任何杀软都需要驱动级的保护，谁更底层，谁更牛

听雨醉

那么楼主只将avp.exe改名后，为何卡巴目录还是失守？
你是说病毒盗用或控制了卡巴的驱动？如何实现的？兄弟可否简述之？

wangjay1980

病毒当然不可能控制卡巴的驱动，我想 1.病毒可以比卡巴做的更底层（这种毒估计太少了，估计要达到冰刃的水平），这样病毒可以删除卡巴所有文件。2.恢复卡巴的HOOK，恢复后，卡巴的保护就失去作用，这样也可以。

但是普通的病毒都是做不到的，而且至今我也没见过可以删除卡巴所有文件的病毒，这个可是个挑衅啊


不知道说的对不对，别见笑

听雨醉

这样的病毒我也木有见过。如果有幸会之，俺必不会与其交之失臂地～
PS：即使冰刃也无法删除卡巴的avp.exe.

bingren922

本来极想把病毒样本带回来的，可是客户那规定不能用可写设备，只能用只读设备，比如光盘。

所以就刻了张PE盘，放里面红伞P版和卡巴6绿色版  卡巴只查出2个盗网游号的木马，看了看时间，必然不是删卡巴的元凶。用红伞扫了之后多查出一些来，凶手应该在这些里


比较长时间前的事了 记的不是很清楚……

wangjay1980

avp.exe.冰刃删不了？这个我没试过，我只试过用来删除别的卡巴文件，都没问题。

PS:卡7的自我保护比卡6强了不少

听雨醉

TO 楼主：
所以，我在前面帖中询问那客户的卡巴是否在了program files里。如果不是，那么就很可能不关卡巴的事了——要么客户把卡巴给删鸟，要么是其他原因，反正没病毒啥鸟事；如果是，那就奇怪了。卡巴的自我保护很强，即使两个Avp.exe不运行，只要设了自我保护，即使在安全模式下，你也动不得其安装目录一根毫毛～！
不，还有一种情况：除非这病毒贼牛，专门冲着卡巴来的。它想怎么摆调卡巴就怎么摆调，想杀就杀，想剐就剐。在它面前，卡巴成了棉花糖。我期待某日黄昏后邂逅该病毒……

TO wangjay1980：
卡7的保护在某版本后确实增强了，这个我专门发过帖子～

bingren922

就是装在program files目录里，我的意思是卡巴装在默认目录……

听雨醉

呵呵，事实不清，证据不足，不予立案。。。