浅析卡巴斯基2012应用程序控制

显示全部楼层 · 发表于 2012-3-26 20:28:16

本帖最后由 gaomingcaas 于 2012-3-26 21:46 编辑

卡巴斯基应用程序控制是先进的通过全新的系统监视功能对应用程序活动进行控制的技术，从而最大限度对网络恶意行为进行控制，必要的情况下，还能够恢复计算机的原有参数。，将已知和未知的应用程序分别放入“不信任组”、“低限制组”、“受信任组”和 “高限制组”。
我们可以通过卡巴斯基“设置”的“应用程序控制”可以看到，如图1：

1
点击“应用程序”可以在下拉菜单中看到 “所有应用程序”和“开机启动程序”，选择“所有应用程序”后可以看到“不信任组”、“低限制组”、“受信任组”和 “高限制组”；选择“开机启动程序”，可以看到你的开机启动程序及开机启动程序的组别。在上述4个组别名称上点击鼠标右键可以看到“组规则”、“创建子组”、“恢复设置”，而“恢复设置”又包括“仅组”、“所有子组极其应用程序”。如图2、3、4：

2

3

4
在各个组别的程序上点击鼠标右键，可以看到“应用程序规则”（可以自定义限制应用程序的活动）“恢复设置”“从列表中删除”“移动到组”（可以将程序自定义放入“不信任组”、“低限制组”、“受信任组”和 “高限制组”）。如图5：

5
点击“隐私保护”可以看到“隐私数据”、“操作系统”、“排除对象”三个选项，在“隐私数据”的下拉菜单中，具有 “用户文件”、“Internet浏览器”、“文件管理器”、“邮件客户端”、“即时通讯程序”、“电子钱包”。如图6、7：

6

7
在“操作系统”下拉菜单中，具有“启动设置”、“系统文件”、“安全设置”、“系统服务”、“受保护的应用程序”。在“隐私保护”和“操作系统”中均不能进行鼠标右键操作。如图8：

:8

卡巴斯基2012在程序第一次运行时，会分析应用程序，分析大文件时，会很耗时间，需要很长时间才能出现应用程序，卡巴斯基默认分析应用程序的最大时间为30秒。交互模式下卡巴斯基会出现“已启动新程序，正在分析程序的提示，自动模式下不会出现。如图9：

9
但是我们可以再“设置”→“应用程序控制”→“定义应用程序组的最长时间”和“删除无效规则的时限”。
如图10：

10
卡巴斯基2012将分析应用程序的数字签名、是否在卡巴斯基的安全分析规则数据库里，如果满足以上条件，应用程序将会被放入“受信任组”。卡巴斯基将不限制应用程序的行为。
如果没有上述条件，卡巴斯基会将分析后没有威胁的应用程序放入“低限制组”，“低限制组”的程序，卡巴斯基在交互模式下除“更改系统模块”外的所有操作都会询问用户，由用户操作，自动模式下，“更改系统模块”，会被阻止。弹出窗口、访问用户隐私数据等询问用户操作外，其他行为，基本不限制。
如果经过卡巴斯基分析，应用程序没有数字签名，在安全分析规则数据库不存在，并且威胁性较大，卡巴斯基会弹出“应用程序控制”的提示，如图11：

11
点击提示框的蓝色部分，会出现应用程序的厂商、名称、版本、大小。创建日期、修改日期等，也可以查看启动时间、历史记录、或者直接添加到信任区域、如图12，

12
如果我们选择“信任该程序”应用程序将会被放入“受信任”组，卡巴斯基将会按照受信任规则处理应用程序。
如果我们选择“立即允许”，卡巴斯基将会把应用程序放入“高限制”组，这里，在交互模式下，卡巴斯基会自动阻止应用程序写入、创建、删除电脑的“启动设置”、“系统文件”、“安全设置”、“受保护的应用程序”的注册表项目。会自动阻止应用程序“暂停其他进程和线程”、“启动驱动”、“注入代码”、“更改系统模块”、“访问硬盘底层”、“访问系统底层”、“访问密码存储区”、“关闭操作系统”、“设置调试权限”、“使用浏览器程序秘密发送数据”、“使用系统出现接口（DNS）”、“使用系统程序接口”。其他操作由提示用户，由用户决定。自动模式下，除以上行为会自动阻止外，还会阻止网络连接。
如果选择“立即组织”，卡巴斯基将阻止应用程序此次的一切活动。如果选择“终止程序并设为不信任”应用程序将被放入“不信任”组且被终止一切活动。
在卡巴斯基出现这个窗口时，我们需要仔细考虑，明确知道我们正在运行的应用程序，是否是所知的，是否确信安全的，如果不能确定，建议选择“立即云”或者“否”。如果该应用程序是病毒，而我们选择了“是”，卡巴斯基列入“低限制”组后，，会交由主动防御组件处理，确保用户安全。

卡巴斯基2012还可以通过程序控制保护我们的隐私，比如用户访问历史，cookies等，从下图中可以看出“应用程序控制”中的“隐私保护”选项中包括“隐私数据”“操作系统”、“排除对象”。如图13：

13
其中“隐私数据”包括“用户文件”，如cookies等。如图14：

14
“Internet浏览器”，如IE浏览器，火狐浏览器、opera浏览器的保护规则。如图15：

15
“邮件客户端”，如outlook等。如图16：

16
“即时通讯”，如MSN等。如图17：

17
还具有“电子钱包”和“文件管理器”等。
卡巴斯基会根据用户运行的软件的情况，自动添加。
操作系统包括，“启动设置”、“系统文件”、“安全设置”、“系统服务”、“受保护的应用程序”。如图18：

18
我们可以在左下角的“添加”、添加类别“添加自定义规则，其中“添加”是指，在已有的类别里面添加新规则，“添加类别”是指，添加新类别。
如，我们在隐私数据——程序设置下的IE保护下，添加阻止程序修改IE8.（IE9）的搜索项目和主页的规则，打开程序设置的Internet浏览器，点击左下角的“添加类别”。输入，“阻止修改的IE项目”(随便写)，然后点击新建的“阻止修改的IE项目”，点击左下角的添加，选择添加注册表键，
在“键”输入“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”（HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel子键（需要新建Internet Explorer子键和control Panel子键）），
值输入“Start Page”。
继续添加注册表项，
“键”输入，“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”（HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control Panel子键（需要新建Internet Explorer子键和control Panel子键）），
“值”输入，“Start Page”。这是阻止修改IE主页的设置。
添加以上规则后，我们还需要打开，“设置”→“应用程序控制”的“应用程序”选项，如:19、20：，

19

20
设置我们的新添加的规则在不同分组下的具体实施方案。默认情况下，卡巴斯基会自动设置为我们自定义的规则处理方式为为“提示操作”，这样，在交互模式下，卡巴斯基会弹出窗口，由用户决定，在自动模式下，可能会被允许。如果我们不希望在受限组的应用程序修改IE的项目，而且由卡巴斯基自动阻止。我们就需要双击“低限制”组，找到，我们刚才设置的规则。
文件和注册表——程序设置——Internet浏览器下的阻止修改的IE项目，如图:21、22：

21

22
右键点击写入，设置为“拒绝”删除和创建，也设置为“拒绝”。这样卡巴斯基就可以自动阻止应用程序修改IE的主页和搜索了！如果选择“记录事件”，卡巴斯基会将触发该规则的事件记录到报告中，如果在“事件通知的设置打开”已触发的应用程序控制规则“通知，卡巴斯基亦会弹出气球窗口。
高限制组也需要如此设置。未信任组不需要设置。

我们也可以单独对指定应用程序设置规则，我们打开卡巴斯基安全中心的应用程序活动，这里是经过卡巴斯基分析分组后的应用程序，如图23、24：

23

24
如果我们要限制应用程序弹出窗口，可以设置拒绝应用程序修改“权限”下的，“使用命令行参数启动浏览器和使用浏览器程序秘密发送数据。如图25：

25

本人学浅，本文定有疏漏错误之处，请大家指教，我好做修改！
本帖子参考了卡巴一族相关帖子

显示全部楼层 · 发表于 2012-3-26 20:31:20

漫漫看，不过对于第一个图的设置我觉得不妥

显示全部楼层 · 发表于 2012-3-26 20:33:59

alskdjfhg 发表于 2012-3-26 20:31
漫漫看，不过对于第一个图的设置我觉得不妥

嘿嘿，我这是以前的设置，的确自动转移到低限制组的确很危险，我改一下

显示全部楼层 · 发表于 2012-3-26 20:35:28

gaomingcaas 发表于 2012-3-26 20:33
嘿嘿，我这是以前的设置，的确自动转移到低限制组的确很危险，我改一下

而且会阻碍不少正常软件的加驱行为哦

显示全部楼层 · 发表于 2012-3-26 20:36:53

alskdjfhg 发表于 2012-3-26 20:35
而且会阻碍不少正常软件的加驱行为哦

嘿嘿，我最近也在恶补卡巴的知识，于是有感而发，组织了一个这个，写的不对的地方恳请指教啊

显示全部楼层 · 发表于 2012-3-26 20:49:55

本帖最后由 cswithme 于 2012-3-26 21:09 编辑

学习了，算是一篇普及帖，给教程区添点人气。
最后那个，如果阻止启动，会阻止thunder.exe启动，而不是阻止thunder.exe调用其他程序，这个改改。

显示全部楼层 · 发表于 2012-3-26 21:33:59

本帖最后由 cswithme 于 2012-3-27 10:55 编辑

另外楼主纸妹试过这样写键值有效吗HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
我知道HKCR下的键值按照正常的写就不行，楼主勤快试试吧

显示全部楼层 · 发表于 2012-3-26 22:55:13

本帖最后由 zzj6143 于 2012-3-26 22:59 编辑

cswithme 发表于 2012-3-26 21:33
另外楼主纸妹试过这样写键值有效吗HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
我知道 ...

如果是锁定IE主页的话，我锁定的是这个键值：HKEY_USERS下的Internet Explorer\Main，经过尝试，也确定这样锁定，可以防止程序修改。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main这个键值没试过。

显示全部楼层 · 发表于 2012-3-27 10:56:42

zzj6143 发表于 2012-3-26 22:55
如果是锁定IE主页的话，我锁定的是这个键值：HKEY_USERS下的Internet Explorer\Main，经过尝试，也确定 ...

看来这个BUG只是在HKCR这个键值下面存在

显示全部楼层 · 发表于 2012-3-27 17:42:32

基础知识，谢谢~

[已解决] 浅析卡巴斯基2012应用程序控制

评分

评分