KES设置后双击，看看效果吧。不设置，真心渣。

jefffire

墨家小子 发表于 2014-10-3 20:47
我刚试了一个样本，过卡巴的SW，但要想过卡巴的程序控制那就不那么容易了

HIPS全盘询问，当然不好过，即使是不完整的HIPS。

jefffire

墨家小子 发表于 2014-10-3 20:47
我刚试了一个样本，过卡巴的SW，但要想过卡巴的程序控制那就不那么容易了

实际上现在的争议是。我认为HIPS的防护集合和行为分析的防护集合，当两者共存时并非是简单的取并集。也就是说两者并非独立变量，而是存在关联的。

清道夫900

墨家小子 发表于 2014-10-3 20:45
感觉这句话似乎不对，需要验证

我觉得程序控制才是最后的防线

其实SW没有想象中的那么强，只是老版本自带规则的升级，加了回滚、隔离之流，正因为没有APC拦截点多，所以高危，感染、释放、注入等行为才会触发SW、但是这种高危的程序，卡巴利用引擎启发和数据库+ksn直接就入了高限制组，所以，我才敢说SW是最后一道防线，而不是最坚固的防线，APC设置好了，双击，基本没问题，除非漏洞+bug会侧滑。

jefffire

清道夫900 发表于 2014-10-3 21:03
其实SW没有想象中的那么强，只是老版本自带规则的升级，加了回滚、隔离之流，正因为没有APC拦截点多，所 ...

是不怎么强，同类比较之下不如微点。

墨家小子

jefffire 发表于 2014-10-3 21:00
实际上现在的争议是。我认为HIPS的防护集合和行为分析的防护集合，当两者共存时并非是简单的取并集。也 ...

感觉卡巴的流程是先走SW然后再过程序控制，因为SW不需要用户判断，HIPS就不行了，所以卡巴把HIPS放在最后，即便是放在最后也有自动归类的选项，这样看来我赶脚卡巴的防御设置还是比较合理的

所以我想说，学习挖掘机技术哪里强！！！

那啥 ，其实我觉得KAV+SSF才是最好的要大于KIS，别看KIS的hips排在SSF前面

墨家小子

清道夫900 发表于 2014-10-3 21:03
其实SW没有想象中的那么强，只是老版本自带规则的升级，加了回滚、隔离之流，正因为没有APC拦截点多，所 ...

SW是自动化的产物，不可能作为最后的屏障的，手动挡到什么时候才是王道，人脑 嘿嘿

清道夫900

jefffire 发表于 2014-10-3 21:06
是不怎么强，同类比较之下不如微点。

嗯，这个确实。

jefffire

墨家小子 发表于 2014-10-3 21:20
感觉卡巴的流程是先走SW然后再过程序控制，因为SW不需要用户判断，HIPS就不行了，所以卡巴把HIPS放在最后 ...

默认设置是这样的。低风险组，就是HIPS不限制，只靠SW。
自动归类除了云黑白名单，未知主要靠启发引擎分析免杀难度不是很大。
所以挖掘机技术，还是自己动手最强

清道夫900

墨家小子 发表于 2014-10-3 21:21
SW是自动化的产物，不可能作为最后的屏障的，手动挡到什么时候才是王道，人脑 嘿嘿

不争对错了，各有理解吧。没事可以趴趴官方技术文档看看。都是爱好，讨论讨论生活就不那么无聊了。

说到强：挖掘机神马的都弱爆了，人脑还是自动，看毛豆，真心强。

墨家小子

来试试这个吧 我这里即使修改低权限组 样本还是能写入启动项 但是注销之后看不到样本启动 奇怪了
http://bbs.kafan.cn/thread-1774606-1-1.html
@清道夫900