发现了一个拦截问题，卡巴真是摸不透

afsfdagd

前些天发现程序开启后安装钩子MSCTF.dll不论是询问还是阻止，总是允许之后记录。
但其实我发现我多虑了，有些安全的系统发起的的那种卡巴无论你怎么改都会允许，今天发现了对于程序能够阻止安装钩子。
松了一口气，本来以为卡巴的bug，可能clt测试knowndlls是总是放行跟测试工具执行条件有关，它运行的条件满足卡巴的放行条件，是系统正常操作。(不懂该怎样表达，这个有高手能用专业的方式解释一下吗)
所以有时测试工具仅仅是参考，反而工具卡巴拦截失败(其实并没有失败)但是真正的威胁运行它能够检测拦截，这个问题解决了今后不再折腾啦，安稳的用卡巴..

fen86

我怎么感觉我读不通呢？网络直译来的？

afsfdagd

fen86 发表于 2013-2-18 17:20
我怎么感觉我读不通呢？网络直译来的？

怎么会读不通呢？总的就是说限制组中测试，选择阻止或者询问安装钩子，但总是允许。今天发现对应环境不同，其实在真正遇到威胁是能够拦截的。

小丑鱼ZZW

afsfdagd 发表于 2013-2-18 17:25
怎么会读不通呢？总的就是说限制组中测试，选择阻止或者询问安装钩子，但总是允许。今天发现对应环境不同 ...

那是因为你没开交互的关系，所以总是允许

afsfdagd

小丑鱼ZZW 发表于 2013-2-18 20:28
那是因为你没开交互的关系，所以总是允许

不是的，开了交互，但是所有的MSCTF.dll就算规则把安装钩子设置成阻止，它也会直接允许，但是其它都能阻止，你可以自己试试，那个MSCTF.dll目录是系统，与被阻止的那个条件不同。包括有个clt测试程序，我开交互高限制，里面的knowndlls会自动放行(但那个日志中最前面的对应的也不是clt.exe,是一个临时文件，估计和这个有关)，MSCTF.dll也会放行，其它安装钩子也能拦截。能解释下吗？

afsfdagd

小丑鱼ZZW 发表于 2013-2-18 20:28
那是因为你没开交互的关系，所以总是允许

我从来都是交互模式，主要我感觉从这个路径也能看出来，MSCTF.dll是打开后测试前就记录的，如果不允许则程序无法运行，很多要调用MSCTF.dll。而另外的钩子路径就是它自己的目录了。对这个研究不深，卡巴在选择阻止情况下还是没有拦截MSCTF.dll，应该是有理由的，可能不符合拦截规则，是系统正常行为，所以只是记录了。

x1990877p

我感觉卡巴的hips 没有达到预期效果。而且易用性不高

apgeteypm

－－－

小丑鱼ZZW

afsfdagd 发表于 2013-2-18 20:57  不是的，开了交互，但是所有的MSCTF.dll就算规则把安装钩子设置成阻止，它也会直接允许，但是其它 ...

我只知道每次把QQ阻止安装钩子，但记录里面永远都是已安装…但是有些人就成功了，另外我觉得卡巴对于系统文件有自己的分辨能力，因为每次我设置成把所有程序放入不信任组（包括带签名、卡巴库内已知），但系统文件全部放入了信任。我不知道有什么联系，供你参考

小丑鱼ZZW

afsfdagd 发表于 2013-2-18 21:05  我从来都是交互模式，主要我感觉从这个路径也能看出来，MSCTF.dll是打开后测试前就记录的，如果不允许则程 ...

dll本身就不能运行，是靠程序调用的，应该不是本身已经有规则的，这点我相信楼肯定试过了，至于卡巴中能不能有dll的规则我倒要回去看下了