科普卡巴斯基数据库结构。你的卡巴能杀多少毒？【叫你查看卡巴特征库数量】

pal家族

曾几何时，在卡巴斯基界面里就可以查看特征库数量。
那还是我刚刚入坑卡巴斯基的时候呢。后来，后来，官方就把这个功能取消掉了。不太理解额。

还记得我曾经发现过，1年以前（将近2年）的时候，卡巴曾经疯狂削减特征库体积吗？
曾经的卡巴特征库，将近200MB，这还不包括恶意网址库，钓鱼网站库，家长控制数据库，系统监控用的行为流特征库等。。。
后来降到了160MB，再后来130MB，100MB，

直到。直到。现在的2018beta版，特征库体积是多少呢？

84MB

哇哦，不敢相信吧！

大家可以自查相关信息，其实特征库数量一直没有被删掉，而是不显示出来罢了。

反正闲着也是闲着，我来教你们怎么看。




卡巴的数据库到底存在哪里呢？
这里：


切记，是programdata文件夹，不是programfiles。这个文件夹是隐藏的。

其实我们从上一次目录里开始说起更好
大家需要了解到的几个文件夹都已经在途中表明：


其他不必要理会。

再回到我们的bases文件夹。
这里面有什么呢？



图中我已经很详细的标出了几乎每一个文件夹的用途。

有一个没有标出的Si

user_mode_interceptors_controller

应该可以和这个插入用户进程的东西配合

也是18版新搞得玩意？？？？。貌似目前稳定性不错。我的程序没有怎么崩溃。。。。

bases底下还有一堆文件夹，都是个个组件的清单文件，升级时要一一比对才行。
也有些其他的，比如说反网络攻击用的IDS驱动

比如说安全支付，虚拟键盘，反截屏使用的组件（虚拟化技术）

受信任的程序模式使用的白名单引擎，


一堆avz文件，用于损害损害，检测rootkit等等。。。

还有一个神奇的dll，用来检测wifi里的设备。


好了，看完这些，是不是感觉对卡巴了解更多了呢！
需要指出的是，不同版本得卡巴，bases里面的结构可不完全一样啊，我用的18版变化很大。实际上一些东西即使变了也很好找到。




下面开始了解Klava文件夹。

卡巴斯基的升级机制就是不停地叠log文件，然后把新增的内容存到cache缓存里。
所以你可以看到很多log文件。
升级时就是新增log。



可以看到8:29的时候升级了一次特征库。10.30虽然有更新，但不是反病毒数据库更新。因为log3是空的。下图：


看下上一次升级内容吧！
用winrar打开log2即可！



看到kdb.stt了吗！
这就是我们的主角啊！记事本直接用winrar查看！



这是啥！不言而喻了吧！

7516100;201701171526

反病毒数据库更新与201701171526（我是beta版，而且考虑时差落后很多）
特征库条数：7516100
柒佰伍拾壹万陆仟壹佰！

是不是很神奇。。。。。
特征库大小变小这么多，可以检测的样本没有变少。

通过我的观察，这个数量基本上是维持在这里了。
可以认为卡巴一直在通过升级启发模块特征，合并数据库等手段优化特征库体积。
这个优化还是很赞的。

不过新的扫描引擎，启发引擎有没有在老旧的版本更新呢？我并不清楚，因为我懒得安装一个2014版观察拉！
我只知道KES10最新的测试版，都还在使用160MB的老特征库。

那么新特征库有没有MD5本地入库呢？
我认为应该是没有的。我没有看到相关特征库文件，扫描的结果也不支持这个说法！

pal家族

2L，
Klava里有很多卡巴杀毒用的组件，比如反rootkit，快速扫描，脚本启发，等等
有兴趣的可以自己打开，慢慢摸索。。。

很多时候看名字就知道组件的用途，毛子很直白啊！

这里有一个文件，记录着对病毒的分类，以及威胁等级。相当详细。

[mw_shl_code=css,true][Danger]

HIGH            =  0
MEDIUM          =  1
LOW             =  2
INFORMATIONAL   =  3

[Verdicts]

Undefined_H         =  0, HIGH
Viruses_and_Worms   =  1, HIGH
Trojan_programs     =  2, HIGH
Malicious_tools     =  3, MEDIUM
AdWare              =  4, MEDIUM
PornWare            =  5, MEDIUM
RiskWare            =  6, LOW
Undefined_M         =  7, MEDIUM
X-Files             = 20, INFORMATIONAL
SoftWare            = 21, INFORMATIONAL
UNDETECT            = 30

[Behaviour]

Trojan-ArcBomb          = 100, Trojan_programs
Backdoor                = 101, Trojan_programs
Trojan                  = 102, Trojan_programs
Trojan-Clicker          = 104, Trojan_programs
Trojan-Downloader       = 105, Trojan_programs
Trojan-Dropper          = 106, Trojan_programs
Trojan-Notifier         = 108, Trojan_programs
Trojan-Proxy            = 109, Trojan_programs
Trojan-PSW              = 110, Trojan_programs
Trojan-Spy              = 111, Trojan_programs
Trojan-DDoS             = 113, Trojan_programs
Trojan-IM               = 114, Trojan_programs
Rootkit                 = 115, Trojan_programs
Trojan-SMS              = 116, Trojan_programs
Trojan-Mailfinder       = 312, Trojan_programs
Trojan-Ransom           = 117, Trojan_programs
Trojan-GameThief        = 118, Trojan_programs
Trojan-Banker           = 119, Trojan_programs
Trojan-FakeAV           = 121, Trojan_programs
Packed                  = 120, Trojan_programs
Exploit                 = 302, Trojan_programs

VHO:Trojan                  = 102, Trojan_programs           

Email-Worm              = 200, Viruses_and_Worms
IM-Worm                 = 201, Viruses_and_Worms
IRC-Worm                = 202, Viruses_and_Worms
Net-Worm                = 203, Viruses_and_Worms
P2P-Worm                = 204, Viruses_and_Worms
Worm                    = 205, Viruses_and_Worms
Virus                   = 206, Viruses_and_Worms

VHO:Worm                    = 205, Viruses_and_Worms

EICAR-Test-File         = 206, Viruses_and_Worms

Constructor             = 300, Malicious_tools
DoS                     = 301, Malicious_tools
Flooder                 = 304, Malicious_tools
HackTool                = 305, Malicious_tools
Hoax                    = 306, Malicious_tools
Spoofer                 = 313, Malicious_tools
VirTool                 = 314, Malicious_tools
Email-Flooder           = 315, Malicious_tools
IM-Flooder              = 316, Malicious_tools
SMS-Flooder             = 317, Malicious_tools

VHO:Hoax                    = 306, Malicious_tools

HEUR:Backdoor           = 101, Trojan_programs
HEUR:Exploit            = 302, Trojan_programs
HEUR:Packed             = 120, Trojan_programs
HEUR:Trojan-Clicker     = 104, Trojan_programs
HEUR:Trojan-Downloader  = 105, Trojan_programs
HEUR:Trojan-Dropper     = 106, Trojan_programs
HEUR:Trojan-Notifier    = 108, Trojan_programs
HEUR:Trojan-Proxy       = 109, Trojan_programs
HEUR:Trojan-PSW         = 110, Trojan_programs
HEUR:Trojan-Spy         = 111, Trojan_programs
HEUR:Trojan-DDoS        = 113, Trojan_programs
HEUR:Trojan-IM          = 114, Trojan_programs
HEUR:Trojan-SMS         = 116, Trojan_programs
HEUR:Trojan-Mailfinder  = 312, Trojan_programs
HEUR:Trojan-Ransom      = 117, Trojan_programs
HEUR:Trojan-GameThief   = 118, Trojan_programs
HEUR:Trojan-Banker      = 119, Trojan_programs
HEUR:Trojan-FakeAV      = 121, Trojan_programs
HEUR:Trojan             = 102, Trojan_programs
HEUR:Virus              = 206, Viruses_and_Worms
HEUR:Worm               = 205, Viruses_and_Worms
HEUR:Email-Worm         = 200, Viruses_and_Worms
HEUR:Hoax               = 306, Malicious_tools
HEUR:AdWare             = 400, AdWare

MEM:Backdoor            = 101, Trojan_programs
MEM:Trojan              = 102, Trojan_programs
MEM:Trojan-Clicker      = 104, Trojan_programs
MEM:Trojan-Proxy        = 109, Trojan_programs
MEM:Trojan-PSW          = 110, Trojan_programs
MEM:Rootkit             = 115, Trojan_programs
MEM:KL-TEST-ROOTKIT     = 115, Trojan_programs
MEM:Virus               = 206, Viruses_and_Worms

not-a-virus:AdWare          = 400, AdWare
not-a-virus:Porn-Dialer     = 500, PornWare
not-a-virus:Porn-Downloader = 501, PornWare
not-a-virus:Porn-Tool       = 502, PornWare
not-a-virus:Client-IRC      = 601, RiskWare
not-a-virus:Dialer          = 602, RiskWare
not-a-virus:Downloader      = 603, RiskWare
not-a-virus:Monitor         = 604, RiskWare
not-a-virus:PSWTool         = 605, RiskWare
not-a-virus:RemoteAdmin     = 606, RiskWare
not-a-virus:Server-FTP      = 607, RiskWare
not-a-virus:Server-Proxy    = 608, RiskWare
not-a-virus:Server-Telnet   = 609, RiskWare
not-a-virus:Server-Web      = 610, RiskWare
not-a-virus:RiskTool        = 611, RiskWare
not-a-virus:NetTool         = 612, RiskWare
not-a-virus:Client-P2P      = 613, RiskWare
not-a-virus:Client-SMTP     = 614, RiskWare
not-a-virus:WebToolbar      = 615, RiskWare
not-a-virus:FraudTool       = 616, Undefined_H
not-a-virus:Hoax       = 306, Malicious_tools

not-a-virus:VHO:AdWare          = 400, AdWare
not-a-virus:VHO:Downloader      = 603, RiskWare
not-a-virus:VHO:Monitor         = 604, RiskWare
not-a-virus:VHO:PSWTool         = 605, RiskWare
not-a-virus:VHO:RemoteAdmin     = 606, RiskWare
not-a-virus:VHO:RiskTool        = 611, RiskWare
not-a-virus:VHO:WebToolbar      = 615, RiskWare
not-a-virus:VHO:FraudTool       = 616, Undefined_H
not-a-virus:VHO:Hoax       = 306, Malicious_tools


not-a-virus:HEUR:AdWare          = 400, AdWare
not-a-virus:HEUR:Porn-Dialer     = 500, PornWare
not-a-virus:HEUR:Porn-Downloader = 501, PornWare
not-a-virus:HEUR:Porn-Tool       = 502, PornWare
not-a-virus:HEUR:Client-IRC      = 601, RiskWare
not-a-virus:HEUR:Dialer          = 602, RiskWare
not-a-virus:HEUR:Downloader      = 603, RiskWare
not-a-virus:HEUR:Monitor         = 604, RiskWare
not-a-virus:HEUR:PSWTool         = 605, RiskWare
not-a-virus:HEUR:RemoteAdmin     = 606, RiskWare
not-a-virus:HEUR:Server-FTP      = 607, RiskWare
not-a-virus:HEUR:Server-Proxy    = 608, RiskWare
not-a-virus:HEUR:Server-Telnet   = 609, RiskWare
not-a-virus:HEUR:Server-Web      = 610, RiskWare
not-a-virus:HEUR:RiskTool        = 611, RiskWare
not-a-virus:HEUR:NetTool         = 612, RiskWare
not-a-virus:HEUR:Client-P2P      = 613, RiskWare
not-a-virus:HEUR:Client-SMTP     = 614, RiskWare
not-a-virus:HEUR:WebToolbar      = 615, RiskWare
not-a-virus:HEUR:FraudTool       = 616, Undefined_H
not-a-virus:HEUR:Hoax       = 306, Malicious_tools

not-a-virus:                = 600, Undefined_M

DEFAULT                     = 701, Undefined_H

[Categories]

not-a-virus:AdWare            = 1001
not-a-virus:HEUR:AdWare       = 1001
not-a-virus:VHO:AdWare        = 1001
not-a-virus:RemoteAdmin       = 1002
not-a-virus:HEUR:RemoteAdmin  = 1002
not-a-virus:VHO:RemoteAdmin   = 1002
not-a-virus:PSWTool           = 1003
not-a-virus:HEUR:PSWTool      = 1003
not-a-virus:VHO:PSWTool       = 1003
not-a-virus:Monitor           = 1004
not-a-virus:HEUR:Monitor      = 1004
not-a-virus:VHO:Monitor       = 1004

      
         
;i386
[/mw_shl_code]

fozzx98

我刚也打开看了，居然也是7516100;201701171526……和楼主的一样。感谢楼主科普！

dongwenqi

期待卡巴斯基2018发布

pal家族

fozzx98 发表于 2017-1-18 11:05
我刚也打开看了，居然也是7516100;201701171526……和楼主的一样。感谢楼主科普！

刚刚我这里又更新了一次。
7514780;201701180055

fozzx98

pal家族 发表于 2017-1-18 11:12
刚刚我这里又更新了一次。
7514780;201701180055

额……重要的是方法。感谢你科普方法！以前没仔细研究过这个！

感谢科普~等我的趋势到期就换老司机

westbyte

尤金已联系FSB

月影天心

不错，帖子很赞

FUZE

毛子努力了，卡巴这些年的确越来越流畅，除了BUG...