未知程序选使用启发式分析定义组和自动移至低限制组，谁更安全？

青色烟雨夜朦胧

xiaopangjie 发表于 2012-7-27 17:25
卡巴斯基还有云呢

被云鉴定过的病毒也是已知病毒

oceanroar

关键是把信任有数字签名的程序这一项，不要打勾。现在有太多发证书的机构了，弄个数字签名很容易。

卡不卡卡

sloganall 发表于 2012-7-27 14:19
难道你认为反病毒的高启发和程序分组的分析是一回事？？   
它们的分析机制可能是一样的，但是判定条件 ...

都是卡巴自家的启发技术还能有什么本质区别吗？
启发分析只是一种检测实验室数据库无法识别的未知威胁的技术（KIS帮助文件如是说），你所强调的判定条件又是什么呢？
其它组件高启发都检测不出的威胁分组启发就能成功检测到吗？置顶帖的优化设置你又作何解释呢。
你前面说有的程序会被启发分析定义到另外两个组，能说下是什么程序吗？想测试下。

sloganall

卡不卡卡 发表于 2012-7-27 19:09
都是卡巴自家的启发技术还能有什么本质区别吗？
启发分析只是一种检测实验室数据库无法识别的未知威胁 ...

举个简单例子，一个未知程序运行时需要加驱，反病毒启发分析会警告用户，却不会自行阻止程序运行，否则太容易发生误杀了；而程序分组分析会将其分到高限制组，使其无法加驱，这样即使该程序是一个病毒，也不会彻底失控。或者说，反病毒只负责看大门，程序分组及相关的行为控制负责进大门后走那条路。如果直接把未知程序放到低限制组，几乎等于把一个人放进大门后就不再管他做什么了，这种做法安全吗？

卡不卡卡

sloganall 发表于 2012-7-27 22:08
举个简单例子，一个未知程序运行时需要加驱，反病毒启发分析会警告用户，却不会自行阻止程序运行，否则太 ...

     未知应用程序既然通过了文件反病毒的高启发检测，那在安软看来它就是安全的。当它被双击运行时再调用启发技术对其进行分析检测结果也还是一样的，这种情况下，程序多半会被分入低限制组，或者被分到信任组。
     程序在运行过程中可能会有调用其他程序或试图获取访问敏感区域权限的行为，如果它被分到了低限制组，这时卡巴会弹窗提示用户选择操作（开自动档的情况下），例如“XX属于低限制组正在试图获取访问密码存储区的权限”或者“XX属于受信任组，正在被受限制的应用程序调用以执行某项危险的操作”。选“阻止本次”的话相关程序会被移动到高限制组，选“不信任并将程序移至不信任组”就不用说了。
     你说的危险加驱行为属于主防的范畴，主防设置里能看到。在安装金山卫士4.0时，主动防御弹窗提示XX正在以隐藏的方式加载驱动，成功后应用程序控制将无法对其进行控制，并且还提供相应选项让用户选择。
     
     最后再次问下优化设置帖中关于本项的选择你怎么看？还有你在前面说的有些程序会被启发分析定义到另外两组，麻烦提供下相关程序或程序名，我想测试下。

sloganall

卡不卡卡 发表于 2012-7-28 03:16
未知应用程序既然通过了文件反病毒的高启发检测，那在安软看来它就是安全的。当它被双击运行时再调 ...

自动模式下，设定为“询问”的行为是不会弹窗的，你所说的"让用户选择操作"经过实际检验吗？
前一阵子我的卡巴key到期了，现在正在慢慢试各种其它杀软中，一时没法实际拿出例子程序来，你可以自己试一试网上的许多破解软件看看。

卡不卡卡

sloganall 发表于 2012-7-30 15:48
自动模式下，设定为“询问”的行为是不会弹窗的，你所说的"让用户选择操作"经过实际检验吗？
前一阵子 ...

上述的弹窗说法当然是从实践中得来，也确实是在自动模式下，你不要以为自动模式下就不会弹窗让用户选择了。

关于你之前说的有的应用程序会被启发分析定义到另外两组的说法，如果那不是你亲身经历得来的，就只能说明是你主观YY的了。

sloganall

卡不卡卡 发表于 2012-7-31 03:04
上述的弹窗说法当然是从实践中得来，也确实是在自动模式下，你不要以为自动模式下就不会弹窗让用户选择了 ...

低限制组的应用程序控制规则中多数是“询问”，而自动模式下，“询问”会自动允许，这里面包含了许多危险行为。至于其它情况，已经和你说了，你不去找，我也管不着，你继续自己yy吧，懒得再叨叨了。

angir

卡不卡卡 发表于 2012-7-27 19:09
都是卡巴自家的启发技术还能有什么本质区别吗？
启发分析只是一种检测实验室数据库无法识别的未知威胁 ...

卡巴用来监控和扫描的启发，显然和HIPS的启发式分析的启发不是一回事

卡不卡卡

sloganall 发表于 2012-8-1 22:42
低限制组的应用程序控制规则中多数是“询问”，而自动模式下，“询问”会自动允许，这里面包含了许多危险 ...

现在看自己真是闲的蛋疼跟你讨论这破事，真有够无聊的。