卡巴的应用程序控制会干扰主防的判断吗？

bbszy

挥泪斩情思 发表于 2014-9-19 18:59
感谢。

交互保护我是开启了的，但是在测试PMD之前，文件反病毒和程序控制模块我都是关闭的，可能只要 ...

你换了一个扫不出的样本，但不能保证这个样本本身就能被系统监控检测到。。。

挥泪斩情思

bbszy 发表于 2014-9-19 19:21
你换了一个扫不出的样本，但不能保证这个样本本身就能被系统监控检测到。。。

嗯，概率问题了

看来以后扫不出的还是直接上程序控制算了。。。

胖福

挥泪斩情思 发表于 2014-9-19 16:27
姐夫大大，有个问题请教下，好像卡巴的PDM也是基于特征码的吧

今天看胖福那个卡巴主防PK诺顿主防的 ...

      我理想中的主防对比测试应该是用双方的主防检测经过双方共同扫描后剩余的样本。
      由于手里的样本有限，如果诺顿扫描完在上卡巴扫描的话，基本就没玩儿了，剩不了几个样本。
      哪天找墨家小子谁给些样本，最好能有几千，用卡巴扫描完后再用诺顿扫描一遍，然后测主防，尽量不给主防调用特征码的机会。
      下周我会换上卡巴，蹲守样本区，专门双击过卡巴扫描的样本！考验一下系统监控到底有多强。

挥泪斩情思

胖福 发表于 2014-9-19 21:28
我理想中的主防对比测试应该是用双方的主防检测经过双方共同扫描后剩余的样本。
      由于手里的 ...

嗯   感谢解答

据姐夫大大说，PDM不是基于特征码的，之前就是这么报

就我今天在虚拟机测试的情况，PDM拦截效果不是很好，只有在样本动作比较明显时，才会触发PDM，对国内的流氓下载推广类基本上无力，得靠程序控制

期待下周你的测试

胖福

挥泪斩情思 发表于 2014-9-19 22:11
嗯   感谢解答

据姐夫大大说，PDM不是基于特征码的，之前就是这么报

PDM确实一直就有的！至于你说的流氓下载要看具体行为，和诺顿一样，有些主防能防住，有些又防不住！

lai001lai007

挥泪斩情思 发表于 2014-9-19 16:41
卡巴的主防是由PDM+HIPS组成的

PDM属于系统监控组件部分，属于卡巴的智能主防

就是说HIPS并不是指“主动防御”的全部是吧？多谢解答！

挥泪斩情思

胖福 发表于 2014-9-19 22:20
PDM确实一直就有的！至于你说的流氓下载要看具体行为，和诺顿一样，有些主防能防住，有些又防不住！

感觉还是之前的好点

Wesly.Zhang

Hello，

由于没有对 HIPS 与 SW 模块的运行机理有逆向分析的基础，在这里仅从官方所公开的信息来看下 HIPS 与 PDM （现在已并入新组件 SW中）的关系并加入这个讨论。

一. PDM 到底检测什么？

PDM 这个组件从 卡巴斯基 6.0 产品开始仅引入一个雏形，当时一共有四个保护模块发展到现在了今天。从这篇文章就可以看到 PDM 组件的详细说明，以及它的作用：http://support.kaspersky.com/3938

Trojan-like activity “PDM.Worm.P2P.generic”;"PDM.Trojan.P2P.generic" 等
access to the system resources (e.g. to the system registry) ->“PDM.Private data and passwords access”
program self-copying into the network resources, autorun folder and system registry with the further sending of its copies ->“PDM.Strange behaviour”
keylogger ->“PDM.Keylogger”
hidden drivers install ->“PDM.Suspicious driver installation”
operating system kernel modification ->“PDM.RootShell”
hidden object and hidden process ->“PDM.Hidden data sending”
file HOSTS modification -> “PDM.Hosts file modification”
intrusion into other processes ->“PDM.Invader (loader)”
sending of DNS-queries ->“PDM.DNS Query”

在没有应用程序控制 HIPS 功能的 KAV 产品中这些就是行为控制主动防御的最底线了。一旦有某个应用程序触发这种行为检测就会被报某类潜在的行为的危险性。在没有云机制协同的当时，没有白名单的支持，无论是正常的程序还是恶意程序只要有上述的行为就会被报告用户做做出行为是否允许。现在的版本，乃至最新的版本都加入了 KSN 云端响应也就是 UDS:DangerousObject.Muti.Generic 检测，这个是 SW 组件基于 云端的检测，这个不是完全是 SW 所具有的，是整个产品保护组件所公用的一种检测云端拉黑的样本的机制。这套机制也运用在了 文件反病毒；网页反病毒；扫描 的工作中。

二. SW 到底是什么？

如果我没有记错的话，这个保护组件是在 2014 第二个版本中被引入。发展到了现在已经具备了一些新的特性，比如 反锁屏，反敲诈，反漏洞攻击，应用程序权限控制（原PDM组件的作用），恶意活动回滚恢复。这个组件在 KAV 产品当中必须予以完全的运用与启用，因为没有 KIS 的 HIPS 功能能够对某些应用程序做精确的控制的情况下，这个 SW 组件就是全部主防的功能。

三. KIS 中 HIPS 与 SW 组件各有什么作用？区别是啥？

我们先来看下 KIS  Application Control 组件干什么用：http://support.kaspersky.com/11157，有一个情况我想要提醒大家注意，对于 PDM 检测到的可以一键回滚所有行为产生的进程的所有操作，但是 HIPS 不能够。包含在 SW 组件中的 原 PDM 组件还是有为 HIPS 组件提供一种支持，这种支持就是在上面我所说的某些行为发生时报告的主体是哪个组件，不妨看看只开启 SW 功能与 SW HIPS 同时开启后对同一个样本的报告的主体是否有改变来研究。实际上 HIPS 保护组件的权限管理中有些条目是包含SW中原PDM的一些检测项目的。在 自动保护模式 下，HIPS 组件基本上没有在工作，仅依靠在 SW 组件在进行主防防护，基本上与 KAV 产品工作的效果。只有在 交互保护模式下 HIPS 才完全起到监控应用程序控制的作用。

区别之处：PDM in SW 是一种基于程序行为的阻断机制，换句话说由 KL 给挖了一个坑，未被识别的程序装进这个坑就会被点亮。而 HIPS 是允许用户高度定制坑，这个坑放在哪里，该怎么放，哪些应用程序需要上坑过滤，这些坑掉进去后是允许其出来继续还是直接埋掉了都是对用户可见可编辑的。HIPS 对于用户来说更加灵活。

对于 KAV 来说 SW （System Wather，系统监控）就是主防的全部，对于 KIS 来说（System Watcher 与 Application Control）就是主防的全部，MR2 可能将会进入预先编辑规则的新功能，换句话来说就是一个程序已经在系统中有，就是还没有运行，MR2 可以使你可以提前对其进行 HIPS 规则创建，比之前的需要在运行后才能够编辑规则来说，更加好用，期待吧~~

ksss5566

Wesly.Zhang 发表于 2014-9-20 10:09
Hello，

由于没有对 HIPS 与 SW 模块的运行机理有逆向分析的基础，在这里仅从官方所公开的信息来看下 HI ...

感谢蚊子大大的解答。明白了。您的意思是：自动模式还是看SW，应用程序控制基本没发挥作用。
但是，在自动模式下，应用程序控制是会根据信誉什么的，对应用进行分组的。如果一个样本，分在信任组能表现出足够的行为，而分在低限制组或高限制组表现不出足够的行为，这种情况怎么办？

蓝核

驭龙 发表于 2014-9-19 16:40
跟云有关，文件监控关闭以后，实际上SW杀的大多数是需要联网，之后报的是PDM BXXXXX什么的，如果开文件监 ...

伸手党 sw是啥……主防？

楼上已经有解释了……多谢