卡巴的应用程序控制会干扰主防的判断吗？

Wesly.Zhang

ksss5566 发表于 2014-9-20 10:47
感谢蚊子大大的解答。明白了。您的意思是：自动模式还是看SW，应用程序控制基本没发挥作用。
但是，在自 ...

Hello，

通过自动分析放置在 受信任组 的程序，不会监控该程序的任何行为进行过滤，一条绿灯通道底，虽然也要传马路，进出坑。而在 低限制组、高限制组 的，在自动保护模式下有些行为会被自动禁止 KIS 的 HIPS 方面，比如 复制进程句柄 行为。如果在 高限制组 的话绝大部分行为都无法实施了程序是无法正常运行的。程序不表现出监控会拦截到的行为基本上可以判定程序不是风险程序或者绕过了监控才可能会发生。

天使洋洋

Wesly.Zhang 发表于 2014-9-20 11:51
Hello，

通过自动分析放置在 受信任组 的程序，不会监控该程序的任何行为进行过滤，一条绿灯通道底， ...

蚊子版主，你好
照你这么说，普通用户用kis跟用kav基本没区别。因为绝大多数用户都不会配置hips。不知道卡巴有没有专门介绍使用hips的教程，或者教大家某一类软件如何配置hips，比如聊天、视频这样子分类。
你说信任以后就一路绿灯，这种判定弊端会不会太多了点？或者说这种判定方法太傻，一点不智能。万一某个程序进入了信任名单，那不是防御形同虚设了么？而且万一有些程序安装的时候没有表现出不轨行为，等过一阵子以后再作案，这不是很可怕？就像有人请的保安，虽然保安知道你是雇主的朋友，你的行为正常保安不会说什么，但是你的行为不正常，保安照样要过问和确认，有没有什么办法可以让卡巴这样判定？
还有就是卡巴的程序归类问题，乱七八糟一塌糊涂，甚至不如“按程序所在文件夹分类”来的好，你也知道国内的程序总是乱来，一个程序附带n个小程序，为什么不把这些小程序跟主程序规在一个文件夹下？打开应用程序控制，很多小程序都是乱放的，谁知道谁是谁的谁？

chentx036

ksss5566 发表于 2014-9-19 15:56
感谢姐夫的解答。

意思是：存在kav主防拦截弹kis只是限制的样本。

小白问一下，你是怎么做到对原帖的文字分段选取回复的啊？

Wesly.Zhang

天使洋洋 发表于 2014-9-20 12:24
蚊子版主，你好
照你这么说，普通用户用kis跟用kav基本没区别。因为绝大多数用户都不会配置hips。不知道 ...

Hello，

在对于恶意程序防护功能上，KAV 与 KIS 没有太大的区别，你从它的各自的保护组件上面来看，KAV 提供基本保护，KIS 提供在基本保护上更加灵活可控的全面保护。KAV 与 KIS 在面对未知威胁的拦截是基本一致的，这句话仅适用于自动保护模式下。

对于什么 HIPS 设置什么的教程，由于牵涉到的程序较多，不可能面面俱到，推荐有经验的朋友直接开启 交互式保护 模式使用，这样什么程序有什么异常的行为都能够发现。至于教程什么的，卡巴一族里面也有，可以搜索下，不过教程所说的东西不是一成不变的，有些软件在变化，所以需要维护这些规则也是一件麻烦的事情，所以一般不会讲的很具体，都是一些概念性的设置通用方法。

对于你说受信任组的程序的小动作什么的，你可以单独对受信任组内的程序的行为进行控制，自己设定有关程序的 HIPS 规则即可，在卡巴斯基KSN安全网络中的程序一般都会自动列入受信任组，会根据这个网站的类别进行分类，按照开发者或者版权所有者进行分类或者数字签名名称进行分类。还有的一些小程序由于缺少描述信息虽然自动在受信任组，但是没有类别可以进入的话，就会直接在根列表内显示了，这个目前还没有解决方法，你可以自己设定一个组来存放有关文件或者手动移动这些规则到某个分类里面或者直接删除这些规则。

ksss5566

chentx036 发表于 2014-9-20 13:22
小白问一下，你是怎么做到对原帖的文字分段选取回复的啊？

都在回复输入框上面的工具栏里，点”引用“，就是图中圈起来的按钮：

在弹出的框里粘贴你引用的内容，如图：

提交后，下一行写上你想说的话，回复了就行了。

ksss5566

Wesly.Zhang 发表于 2014-9-20 11:51
Hello，

通过自动分析放置在 受信任组 的程序，不会监控该程序的任何行为进行过滤，一条绿灯通道底， ...

感谢蚊子大大的热心解答。

chentx036

ksss5566 发表于 2014-9-20 13:56
都在回复输入框上面的工具栏里，点”引用“，就是图中圈起来的按钮：

在弹出的框里粘贴你引用的内容， ...

懂了。谢谢解答。。

zandalong

Wesly.Zhang 发表于 2014-9-20 13:27
Hello，

在对于恶意程序防护功能上，KAV 与 KIS 没有太大的区别，你从它的各自的保护组件上面来看，KA ...

看了你的精彩解答。
我是不是可以这样理解：
PDM是卡巴在最初加入主防这个概念时设计的一个主防雏形，主要是依靠行为监控，也就是行为库；而在目前最新版的卡巴里，PDM作为一种技术被融入了SW（系统监控）里，作为主防的一部分。
而卡巴的主防主要由SW（系统监控）和应用程序控制（说是卡巴的HIPS，但个人理解就是卡巴的AD）组成，在自动模式下，应用程序控制是没有效果的，主要靠SW。

还有一个问题，既然自动模式下KIS和KAV的主防效果是一样的，那KES呢？KES默认是没有互交模式的。

Wesly.Zhang

zandalong 发表于 2014-9-20 19:54
看了你的精彩解答。
我是不是可以这样理解：
PDM是卡巴在最初加入主防这个概念时设计的一个主防雏形 ...

Hello，

KES 是企业版产品，由管理员通过 保护中心 服务器统一委派策略的，客户端无需交互。

skyatfly

不了解情况，纯粹是来看帖学习的……但是这样的帖子正是我这么多年来热爱卡饭的原因