发现了一个拦截问题，卡巴真是摸不透

afsfdagd

小丑鱼ZZW 发表于 2013-2-19 19:18
我只知道每次把QQ阻止安装钩子，但记录里面永远都是已安装…但是有些人就成功了，另外我觉得卡巴对于系统 ...

应该卡巴对一些系统文件和绝对安全操作为了不干扰程序工作自动放行了，这种放行我也没有找到阻止的办法应该也没有必要阻止。但一些危险操作应用程序控制中会拦截，安装全局钩子什么会提示，测试过拦截成功了，所以感觉应该卡巴自身没问题，不再纠结这个了...

wyj915752168

x1990877p 发表于 2013-2-18 21:34
我感觉卡巴的hips 没有达到预期效果。而且易用性不高

＋1  不能再弹窗时创建规则是硬伤  只能靠组别来限制权限（当然自己做规则是可以的但是比较麻烦），希望以后改进

小丑鱼ZZW

wyj915752168 发表于 2013-2-19 23:22
＋1  不能再弹窗时创建规则是硬伤  只能靠组别来限制权限（当然自己做规则是可以的但是比较麻烦），希望以 ...

这个就是卡巴的应用程序控制和HIPS本质上的区别，呵呵

小丑鱼ZZW

afsfdagd 发表于 2013-2-19 22:28
应该卡巴对一些系统文件和绝对安全操作为了不干扰程序工作自动放行了，这种放行我也没有找到阻止的办法应 ...

那你知道我QQ原因么？

wyj915752168

小丑鱼ZZW 发表于 2013-2-20 21:06
这个就是卡巴的应用程序控制和HIPS本质上的区别，呵呵

不过还是可以忍受的，卡巴的确这点应该做得更好才对，虽然很多人不开交互模式的

afsfdagd

小丑鱼ZZW 发表于 2013-2-20 21:07
那你知道我QQ原因么？

卡巴可能本地有一些针对系统文件的白名单，优先级最高，包括所有未知加入不信任关了ksn，还会放行本地白名单内的。qq的权限操作可能也是这样(只能这样想了，钩子卡巴只会拦截未授权的，你看看qq加载的如果是系统的被放行那应该是卡巴的策略，拦了程序必要的可能还导致它不能运行，无大碍。别人可以你也要看看拦截的是不是同一个钩子，万一一样那应该是bug，不是的话就正常)
话说clt我放到不信任组手动改为允许运行，日志记录允许启动，程序运行失败，并且没有记录允许钩子，可能在不信任组里才能把系统的给阻止。
以上所说只是个人使用经验，可能并不是真实原因，仅仅参考交流。