卡巴的两点问题~

justkp

1、启动速度慢，每次开机时，如果在登录界面（就是选择用户名的地方）多等会儿再登录，卡巴的主动防御就会不停的跳出窗口，说explorer在加载某某进程。但如果很快登录，卡巴一点没反应。我估计，是因为前一种情况给了卡巴“准备”的时间。如果真有病毒，登录又比较快，岂不挂了。。。
2、启动项目扫描慢。往往都开机30分钟了，启动项目还没扫描完。。。

houname

楼主的第一个问题没遇到过。第二个可能是楼主的启动项太多或机器配置太老，我的只有几分钟。

sharkkong

楼主的问题很好解决
1、关闭程序完整性保护
2、取消开机扫描

这2个功能，我是从来不开的。
虽然完整性保护很有用，但是过于严格。
开机扫描个人认为就是一个鸡肋，如果在关机前监控没有办法发现的病毒，在开机后升级前的扫描，同样也无法发现

fljoan1

楼主所说的第一个问题，我一直都认为是卡巴的一个致命弱点，而且在多次在卡饭回帖中提到过该问题，可惜的是几乎没人对我的意见感兴趣：（
卡巴主防脆弱，原因就在于在主动防御这一块，并没有做得相当底层，相反，还很“高层”。“高层”到什么地步呢？高层到连注销（注意，不是关机）过程中，系统就可以把主防的GUI资源（图形用户界面，比如弹出来的提示框）释放掉。也就是说，如果在注销过程中主防弹出来拦截一个程序，而你动作又比较慢，没及时点“允许”或“拒绝”的话，这个提示框就会随着注销一起消失掉。这就给恶意软件一个绕过卡巴主防的绝好机会。因为注销后WIN的内核程序还是在运行的，如果一个病毒工作在RING0级别，操作系统已经认为该病毒是“自己人”了。卡巴的主防更不可能发现它，因为此时主防的GUI资源已经被释放掉了，就算运气不错发现了该病毒，也没有能力弹出提示框让你选择了。所以，我认为卡巴现在首推的还是它那建立在超大病毒库基础上的特征码匹配技术，至于基于行为分析技术上的主动防御，只是辅助用的。或者说，只要稍微有那么两下的病毒制造者，过主防应该不算什么难事。
个人意见~~~~~~~~

ALEXBLAIR

原帖由 fljoan1 于 2007-12-18 19:31 发表
楼主所说的第一个问题，我一直都认为是卡巴的一个致命弱点，而且在多次在卡饭回帖中提到过该问题，可惜的是几乎没人对我的意见感兴趣：（
卡巴主防脆弱，原因就在于在主动防御这一块，并没有做得相当底层，相反，还 ...

卡巴的主防的确是一个辅助的功能
个人建议用ssm或者其他的hips代替。不过，卡巴的升级速度的确是所有杀毒软件中最快的，所以，对于安全方面，问题不是太大。
当然，至于gui的问题，一直是很多软件面临的困难。
注销后，基本上是system权限的shell
而且也不允许出现user权限的对话框。一般来说hips都会选择在system shell下使用白名单策略，即不在允许中的内容暂时阻止，以便出现你说的用户没有反馈的事情出现。
不过，据我的测试看，卡巴的确也是用白名单的，即使注销后使用不正当手段（例如替换屏幕保护）做危险动作，默认下卡巴还是会阻止，但是不会出现在记录中。所以安全并非表面那么脆弱。

fljoan1

原帖由 ALEXBLAIR 于 2007-12-18 19:38 发表

即使注销后使用不正当手段（例如替换屏幕保护）做危险动作，默认下卡巴还是会阻止，但是不会出现在记录中。所以安全并非表面那么脆弱。
...

按版主的说法，注销以后卡巴主防的核心资源还是没有被释放掉的咯？（毫无意义，主防的GUI资源是被释放掉了）。如果真是这样，那前几天那位牛男用放入启动文件夹的方法在主防之前启动抢占时间绕过卡巴，该如何解释呢。因为启动文件夹里的内容是用户级的，也就是说，一定要等用户输完密码登陆后才会被执行的，这样又怎么能够绕过主防呢？
谢谢~~

ALEXBLAIR

原帖由 fljoan1 于 2007-12-18 19:53 发表

按版主的说法，注销以后卡巴主防的核心资源还是没有被释放掉的咯？（毫无意义，主防的GUI资源是被释放掉了）。如果真是这样，那前几天那位牛男用放入启动文件夹的方法在主防之前启动抢占时间绕过卡巴，该如何解释呢 ...

卡巴的结构是这样的
主要的处理和作事情的是他的服务（avp.exe /r ）权限是system的

另一个avp.exe（一般cpu和内存用的比较大的那个）是gui，负责server的反馈和信息交互。这个东西其实可有可无。
至于启动文件夹，调用它的的确是用户级别的。

这个应该是卡巴的avp.exe的那个gui进程没有及时启动，而那个时候服务级的avp.exe已经认为可以关闭白名单模式，切换到黑名单模式了。

个人认为，也就是这个时间差的关系导致了问题的出现。

一般来说，hips软件对于时间差问题基本会设计为单个进程即使服务又是gui，
或者在gui启动完成后发送指令给服务，然后切换回黑名单模式。
至于卡巴来说，这个问题的确比较严重，相同的，之前在毛豆和犀牛上也遇到过，毛豆貌似现在解决了，其他的两位就不知道了。

fljoan1

感谢版主的答复。
首先肯定一下卡巴的设计方法--把核心进程和图形用户界面分开设计，因为这样即使界面出错也不会影响核心进程的工作，有利于软件的稳定性。但我个人认为，核心程序以登陆成功作为白黑名单的信号，显然欠妥。一个可行的办法正如版主所说，以界面进程的成功初始化作为白黑名单的信号。同时要注意一个问题，在界面进程向核心进程提交信号的过程中要加密，以防止恶意软件伪造该信号。
希望卡巴实验室在后续版本中能修复该缺陷~~~