卡巴的应用程序控制规则中提示操作权限的一些安全性疑问

jone_jys

ccboxes 发表于 2018-4-4 12:15
https://bbs.kafan.cn/thread-2033697-1-1.html

我写的入门，可以看一下。

接3楼再唠叨下报警及日志记录的问题：

当监控到有害对象后，同一个文件右下角会弹窗报警两次；并且会同时记录三条日志“检测到的对象”、“检测到的对象已删除”、“检测到的对象已移至隔离”。
大家看看这三条日志，最后一条不就包括全部了吗？监控到有害时，无论你清除还是删除都要移至隔离区的呀！
所以精简记录一条就好：“检测到的对象已删除/清除并移至隔离区”。
貌似就卡巴会记录这种重复的日志吧！醉了醉了……

pal家族

jone_jys 发表于 2018-4-5 10:20
接3楼再唠叨下报警及日志记录的问题：

当监控到有害对象后，同一个文件右下角会弹窗报警两次；并且会 ...

你想的也太简单了吧
并不是所以检测到的都会被处理，还有需要手动选择的PUP啊，还有需要重启删除的对象啊。
所以，检测，备份，删除/清除，处理失败，根据排除规则不处理，对象的误报，，等等。每一步卡巴都会记录一次。很久之前就是这样了。
卡巴一直都这么严谨啊，这是好事，记录里可以查看很多发生的事。。
你用过KES吗？kes默认没有弹出通知的，只记录，
你进入通知设置，就知道卡巴一共有多少通知类型了。企业版可以根须需要一一进行设置。个人版则内置相关设置不能改。

在新版win10上，卡巴已经可以选择不弹出某一种通知了

jone_jys

pal家族 发表于 2018-4-5 10:33
你想的也太简单了吧
并不是所以检测到的都会被处理，还有需要手动选择的PUP啊，还有需要重启删除的对象 ...

+1。学习了。
另外请教下，卡巴的排除似乎只能排除某一个文件或文件夹，不能排除其它的条件了吗？比如排除某个扩展名、排除一段时间前的新建或修改呢！

pal家族

jone_jys 发表于 2018-4-5 12:14
+1。学习了。
另外请教下，卡巴的排除似乎只能排除某一个文件或文件夹，不能排除其它的条件了吗？比如排 ...

排除扩展名直接添加扩展名即可！
另外的我不清楚怎么实现，不过不想扫描老旧的文件。。可以考虑在文件监控里设置之扫描新文件

jone_jys

pal家族 发表于 2018-4-5 12:24
排除扩展名直接添加扩展名即可！
另外的我不清楚怎么实现，不过不想扫描老旧的文件。。可以考虑在文件监 ...

刚试了下，排除也不支持通配符。你说的直接排除扩展名不知如何操作？
我尝试在下载文件夹下排除/*.dll  或者/.dll都是无效的，一解压还是被咔嚓了。

pal家族

jone_jys 发表于 2018-4-5 12:35
刚试了下，排除也不支持通配符。你说的直接排除扩展名不知如何操作？
我尝试在下载文件夹下排除/*.dll   ...

直接*.dll
我以前试过可以的

jone_jys

pal家族 发表于 2018-4-5 12:50
直接*.dll
我以前试过可以的

难道又是一个BUG？
排除：C:\Users\YuanSheng\Downloads\*.dll或者\.dll都是无效的。 在此路径下解压样本就被咔嚓了。

pal家族

jone_jys 发表于 2018-4-5 13:11
难道又是一个BUG？
排除：C:%users\YuanSheng\Downloads\*.dll或者\.dll都是无效的。 在此路径下解压样 ...

想多了，只可能是有的版本不支持或者没有正确设置罢了。
我这里暂时没有条件验证。。。。