KES设置后双击，看看效果吧。不设置，真心渣。

显示全部楼层 · 发表于 2014-9-29 18:30:47

本帖最后由清道夫900 于 2014-9-29 18:34 编辑

今天下载的 2014-09-28#93包

KES最新病毒库，查杀，剩余8Z. 对应用程序控制设置之后双击：效果很好。

另外有大神说卡巴的 sw（系统监控组件）和应用程序组件冲突，对于此种说法，自己想想，如果冲突，还能存在、包含在一个产品中？

逻辑上：应用程序（APPC）先于SW组件最程序控制，因为：APPC有ksn数据，根据ksn数据和引擎启发分类应用程序组别。

如果程序过了APPC默认设置，继续下滑释放威胁，触发SW阈限值，SW主防开始采取回滚、终止、隔离等措施。

实践上：APPC规则下控制了程序下滑，控制了程序行为，SW不会被触发，自然没事。不过没有完美，SW会漏，APPC也有控制滑漏的情况/

上图，上APPC的日志：

这是剩余8个样本，双击后，被APPC限制的日志，大家看看就好。

进行签名
2014/9/29 18:13:26 限制组的应用程序应用程序权限控制 My Title 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:13:26 受信任组内的应用程序应用程序权限控制 Windows Features on Demand UX 程序被放入分组受信任组已由受信任生产商的数字签名进行签名
2014/9/29 18:13:27 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 注入代码注入代码 c:\windows\syswow64\fondue.exe 注入代码
2014/9/29 18:13:27 受信任组内的应用程序应用程序权限控制 Windows Features on Demand UX 程序被放入分组受信任组已由受信任生产商的数字签名进行签名
2014/9/29 18:13:27 受信任组内的应用程序应用程序权限控制 Windows Modules Installer 程序被放入分组受信任组已知软件数据库中列出的
2014/9/29 18:13:28 受信任组内的应用程序应用程序权限控制 Windows Modules Installer Worker 程序被放入分组受信任组已知软件数据库中列出的
2014/9/29 18:14:05 限制组的应用程序应用程序权限控制 CCleaner Installer 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:14:17 已触发应用程序权限控制规则应用程序权限控制 CCleaner Installer 已阻止: 注入代码注入代码 c:\users\zsxhxmt\desktop\2014-09-28_93\2014-09-28_93\2.exe 注入代码
2014/9/29 18:14:17 受信任组内的应用程序应用程序权限控制 Windows Problem Reporting 程序被放入分组受信任组已知软件数据库中列出的
2014/9/29 18:14:17 已触发应用程序权限控制规则应用程序权限控制 CCleaner Installer 已阻止: 注入代码注入代码 c:\windows\syswow64\werfault.exe 注入代码
2014/9/29 18:14:17 已触发应用程序权限控制规则应用程序权限控制 CCleaner Installer 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\WERFAULT.EXE 受保护的应用程序
2014/9/29 18:14:17 已触发应用程序权限控制规则应用程序权限控制 CCleaner Installer 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\WERFAULT.EXE 受保护的应用程序
2014/9/29 18:15:40 限制组的应用程序应用程序权限控制 4.exe 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:15:40 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:15:40 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:15:45 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:15:45 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:15:45 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:15:45 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:15:45 受信任组内的应用程序应用程序权限控制 Internet Explorer 程序被放入分组受信任组已知软件数据库中列出的
2014/9/29 18:15:45 已触发应用程序权限控制规则应用程序权限控制 4.exe 已阻止: 注入代码注入代码 c:\program files\internet explorer\iexplore.exe 注入代码
2014/9/29 18:16:46 限制组的应用程序应用程序权限控制 Manager 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:16:46 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:16:46 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:16:47 已触发应用程序权限控制规则应用程序权限控制 Manager 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:17:23 限制组的应用程序应用程序权限控制 6.exe 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:17:35 已触发应用程序权限控制规则应用程序权限控制 6.exe 已阻止: 注入代码注入代码 c:\users\zsxhxmt\desktop\2014-09-28_93\2014-09-28_93\6.exe 注入代码
2014/9/29 18:17:35 已触发应用程序权限控制规则应用程序权限控制 6.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\WERFAULT.EXE 受保护的应用程序
2014/9/29 18:17:35 已触发应用程序权限控制规则应用程序权限控制 6.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\WERFAULT.EXE 受保护的应用程序
2014/9/29 18:17:59 限制组的应用程序应用程序权限控制 7.exe 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:17:59 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSTEM32\FONDUE.EXE 受保护的应用程序
2014/9/29 18:17:59 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSTEM32\FONDUE.EXE 受保护的应用程序
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:18:01 已触发应用程序权限控制规则应用程序权限控制 7.exe 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:18:06 限制组的应用程序应用程序权限控制 My Title 程序被放入分组低限制组启发式计算的威胁级别
2014/9/29 18:18:06 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:18:06 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 受保护的应用程序读取 C:\WINDOWS\SYSWOW64\FONDUE.EXE 受保护的应用程序
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: InternetSettingsProxyServer 创建 hkey_users\S-1-5-21-353186883-102247371-2336877277-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS InternetSettingsProxyServer
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序
2014/9/29 18:18:07 已触发应用程序权限控制规则应用程序权限控制 My Title 已阻止: 受保护的应用程序读取 C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE 受保护的应用程序

显示全部楼层 · 发表于 2014-9-29 19:40:46

这是开启交互的效果吗

显示全部楼层 · 发表于 2014-9-29 19:44:44

KIS 对病毒的回滚能力，明显强悍了不少么。。。

显示全部楼层 · 发表于 2014-9-29 20:00:51

挥泪斩情思发表于 2014-9-29 19:40
这是开启交互的效果吗

这个是对APPC设置之后的效果。APPC中低限制组必须把防火墙禁止联网开了，不然。。。都是木马外联。

显示全部楼层 · 发表于 2014-9-29 20:01:37

蓝天二号发表于 2014-9-29 19:44
KIS 对病毒的回滚能力，明显强悍了不少么。。。

我测试的kes，kis没玩。

显示全部楼层 · 发表于 2014-9-29 20:28:40

其实应用程序控制是限制了应用程序本身的权限，所以会影响双击时的SW效果，因为样本是受到限制的，可一旦应用程序控制将运行的程序添加到信任，那就不好玩了。

但是没有应用程序控制的Kaspersky又缺少一层强大的防御，毕竟SW＋应用程序控制才是Kaspersky的完整主防

显示全部楼层 · 发表于 2014-9-29 22:27:16

关键是你怎么定义“冲突”。我认为只要是由于应用程序控制限制了样本行为，导致SW本来能侦测而限制后不能侦测的情况发生，那就叫冲突。
所以，卡巴默认的应用程序控制除了虚拟引擎分组和云信誉名单之外是几乎没有限制能力的。

显示全部楼层 · 发表于 2014-9-30 08:23:18

jefffire 发表于 2014-9-29 22:27
关键是你怎么定义“冲突”。我认为只要是由于应用程序控制限制了样本行为，导致SW本来能侦测而限制后不能侦 ...

appc和sw，正如御龙说的，才构成完整主防。如果appc，我指的是默认规则下，通过ksn和启发数据，已经把程序划分到高限制组了，sw不会被触发，也不会有防御行为，即使sw可以拦截，但是先被appc拦截了，也可以看出来，appc控制程序行为要早于sw，只有在appc滑漏某些程序行为，触发了sw（老版本就是纯的几个防御规则）阈值，sw才会被触发。所以在逻辑上，appc先于sw组件控制程序行为，对于此种技术，在逻辑上和技术设计上没有冲突可言。

appc低限制组在默认自动规则下，如你所言，没有限制能力，但是高限制组和不信任组，就不是没有限制能力了。

退到情理上说，我觉得卡巴这样的厂商，不会考虑不到组件冲突最基本的事情的。

显示全部楼层 · 发表于 2014-9-30 08:24:32

驭龙发表于 2014-9-29 20:28
其实应用程序控制是限制了应用程序本身的权限，所以会影响双击时的SW效果，因为样本是受到限制的，可一旦应 ...

嗯，确实是这样子的。

显示全部楼层 · 发表于 2014-9-30 08:26:36

jefffire 发表于 2014-9-29 22:27
关键是你怎么定义“冲突”。我认为只要是由于应用程序控制限制了样本行为，导致SW本来能侦测而限制后不能侦 ...

还有sw，是类似于sonar，我说的是类似，那样的主防，可以回滚隔离终止之类的，可以看成纯粹意义的主防，但是appc只是对程序的分步单点控制而已，只是拦截点狙击拦截。

[其他相关] KES设置后双击，看看效果吧。不设置，真心渣。

本帖子中包含更多资源

评分

评分

浏览过的版块