卡巴6及卡巴7注册表监控简评和建议

eubyo

以前有一篇文章提到过几种突破注册表监控的方法，其中用hiv文件的方式来突破注册表监控，使用起来是最简单最方便的，令人不安的是有些版本的注册表监控不能拦截它，
最奇怪的是还有很多病毒或是木马并没有使用这种方法，还在用常规方法，这也许是不幸中的大幸了

我分别对6.0的简体中文正式版307和621以及Beta版671进行了测试，还对7.0的125进行了测试，结果如下：
307：拦不住，病毒可以随意蹂躏注册表
621：也一样，拦不住，病毒可以随意蹂躏注册表

671：可以拦截，但没有保护本身的注册表项
125：可以拦截，但没有保护本身的注册表项

建议：
强烈建议广大卡饭使用671之后的版本，并添加对HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab的保护
[:27:]

(因为我不可能对所有版本进行测试，所以将测试程序发上来，如果你使用的版本是307，621，671，125之外的，你也可以测试一下，也可以对其它软件的注册表监控进行测试，如果某款软件的注册表监控没有提示，那就扔了那款软件吧)

[ 本帖最后由 wangjay1980 于 2007-10-30 21:36 编辑 ]

ALEXBLAIR

为什么我的7.125可以通过HIV的测试呢？
汗。。。。
我是英文版本的。
不过，还是谢谢提醒。
另外，自我保护在卡巴关闭后依旧有效，LZ可以测试一下关闭卡巴然后试验，看看是否是您的卡巴保护驱动出了问题。

暗天使

就是说在注册表监控里面添加HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab的保护可以安全点吗？

ALEXBLAIR

1. 2007-9-5 21:29:32        I:\TEMP\Rar$EX02.844\rd1.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        I:\TEMP\K1.tm                No value type                blocked
   
2. 2007-9-5 21:29:20        I:\TEMP\Rar$EX00.812\rd1.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        I:\TEMP\K1.tm                No value type                detected

复制代码

eubyo

原帖由 ALEXBLAIR 于 2007-9-5 21:28 发表
为什么我的7.125可以通过HIV的测试呢？
汗。。。。
我是英文版本的。
不过，还是谢谢提醒。
另外，自我保护在卡巴关闭后依旧有效，LZ可以测试一下关闭卡巴然后试验，看看是否是您的卡巴保护驱动出了问题。 ...

我是说7.125可以通过HIV测试，没说不可以啊

kbsjaqtz

楼主应该把此问题发给卡巴，让卡巴改进一下，默认设置

wangjay1980

卡7的保护比卡6有一定的提高，另外卡巴是保护自己的注册表的

V8将会更强

eubyo

原帖由 wangjay1980 于 2007-9-5 22:57 发表
卡7的保护比卡6有一定的提高，另外卡巴是保护自己的注册表的

V8将会更强

你说“卡巴是保护自己的注册表的”是指什么？是不是指自我保护。
卡巴的自我保护是不能防hiv的，所以要在RD那里保护一下。

听雨醉

你还专门发了一帖。。。
hiv虽然可以过125v，但是有提示。这个我已试过了。

eubyo

原帖由 听雨醉 于 2007-9-6 18:41 发表
你还专门发了一帖。。。
hiv虽然可以过125v，但是有提示。这个我已试过了。

什么呀，125是可以拦截hiv的