KIS17应用程序控制之【拦截策略】探讨。。

jone_jys

说明一下规则目的：“禁止Edge/IE下载新的EXE文件。” 规则我截图如下：



从上图中可以看出左边是全局路径，右边是限制的程序”IE已经禁止新建并记录“。（圈出① ②）

默认隐藏了系统程序，实际上我这里制定的是一个全局规则，即，禁止所有程序新建EXE。（隐藏了explore.exe /dllhost.exe /Edge相关新建权限）

在腾讯官方下载管家测试后，成功拦截，日志记录截图如下：



从上图中不知有人能否看粗什么？ 我圈出① ②的地方出现拦截不同的文件名，实际上下载成功后正确的文件名应该是：QQPCDownload.exe。

当用户点击下载按钮时，KIS同时进行了100次拦截，并同时记录了100次。对，你没看错，上图日志记录连续是100次。。。。。

--------------------------------------------------分割--------------------------------------------------

所以，我对以上的拦截策略提出了质疑。

1 ，规则禁止下载的是QQPCDownload.exe，那么你只需负责拦截此程序即可。无论浏览器请求多少次、是100次，1万次，你只需拦截”第一次“即可。

2 ，在同一个时间（留意日志时间）你拦截这么多次且记录这么多次真的不会影响性能吗？

3 ，会给用户一个错觉，我明明只点击了一次下载呀！怎么一下子同时出现这么多弹窗（通知中心提醒的是20次，实际是100次）

说到这里，有人会说，你这是鸡蛋里调骨头故意找茬，明明浏览器请求了这么多次干嘛不拦截这么多次？原因见上1 2 3 。。。

况且，还真有人做到了我上面提到的三点。而且做得相当完美。

McAfee VirusScan Enterprise 8.8   火绒安全软件

下面我上一张之前火绒的截图，VSE88暂时没图了。



看见了嘛！简单，明了，一目了然。VSE88也是跟这一样，之后记录一条日志。


目前我用的安全软件，已知的能做到的有VSE8.8 和火绒。

遗憾的是MES10.xxx也是跟KIS一样的策略，同样会拦截100次记录100次；还有不能做到的就是瑞星，瑞星这货我已经反馈很多次，工程师貌似始终没明白我在说什么。。。


对于以上提出的问题（无论是否合理），希望有渠道的童鞋能够反馈给卡巴工程师，看看人家怎么说。


欢迎探讨。。。。。。。。









附：http://bbs.kafan.cn/thread-2042943-1-1.html

电脑发烧友

可能和ie的策略有关，第一次下载不成功就不停的创建，就像ark第一次加驱失败就不停的变换驱动名一样。
火绒只拦截一次难道是做了识别？
以上纯属猜测。

pal家族

my kaspersky
有问题 有bug，自己动手丰衣足食
最忌讳的就是“会有人帮我反馈的” “bug会解决的”
实际结果“没有人反馈”“bug一直没人反馈”

Wesly.Zhang

pal家族 发表于 2016-9-1 07:18
my kaspersky
有问题 有bug，自己动手丰衣足食
最忌讳的就是“会有人帮我反馈的” “bug会解决的”

Hello,

这个不是Bug......如实报告并没有忽略对于相同拦截记录的日志显示而已。

在用户层面看上去下载了一次，但是对于程序而言，可能已经尝试了N多次。下载文件用户层面上去像是一个请求，实际上在系统来说，先请求数据流，进入缓存，分包创建缓存，分批合成文件，会后从 temp 文件中移出至用户指定位置。

这个问题仅仅是一个建议。不过这个建议应该不会被列在优先日程上，毕竟关心这个方面的用户非常少。

jone_jys

电脑发烧友 发表于 2016-9-1 06:13
可能和ie的策略有关，第一次下载不成功就不停的创建，就像ark第一次加驱失败就不停的变换驱动名一样。
火 ...

嗯，是因为IE进行了缓存请求。。。

jone_jys

pal家族 发表于 2016-9-1 07:18
my kaspersky
有问题 有bug，自己动手丰衣足食
最忌讳的就是“会有人帮我反馈的” “bug会解决的”

不好意思！有点心急。刚入坑，觉得前辈们反馈会更效率。so。。

jone_jys

Wesly.Zhang 发表于 2016-9-1 09:02
Hello,

这个不是Bug......如实报告并没有忽略对于相同拦截记录的日志显示而已。

你好！我没说这是bug，帖子主题明确说明是“策略”问题。。。

你分析到位。

1 用户层面，既然“只点击下载一次”，那么软件显示拦截一次，记录一次，用户这种需求我认为是合理的。

2 程序层面，在下载时，因为下载页面是同一个IP，同一个文件。无论浏览器缓存请求多少次，被下载的文件始终在同一个IP，同一个位置。程序不能被浏览器牵着鼻子走。

迈克菲，火绒之所以做到了是因为他精准的判断了用户的目的，粉碎了浏览器的企图。很显示，卡巴没有“智能”识别出来。

检测到第一次请求并拦截后，后面的相同请求直接无视（默认拦截不记录）这样会不会更好？

这是一个策略问题，多少影响到用户体验，况且在“瞬间同时拦截并记录这么多次”真的不会影响到性能么。。

Wesly.Zhang

jone_jys 发表于 2016-9-1 09:28
你好！我没说这是bug，帖子主题明确说明是“策略”问题。。。

你分析到位。

Hello,

相信没有几个人会遇到你这个问题，也不关心这种细节，通常产品默认都不会记录这些信息，你是要求程序记录这些信息的。它给你记录完整，仅此而已。

在实际运用中，我倒是喜欢每次都记录到拦截情况，方便测试。

jone_jys

Wesly.Zhang 发表于 2016-9-1 12:24
Hello,

相信没有几个人会遇到你这个问题，也不关心这种细节，通常产品默认都不会记录这些信息，你是要 ...

嗯，看来是我要求过高了哈。。。

星云劫

感觉卡巴的hips还是比较适合不折腾的情况。我只设置了一条禁止非受信任组访问我存放文档的文件夹，然后按照论坛里面的建议提高了一下低限制组的权限就没了。感觉相当不错，这样就可以很安逸的用了，反正有云的存在可以动态调整分组。只是不知道卡巴的设置备份会顺带备份hips规则吗？