搜索
查看: 10988|回复: 30
收起左侧

[交流探讨] 科普卡巴斯基数据库结构。你的卡巴能杀多少毒?【叫你查看卡巴特征库数量】

  [复制链接]
pal家族
发表于 2017-1-18 10:55:13 | 显示全部楼层 |阅读模式
本帖最后由 pal家族 于 2017-1-18 11:03 编辑

曾几何时,在卡巴斯基界面里就可以查看特征库数量。
那还是我刚刚入坑卡巴斯基的时候呢。后来,后来,官方就把这个功能取消掉了。不太理解额。

还记得我曾经发现过,1年以前(将近2年)的时候,卡巴曾经疯狂削减特征库体积吗?
曾经的卡巴特征库,将近200MB,这还不包括恶意网址库,钓鱼网站库,家长控制数据库,系统监控用的行为流特征库等。。。
后来降到了160MB,再后来130MB,100MB,

直到。直到。现在的2018beta版,特征库体积是多少呢?

84MB

哇哦,不敢相信吧!

大家可以自查相关信息,其实特征库数量一直没有被删掉,而是不显示出来罢了。

反正闲着也是闲着,我来教你们怎么看。




卡巴的数据库到底存在哪里呢?
这里:
QQ截图20170118100815.png

切记,是programdata文件夹,不是programfiles。这个文件夹是隐藏的。

其实我们从上一次目录里开始说起更好
大家需要了解到的几个文件夹都已经在途中表明:
QQ截图20170118101229.png

其他不必要理会。

再回到我们的bases文件夹。
这里面有什么呢?

QQ截图20170118102552.png

图中我已经很详细的标出了几乎每一个文件夹的用途。

有一个没有标出的Si
QQ截图20170118102719.png
user_mode_interceptors_controller

应该可以和这个插入用户进程的东西配合
QQ截图20170118103036.png
也是18版新搞得玩意????。貌似目前稳定性不错。我的程序没有怎么崩溃。。。。

bases底下还有一堆文件夹,都是个个组件的清单文件,升级时要一一比对才行。
也有些其他的,比如说反网络攻击用的IDS驱动
QQ截图20170118103316.png
比如说安全支付,虚拟键盘,反截屏使用的组件(虚拟化技术)
QQ截图20170118103425.png
受信任的程序模式使用的白名单引擎,
QQ截图20170118103511.png

一堆avz文件,用于损害损害,检测rootkit等等。。。

还有一个神奇的dll,用来检测wifi里的设备。
QQ截图20170118103850.png

好了,看完这些,是不是感觉对卡巴了解更多了呢!
需要指出的是,不同版本得卡巴,bases里面的结构可不完全一样啊,我用的18版变化很大。实际上一些东西即使变了也很好找到。




下面开始了解Klava文件夹。

卡巴斯基的升级机制就是不停地叠log文件,然后把新增的内容存到cache缓存里。
所以你可以看到很多log文件。
升级时就是新增log。

QQ截图20170118104306.png

可以看到8:29的时候升级了一次特征库。10.30虽然有更新,但不是反病毒数据库更新。因为log3是空的。下图:
QQ截图20170118104413.png

看下上一次升级内容吧!
用winrar打开log2即可!

QQ截图20170118104538.png

看到kdb.stt了吗!
这就是我们的主角啊!记事本直接用winrar查看!

QQ截图20170118104642.png

这是啥!不言而喻了吧!

7516100;201701171526

反病毒数据库更新与201701171526(我是beta版,而且考虑时差落后很多)
特征库条数:7516100
柒佰伍拾壹万陆仟壹佰!

是不是很神奇。。。。。
特征库大小变小这么多,可以检测的样本没有变少。

通过我的观察,这个数量基本上是维持在这里了。
可以认为卡巴一直在通过升级启发模块特征,合并数据库等手段优化特征库体积。
这个优化还是很赞的。

不过新的扫描引擎,启发引擎有没有在老旧的版本更新呢?我并不清楚,因为我懒得安装一个2014版观察拉!
我只知道KES10最新的测试版,都还在使用160MB的老特征库。

那么新特征库有没有MD5本地入库呢?
我认为应该是没有的。我没有看到相关特征库文件,扫描的结果也不支持这个说法!

评分

参与人数 8分享 +1 人气 +10 收起 理由
尘梦幽然 + 3 版区有你更精彩: )
Wesly.Zhang + 1 很给力!
bbszy + 1 版区有你更精彩: )
诸葛亮 + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )

查看全部评分

本帖被以下淘专辑推荐:

pal家族
 楼主| 发表于 2017-1-18 10:56:36 | 显示全部楼层
本帖最后由 pal家族 于 2017-1-18 11:02 编辑

2L,
Klava里有很多卡巴杀毒用的组件,比如反rootkit,快速扫描,脚本启发,等等
有兴趣的可以自己打开,慢慢摸索。。。

很多时候看名字就知道组件的用途,毛子很直白啊!

这里有一个文件,记录着对病毒的分类,以及威胁等级。相当详细。

[mw_shl_code=css,true][Danger]

HIGH            =  0
MEDIUM          =  1
LOW             =  2
INFORMATIONAL   =  3

[Verdicts]

Undefined_H         =  0, HIGH
Viruses_and_Worms   =  1, HIGH
Trojan_programs     =  2, HIGH
Malicious_tools     =  3, MEDIUM
AdWare              =  4, MEDIUM
PornWare            =  5, MEDIUM
RiskWare            =  6, LOW
Undefined_M         =  7, MEDIUM
X-Files             = 20, INFORMATIONAL
SoftWare            = 21, INFORMATIONAL
UNDETECT            = 30

[Behaviour]

Trojan-ArcBomb          = 100, Trojan_programs
Backdoor                = 101, Trojan_programs
Trojan                  = 102, Trojan_programs
Trojan-Clicker          = 104, Trojan_programs
Trojan-Downloader       = 105, Trojan_programs
Trojan-Dropper          = 106, Trojan_programs
Trojan-Notifier         = 108, Trojan_programs
Trojan-Proxy            = 109, Trojan_programs
Trojan-PSW              = 110, Trojan_programs
Trojan-Spy              = 111, Trojan_programs
Trojan-DDoS             = 113, Trojan_programs
Trojan-IM               = 114, Trojan_programs
Rootkit                 = 115, Trojan_programs
Trojan-SMS              = 116, Trojan_programs
Trojan-Mailfinder       = 312, Trojan_programs
Trojan-Ransom           = 117, Trojan_programs
Trojan-GameThief        = 118, Trojan_programs
Trojan-Banker           = 119, Trojan_programs
Trojan-FakeAV           = 121, Trojan_programs
Packed                  = 120, Trojan_programs
Exploit                 = 302, Trojan_programs

VHO:Trojan                  = 102, Trojan_programs           

Email-Worm              = 200, Viruses_and_Worms
IM-Worm                 = 201, Viruses_and_Worms
IRC-Worm                = 202, Viruses_and_Worms
Net-Worm                = 203, Viruses_and_Worms
P2P-Worm                = 204, Viruses_and_Worms
Worm                    = 205, Viruses_and_Worms
Virus                   = 206, Viruses_and_Worms

VHO:Worm                    = 205, Viruses_and_Worms

EICAR-Test-File         = 206, Viruses_and_Worms

Constructor             = 300, Malicious_tools
DoS                     = 301, Malicious_tools
Flooder                 = 304, Malicious_tools
HackTool                = 305, Malicious_tools
Hoax                    = 306, Malicious_tools
Spoofer                 = 313, Malicious_tools
VirTool                 = 314, Malicious_tools
Email-Flooder           = 315, Malicious_tools
IM-Flooder              = 316, Malicious_tools
SMS-Flooder             = 317, Malicious_tools

VHO:Hoax                    = 306, Malicious_tools

HEUR:Backdoor           = 101, Trojan_programs
HEUR:Exploit            = 302, Trojan_programs
HEUR:Packed             = 120, Trojan_programs
HEUR:Trojan-Clicker     = 104, Trojan_programs
HEUR:Trojan-Downloader  = 105, Trojan_programs
HEUR:Trojan-Dropper     = 106, Trojan_programs
HEUR:Trojan-Notifier    = 108, Trojan_programs
HEUR:Trojan-Proxy       = 109, Trojan_programs
HEUR:Trojan-PSW         = 110, Trojan_programs
HEUR:Trojan-Spy         = 111, Trojan_programs
HEUR:Trojan-DDoS        = 113, Trojan_programs
HEUR:Trojan-IM          = 114, Trojan_programs
HEUR:Trojan-SMS         = 116, Trojan_programs
HEUR:Trojan-Mailfinder  = 312, Trojan_programs
HEUR:Trojan-Ransom      = 117, Trojan_programs
HEUR:Trojan-GameThief   = 118, Trojan_programs
HEUR:Trojan-Banker      = 119, Trojan_programs
HEUR:Trojan-FakeAV      = 121, Trojan_programs
HEUR:Trojan             = 102, Trojan_programs
HEUR:Virus              = 206, Viruses_and_Worms
HEUR:Worm               = 205, Viruses_and_Worms
HEUR:Email-Worm         = 200, Viruses_and_Worms
HEUR:Hoax               = 306, Malicious_tools
HEUR:AdWare             = 400, AdWare

MEM:Backdoor            = 101, Trojan_programs
MEM:Trojan              = 102, Trojan_programs
MEM:Trojan-Clicker      = 104, Trojan_programs
MEM:Trojan-Proxy        = 109, Trojan_programs
MEM:Trojan-PSW          = 110, Trojan_programs
MEM:Rootkit             = 115, Trojan_programs
MEM:KL-TEST-ROOTKIT     = 115, Trojan_programs
MEM:Virus               = 206, Viruses_and_Worms

not-a-virus:AdWare          = 400, AdWare
not-a-virus:Porn-Dialer     = 500, PornWare
not-a-virus:Porn-Downloader = 501, PornWare
not-a-virus:Porn-Tool       = 502, PornWare
not-a-virus:Client-IRC      = 601, RiskWare
not-a-virus:Dialer          = 602, RiskWare
not-a-virus:Downloader      = 603, RiskWare
not-a-virus:Monitor         = 604, RiskWare
not-a-virus:PSWTool         = 605, RiskWare
not-a-virus:RemoteAdmin     = 606, RiskWare
not-a-virus:Server-FTP      = 607, RiskWare
not-a-virus:Server-Proxy    = 608, RiskWare
not-a-virus:Server-Telnet   = 609, RiskWare
not-a-virus:Server-Web      = 610, RiskWare
not-a-virus:RiskTool        = 611, RiskWare
not-a-virus:NetTool         = 612, RiskWare
not-a-virus:Client-P2P      = 613, RiskWare
not-a-virus:Client-SMTP     = 614, RiskWare
not-a-virus:WebToolbar      = 615, RiskWare
not-a-virus:FraudTool       = 616, Undefined_H
not-a-virus:Hoax       = 306, Malicious_tools

not-a-virus:VHO:AdWare          = 400, AdWare
not-a-virus:VHO:Downloader      = 603, RiskWare
not-a-virus:VHO:Monitor         = 604, RiskWare
not-a-virus:VHO:PSWTool         = 605, RiskWare
not-a-virus:VHO:RemoteAdmin     = 606, RiskWare
not-a-virus:VHO:RiskTool        = 611, RiskWare
not-a-virus:VHO:WebToolbar      = 615, RiskWare
not-a-virus:VHO:FraudTool       = 616, Undefined_H
not-a-virus:VHO:Hoax       = 306, Malicious_tools


not-a-virus:HEUR:AdWare          = 400, AdWare
not-a-virus:HEUR:Porn-Dialer     = 500, PornWare
not-a-virus:HEUR:Porn-Downloader = 501, PornWare
not-a-virus:HEUR:Porn-Tool       = 502, PornWare
not-a-virus:HEUR:Client-IRC      = 601, RiskWare
not-a-virus:HEUR:Dialer          = 602, RiskWare
not-a-virus:HEUR:Downloader      = 603, RiskWare
not-a-virus:HEUR:Monitor         = 604, RiskWare
not-a-virus:HEUR:PSWTool         = 605, RiskWare
not-a-virus:HEUR:RemoteAdmin     = 606, RiskWare
not-a-virus:HEUR:Server-FTP      = 607, RiskWare
not-a-virus:HEUR:Server-Proxy    = 608, RiskWare
not-a-virus:HEUR:Server-Telnet   = 609, RiskWare
not-a-virus:HEUR:Server-Web      = 610, RiskWare
not-a-virus:HEUR:RiskTool        = 611, RiskWare
not-a-virus:HEUR:NetTool         = 612, RiskWare
not-a-virus:HEUR:Client-P2P      = 613, RiskWare
not-a-virus:HEUR:Client-SMTP     = 614, RiskWare
not-a-virus:HEUR:WebToolbar      = 615, RiskWare
not-a-virus:HEUR:FraudTool       = 616, Undefined_H
not-a-virus:HEUR:Hoax       = 306, Malicious_tools

not-a-virus:                = 600, Undefined_M

DEFAULT                     = 701, Undefined_H

[Categories]

not-a-virus:AdWare            = 1001
not-a-virus:HEUR:AdWare       = 1001
not-a-virus:VHO:AdWare        = 1001
not-a-virus:RemoteAdmin       = 1002
not-a-virus:HEUR:RemoteAdmin  = 1002
not-a-virus:VHO:RemoteAdmin   = 1002
not-a-virus:PSWTool           = 1003
not-a-virus:HEUR:PSWTool      = 1003
not-a-virus:VHO:PSWTool       = 1003
not-a-virus:Monitor           = 1004
not-a-virus:HEUR:Monitor      = 1004
not-a-virus:VHO:Monitor       = 1004

      
         
;i386
[/mw_shl_code]

评分

参与人数 1人气 +1 收起 理由
dongwenqi + 1 版区有你更精彩: )

查看全部评分

fozzx98
发表于 2017-1-18 11:05:30 | 显示全部楼层
我刚也打开看了,居然也是7516100;201701171526……和楼主的一样。感谢楼主科普!
dongwenqi
发表于 2017-1-18 11:08:39 | 显示全部楼层
期待卡巴斯基2018发布
pal家族
 楼主| 发表于 2017-1-18 11:12:56 | 显示全部楼层
fozzx98 发表于 2017-1-18 11:05
我刚也打开看了,居然也是7516100;201701171526……和楼主的一样。感谢楼主科普!

刚刚我这里又更新了一次。
7514780;201701180055
fozzx98
发表于 2017-1-18 11:15:01 | 显示全部楼层
pal家族 发表于 2017-1-18 11:12
刚刚我这里又更新了一次。
7514780;201701180055

额……重要的是方法。感谢你科普方法!以前没仔细研究过这个!
Sailer.X
发表于 2017-1-18 11:50:59 | 显示全部楼层
感谢科普~等我的趋势到期就换老司机
westbyte
头像被屏蔽
发表于 2017-1-18 15:36:50 | 显示全部楼层
尤金已联系FSB
月影天心
发表于 2017-1-18 16:01:27 | 显示全部楼层
不错,帖子很赞
FUZE
发表于 2017-1-18 16:17:07 | 显示全部楼层
毛子努力了,卡巴这些年的确越来越流畅,除了BUG...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-21 19:23 , Processed in 0.057190 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表