KES设置后双击，看看效果吧。不设置，真心渣。

jefffire

清道夫900 发表于 2014-9-30 08:23
appc和sw，正如御龙说的，才构成 完整主防。如果appc，我指的是默认规则下，通过ksn和启发数据，已经把 ...

实质就是HIPS和行为分析能否共存的问题。你说的不“冲突”是制不会影响安全性，确实在大部分情况下不会影响安全性。

但只要是由于应用程序控制限制了样本行为，导致SW本来能侦测而限制后不能侦测的情况发生，我就认为这是冲突

清道夫900

jefffire 发表于 2014-10-3 14:31
实质就是HIPS和行为分析能否共存的问题。你说的不“冲突”是制不会影响安全性，确实在大部分情况下不会 ...

既然APPC都限制住程序了，为何还要SW组件触发？

APPC限制住危险，死程序一只，SW何谈侦测？

如果按照你的逻辑讲，嗯，只要带个主防的杀软都和引擎冲突。

。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

jefffire

清道夫900 发表于 2014-10-3 16:18
既然APPC都限制住程序了，为何还要SW组件触发？

APPC限制住危险，死程序一只，SW何谈侦测？

1 本来SW触发后可以回滚，现在HIPS的限制导致不能回滚，存在系统设置被破坏不能修复的情况。从安全性上考虑确实不是大问题，但不代表就不是问题。

2 卡巴HIPS分组组，规则本来就粗糙，且可设置的拦截点远比不上传统HIPS。默认设置高限制组限制的也是高危动作，大部分情况安全，小动作样本未必安全。

清道夫900

jefffire 发表于 2014-10-3 16:55
1 本来SW触发后可以回滚，现在HIPS的限制导致不能回滚，存在系统设置被破坏不能修复的情况。从安全性上 ...

1.首先，在无bug前提下，默认设置前提下，卡巴的APPC可以，我说的是可以，单点狙击病毒程序行为，当然正如你所言，拦截点决定了拦截多少行为和防御程度，既然单点拦截了病毒程序的某些行为，控制了程序运行权限，何来系统被破坏之说，除非是appc程序bug，比如X64下，某些api下拦截漏洞；而且appc可以拦截大绝大部分行为-高危组别，不信任组别直接弄死了。

2.其次，通过设置APC，比如设置低限制组权限，可以实现部分阻断病毒程式行为，阻断什么行为就得看用户如何设置APC的拦截点，是allow还是block还是ask/  我不知道你所谓的“破坏”是何定义？全局感染exe？还是全盘被格式化？还是中了某些骷髅头？一个程序运行，总得讲逻辑吧，如果单点或者多个单点阻断已经限制了程序运行，我不知道你说的感染，是怎么感染的。

3，根绝统计数据看，现在的威胁主要表现为木马威胁了吧，其实对付木马，但APC中，低限制组中，阻断病毒对系统进程的注入+提权+防火墙block，基本上能阻断了吧。即使是感染程序，也需要软件自身权限才能正常释放感染源和载体吧，如果apc都限制了病毒源和载体运行，即使万一被感染，难道能成功？

4.你说的卡巴 APC默认规则粗糙，这是共识，正因为粗糙就更不会影响SW组件对系统的保护了，规则粗糙，程序权限宽松，可运行行为比价全面，这才能更好的给SW组件提供完整的判断，所以，我觉得APC粗糙的规则跟SW没有冲突/

5.不管是宽松规则还是收紧规则，总之都是对程序权限和行为的控制，如果宽松规则被过了 SW可被触发，这没问题；如过收紧行为的规则被程序过了，SW还是依然会被触发，总之，SW是卡巴对程式监视的最后一道防线，跟APC没有冲突。

jefffire

清道夫900 发表于 2014-10-3 17:31
1.首先，在无bug前提下，默认设置前提下，卡巴的APPC可以，我说的是可以，单点狙击病毒程序行为，当然正 ...

1 默认设置问题不大。这个早就说过了。

2 收紧规则。这里面问题就来了。
首先，可供设置拦截点过少，除非直接禁运，否则有些行为拦不住，这是和规则无关的问题。

其次，规则设置这里面学问就大了，哪些行为是关键，哪些不关键，对系统理解不当就会放过了关键行为拦截了无关紧要的，同时又把行为分析干扰了。行为分析的数据库，会综合整个行为考量而不仅仅是关键行为，尤其现在基于统计学算法的行为分类，对细节行为也很敏感，比如说样本产生文件的文件名。

举个不恰当的例子。规则是限制注入。假如说一个样本先尝试注入，失败，因为注入失败，所以本来有后续的一系列典型动作就没出现，然后就写了个启动项，改了改主页。如果没有规则限制，注入后续的动作出现后，SW就可以直接拦截回滚了。现在就被改了主页，启动项了。当然，不存在只限制注入的规则，但这种极端情况也同样说明了问题，单步拦截会改变样本行为的可能性。

jefffire

HIPS就是牺牲一定的易用性换取安全。行为分析则正相反。从逻辑上两者就是难以调和的。

Baby默兮瑶

jefffire 发表于 2014-10-3 18:05
HIPS就是牺牲一定的易用性换取安全。行为分析则正相反。从逻辑上两者就是难以调和的。

           不明覺厲

清道夫900

jefffire 发表于 2014-10-3 18:05
HIPS就是牺牲一定的易用性换取安全。行为分析则正相反。从逻辑上两者就是难以调和的。

大哥，我不明白了，真心不明白了  hips   行为分析   hips  行为分析  人脑注册机   人工智能   规则智能，  我去思考会。

墨家小子

清道夫900 发表于 2014-10-3 17:31
1.首先，在无bug前提下，默认设置前提下，卡巴的APPC可以，我说的是可以，单点狙击病毒程序行为，当然正 ...

感觉这句话似乎不对，需要验证

总之，SW是卡巴对程式监视的最后一道防线

我觉得程序控制才是最后的防线

墨家小子

jefffire 发表于 2014-10-3 18:01
1 默认设置问题不大。这个早就说过了。

2 收紧规则。这里面问题就来了。

我刚试了一个样本，过卡巴的SW，但要想过卡巴的程序控制那就不那么容易了

举个不恰当的例子。规则是限制注入。假如说一个样本先尝试注入，失败，因为注入失败，所以本来有后续的一系列典型动作就没出现，然后就写了个启动项，改了改主页。如果没有规则限制，注入后续的动作出现后，SW就可以直接拦截回滚了。现在就被改了主页，启动项了。当然，不存在只限制注入的规则，但这种极端情况也同样说明了问题，单步拦截会改变样本行为的可能性。