突然发现卡巴启动很“慢”！

jpzy

原创帖：转载请注明“作者：卡饭JPZY”

最近一直在HIPS区泡着，卡巴125版出来以后，我还没用过！前几天看到卡巴区有人提出来，关于卡巴的主动防御问题，我就想着，卡巴能不能也像HIPS那样，定制一下，让卡巴的主防发挥更大的效力，于是今天装上了卡巴，准备研究研究主防！谁知道，无意间发现了卡巴的启动真的很“慢”！这个慢不是指的速度慢，事实上，在我的电脑上，装了卡巴以后的启动时间并没有增加多少，这个慢指的是卡巴的防护慢吞吞的！
卡巴的应用程序完整性类似HIPS的AD，不过略显简单了点，操作上只有“运行，内容改变，做为子程序运行”三个项目，对应的权限也只有允许，询问和阻止！所以，这里似乎玩不出什么花样来了！不过我想，应该可以用卡巴的应用程序完整性来限制程序的运行！

将某个exe文件添加到卡巴的应用程序完整性的列表里面，将所有操作都改为阻止！双击运行一下，会发现，程序无法运行了，提示没有权限~！呵呵，有门啊！不过，这个限制条件比较多，只能在运行前阻止，已经在运行的程序，即使添加到列表里面，进程仍然在运行！

那么，如果我添加了阻止规则以后，重启，会怎么样呢？我做了一个实验！为了验证卡巴到底启动早晚，我分别在msconfig里面添加了一个启动项（daemon），在启动文件夹里面添加了一个（QQ），同时打开了一个服务（aspnet_state）！将这三个程序都添加了阻止规则，然后重启~~~~~






重启的结果让我大失所望，卡巴的启动相当的“慢”，起码它的主防模块，在整个启动过程中完全没有起作用！


三个不同位置的启动项全部运行了！原来我设想，最起码msconfig和启动文件夹的两个东西应该能拦截，服务可能启动比较早，所以不能拦~~~~按说卡巴有驱动，有服务项，想做到开机抢先防护，应该不难啊！！


对于适应了HIPS底层防护，抢先启动的我来说，看到这个结果真的很沮丧！当然了，卡巴毕竟是杀软，不能按HIPS的标准来衡量它！不过可以想像，在开机启动的阶段，卡巴的防护是失效的！如果一个木马过了卡巴的监控，而在启动的阶段，连接网络发送信息（相信防火墙模块在启动阶段也没起作用），相信用户的损失会很惨重！！

关于防火墙模块是否起作用的问题，有兴趣的朋友可以试试，写一个联网的脚本，加入启动菜单，然后重启以前删掉要联网程序的规则（比如IE），看看在启动的时候能否连出去！！

如果有人能把问题反映给官方就更好了！！

----------------------------------------------------------------------------------------------------------------------------------------------------------

好啦，说完了卡巴的启动“慢”的问题！说说我研究主防的发现吧！虽然不能通过添加阻止项来防范启动就加载的东东，不过，可以走另外一条路！！假设病毒已经在系统里面运行了，那么我们首先添加病毒的进程到程序完整性列表里面。


点添加，在程序里面会列出当前的所有进程，找到要添加的进程，添加就可以了！然后，将三个操作都改为阻止，接下来用工具（任务管理器，icesword）来尝试关闭病毒进程，现在一般的病毒都有进程保护或者自动恢复的功能了，但是，只要进程已关闭，再想运行，就要问问卡巴同意不同意了！

还拿aspnet_state.exe做实验，将连接服务失败后的动作都改为重启服务，然后用任务管理器试试吧！进程结束不了！



添加一个aspnet_state.exe的阻止规则！再用任务管理器结束它试试……



卡巴的信息框显示，这个试图运行的动作被阻止了！再看任务管理器，aspnet_state.exe的进程没有了！！

其实，对于用冰刃的人来说，阻止一个病毒再次运行，似乎也不是很困难！不过，既然卡巴能有这样的功能，大家也不妨用用看！

我测试的都是比较善良的进程，没有复杂的保护和行为，所以，真正遇到病毒，这个方法不见得有效！大家不妨试试看！

[ 本帖最后由 jpzy 于 2007-10-13 18:13 编辑 ]

PPwangS

有一定的价值= =||
嗯，对于其他HIPS用类似的方法测试了没？

Redevil

恩
不错
不过还是习惯用冰刃来解决

jpzy

不知道卡巴的自我保护，在启动阶段有没有正常工作！

如果自我保护也没有工作，那么写个删除卡巴文件的脚本，有可能删掉卡巴的文件造成卡巴出错啊！

滚刀肉

卡巴的自我保护的能力还很强，但愿他不再犯自身的错误！

jpzy

刚做了简单的脚本测试！
写了一个移动卡巴安装文件夹下文件的脚本并且放在了启动文件夹内，还好，脚本虽然在卡巴之前运行了，不过移动文件没有成功！

不过如果主防在启动阶段没有起作用的话，那么如果是一个加了免杀的病毒，在开机的时候加载驱动，那么同样在底层的话，就不好说卡巴的自我保护能不能保护的了自己了！！

[ 本帖最后由 jpzy 于 2007-10-13 19:04 编辑 ]

eubyo

刚刚试了一下启动项能够阻止
2007-10-13 20:25:24        C:\ls\ip2.exe        试图运行关键程序。
2007-10-13 20:25:24        C:\ls\ip2.exe        阻止的操作。
ip2.exe是自己写的程序，启动位置是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

eubyo

前几天试过一个病毒，那个病毒在启动时用HIV方法企图在注册表里新建一个驱动项目，被拦截(说明：rd关闭，程序活动分析器开启，rd我用的是EQ的RD，很无奈，因为如果开启rd，用HIV方法时，rd中没设置的注册表项不会被拦截)

jpzy

奇怪，为什么我这里通通不拦截？

zhang880101

看来卡巴也不是有些人说的那么神，楼主继续测试，看看卡巴的所谓主动防御到底怎么样。