卡巴防火墻規則匹配順序

Rosa真紅

第一步是包規則 而不是程序規則

列表顯示順序從上到下匹配 匹配到了就執行不繼續匹配 列表結束則默認為 根據應用程序規則
結果為 允許 阻止 ↓
應用程序規則則優先匹配手動添加規則 從上到下匹配 沒有匹配到則按照網絡規則
結果為 允許 阻止 提示 ↓
網絡規則根據程序的啓動順序中所有程序 此網絡類型匹配的所有規則 優先禁止 其次提示 沒有禁止或提示才為允許
結果為 允許 阻止 提示
-------------------------------------------------------------------------------------------------------------------------------------------------------
大概就是這樣
卡巴控制程序聯網的功能在包過濾（應該是狀態包檢測）的防火墻上 沒有特別的禁止聯網權限
除去秘密訪問網絡這種情況
在包規則上開了相關允許 無論應用程序網絡規則怎樣設置 也會直接通過
也就是說 根據默認規則 如果連入信任網絡網絡 僅有53,25,465,143,993這幾個端口防火墻功能生效
包規則中比較常用的是這一個技巧 規則一 C端口/IP 根據應用程序規則 規則二 A-E端口/IP 阻止
規則一在上規則二在下 其結果為 ABDE被阻止了 C先匹配到規則一通過
調換兩個規則的順序 C會被匹配到規則二阻止 被匹配到的包規則 不受後面規則的影響
數據包被匹配到手動添加規則 則不受網絡規則影響
但是手動添加規則不會繼承到子進程
網絡規則採取一票否決制 根據連接的網絡選擇 也就是程序規則中三條原有的刪不掉的規則
如果啓動經過程序太多文本太長 卡巴的彈窗中不會完全顯示
修改程序規則后偶爾還會繼續彈 但是重啓應用程序后正常生效 不明原理 可能和啓動順序有關
也是因爲這個原因讓我不確定上文是否完全正確 望吐槽

SK云少

LZ - - 昨天无聊去看了下样本区，然后让我伤心了
卡巴被秒过，签名的灰色样本，卡巴默认的信任了。
取消信任签名，取消自动，恢复虚拟机快照，依然秒信任，发现要取消自动下载规则，才可以弹窗。。。
这.....不科学啊
bbs.kafan.cn/thread-1437893-1-1.html地址

Rosa真紅

SK云少 发表于 2012-12-31 15:53
LZ - - 昨天无聊去看了下样本区，然后让我伤心了
卡巴被秒过，签名的灰色样本，卡巴默认的信任了。
取消信 ...

這個樣本是普通的白加黑
spy.cmd被多數人使用過在KSN里有很高的信譽
dll文件包含的病毒又沒有入庫 於是杯具了
解決方法
在卡巴上報StormPlayer.dll
把spy.cmd通知給暴風影音
等暴風影音改之後卡巴把這個spy.cmd加黑
如果暴風不改的話 病毒作者還可以用這個spy.cmd繼續做白加黑

SK云少

Rosa真紅 发表于 2012-12-31 16:48
這個樣本是普通的白加黑
spy.cmd被多數人使用過在KSN里有很高的信譽
dll文件包含的病毒又沒有入庫 於 ...

那意思是卡巴默认的话，对白加黑的防御很差么？如果dll以入库，那就轮不到主防了。
好像诺顿现在也对白加黑无力，毛豆呢？是不是好一点，默认设置的话。

Rosa真紅

SK云少 发表于 2012-12-31 16:53
那意思是卡巴默认的话，对白加黑的防御很差么？如果dll以入库，那就轮不到主防了。
好像诺顿现在也对白加 ...

早點讓暴風改了 廠商協作才是王道
白加黑不是那麽容易搞定的不然也不會成潮流
卡巴規則里對信任組的權限太高
除非能給信任組設置規則 就像我現在做的這樣
comodo也是 但是comodo我就沒用過默認規則不知道效果如何
數字和山山會來樣本區收病毒 不然除非有人上報 它們自己的規則肯定被秒過
卡巴就要靠有人義務上報了 但是病毒作者還可以繼續做 所以廠商協作王道
PS:因爲有人來樣本區發樣本了數字和山山才收到
沒發的樣本彼此都半斤八兩的 要完全解決白加黑只能靠主防和HIPS

SK云少

Rosa真紅 发表于 2012-12-31 17:02
早點讓暴風改了 廠商協作才是王道
白加黑不是那麽容易搞定的不然也不會成潮流
卡巴規則里對信任組的權 ...

嗯，懂了， 感谢解答。
我发现卡巴完全手动的话，只能完全信任或者完全不信任。。。手动了才发现，弹窗的可控性好差。
在这个云查杀时代，一方面是加强主防防止意外，另一方面都在拼入库速度啊。
我那些身边的同学，安全感足足的，用别人的U盘见到360弹窗发现病毒了，也是很淡定，瞅一眼就继续，完全不在意....

Rosa真紅

SK云少 发表于 2012-12-31 17:14
嗯，懂了， 感谢解答。
我发现卡巴完全手动的话，只能完全信任或者完全不信任。。。手动了才发现，弹窗的 ...

可以使用 總是應用的選框 選中后再阻止或允許會修改這個應用程序的該單項規則
父進程應用方面由於我極少使用這個選框還不清楚
山山的不清楚 數字的是名為主防的智能HIPS
各殺軟的主防 發展的都不是特別好 所以我看好火絨

GoldJune

地球上已经没法找到比卡巴”应用程序控制“易用性更差劲的HIPS了

dolphin55

GoldJune 发表于 2012-12-31 18:11
地球上已经没法找到比卡巴”应用程序控制“易用性更差劲的HIPS了

十分赞同

清茗微漾

dolphin55 发表于 2012-12-31 18:19
十分赞同

赞同+1