远古勒索病毒, 能过GD

huang1111

xingkong520 发表于 2019-5-6 18:47
顺便我做个好人，来科普一下卡巴hips分组方式希望各位不要互相伤害了，有时间一起学习岂不美哉？

和他讲不清楚也需要讲了，讲了也是徒劳

温馨小屋

xingkong520 发表于 2019-5-6 18:43
有点抱歉的是，hips是含有文件病毒检测的，所以能不能启发式报毒，这你要看卡巴是怎么安排的，但是在楼上 ...

1：hips在定义上是没有病毒检测功能的，在卡巴上有和其他组件的联动所以造成了病毒检测的假象，应用程序控制检测文件是为了给他分组，我记得2010年左右的卡巴应用程序控制检测程序会花老长时间，检测之后会进行分组，最近的卡巴版本似乎不这样了，在默认设置下这个组件基本没啥存在感，非交互模式低限制组提示=允许，所以基本不会有拦截的情况发生，拉到低限制组也不会对程序运行产生多大影响，判定行为方面还得看SW。
2：关闭hips确实是实际情况里不会发生的，但是这里讨论这个问题根本没意义，楼主已经说了，这个是老毒，肯定都入库了，默认配置肯定扫描杀，根本没有意义。楼主发现这个样本行为过了GD主防，说明这个毒的行为可能有不寻常的地方，所以发上来测一下主防，看看各家的主防规则能不能搞定这个病毒，扫描是肯定会杀的，不测我也知道。然后你就开始混淆概念了，我没说过卡巴这个HIPS没用，肯定有用，但是测试主防时HIPS会直接拉黑造成干扰，直接不信任组了行为都没跑那还能测主防吗？如果这个是全新的病毒，没入库，没拉黑，不还得看SW出手吗？所以这是在模拟用户遇到全新病毒攻击时行为防护能不能及时处理，建议你仔细看帖之后再回复。
3：我觉得其实焦点不在这个定义上，主要原因是他没理解清楚楼主说测主防是什么意思，也不了解卡巴的机制。样本区一般说测主防都是测行为防护，任何拉黑入库什么的都是没有意义的，这就是为了模拟全新病毒入侵的环境。

我以前测卡巴的时候都是只开SW+断网

xingkong520

温馨小屋 发表于 2019-5-6 21:44
1：hips在定义上是没有病毒检测功能的，在卡巴上有和其他组件的联动所以造成了病毒检测的假象，应用程序 ...

你在广义上解释hips当然没有病毒检测功能，但是卡巴对于hips的用法就如我之前所示的一样，检测完毕再分组，你也别把卡巴2010的时代说出来了，时代不同，结果也不同，组件联动同样也是默认情况下用户必须进行的操作，无可避免，行为拦截的检测，没有一个统一标准可言，而且毒区如果连hips不作为主防一说也有人认可，那我认为这病毒也是白测试了，这个定义在很多年前有过争论，但是最终的结果还是hips是主防的一项技术。你说的hips有联动效应不错，但是hips在清理病毒时所具有的作用并非你认为的hips是摆设，你可以去看一下高级清除技术，他是如何依靠hips来实现高效的病毒清除，我认为hips模块，无论在是否测试主防上面，都不应该关闭，hips可以体现卡巴目前对于该病毒的认知水准，以及处理方法，同样，也可以查看卡巴是否能在hips的帮助下成功清除病毒。
当然，如果你还是认为检测病毒与实际意义不需要相提并论，那我认为也失去了病毒检测的必要，检测病毒为的就是给用户更好的安全，而不是单独测试某个正常用户完全不可能自行搞出的环境下测试病毒，这样，你永远只是理论家，要说的也这么多了，爱听就听吧，不听当我说屁话也不是不可以。

温馨小屋

xingkong520 发表于 2019-5-6 22:28
你在广义上解释hips当然没有病毒检测功能，但是卡巴对于hips的用法就如我之前所示的一样，检测完毕再分组 ...

你还是没理解，这是老毒，不可能在正常环境下测试，所以只能人为制造环境。我一直说的都是发现病毒的环节，你非得说清除病毒干啥，在发现病毒环节HIPS确实作用不大，卡巴的清除能力一流的我知道，现在的关键就是能不能发现病毒，别跑题了。2010到现在应用程序控制改变都不大，不要再找奇怪的理由了。你还是没理解测试的目的，要是过了扫描的话就直接靠SW挡了，HIPS如果没自定义规则的话基本不会拦截，测试SW可以让大家了解卡巴行为主防到底啥水平，因为一般情况下是很少触发这个组件的，这就是实际意义，在拉黑之前SW就是用户最后的救命稻草，看你也是新人，建议多泡几个月论坛再来交流，理解能力实在堪忧

kaba666

温馨小屋 发表于 2019-5-6 21:44
1：hips在定义上是没有病毒检测功能的，在卡巴上有和其他组件的联动所以造成了病毒检测的假象，应用程序 ...

你说得没错，以前那个卡巴2010叫安全部队，在双击程序的时候就开始分析，然后分组！这个时候要卡半天！现在的卡巴分组确实没意义，基本靠云来分组，关闭了云，就靠更新的数据来分组，除了认可的有数字签名的在受信任组，其它的大部分都在低限制组，从来没见有程序分到高限制组，不受信任的的都是卡巴PDM报警联动后被应用程序控制限制到不受信任组中，但这程序也被卡巴清除了！

温馨小屋

kaba666 发表于 2019-5-6 23:17
你说得没错，以前那个卡巴2010叫安全部队，在双击程序的时候就开始分析，然后分组！这个时候要卡半天！现 ...

在2010那时候还有分析条的时候我见过进高限制组的，但也基本没啥意义，高限制组很多操作都是禁止的，程序直接就崩了，恶意行为没跑出来，正常功能也用不了，那时候还有主动防御这个组件，现在卡巴智能化了基本都削没了。现在的低限制组在自动模式下就是放过，基本跟受信任组没啥区别了，最后还得靠SW

温馨小屋

huang1111 发表于 2019-5-6 20:49
和他讲不清楚也需要讲了，讲了也是徒劳

自己的认知都有问题怎么可能讲清楚呢？说实话xingkong520兄弟的理解能力还不如你呢，每次一回帖就是离题万里

kaba666

温馨小屋 发表于 2019-5-6 23:24
在2010那时候还有分析条的时候我见过进高限制组的，但也基本没啥意义，高限制组很多操作都是禁止的，程序 ...

对对对，你说得很对！真正用卡巴的才了解！

xingkong520

温馨小屋 发表于 2019-5-6 21:44
1：hips在定义上是没有病毒检测功能的，在卡巴上有和其他组件的联动所以造成了病毒检测的假象，应用程序 ...

1、

所以这是在模拟用户遇到全新病毒攻击时行为防护能不能及时处理

样本区一般说测主防都是测行为防护，任何拉黑入库什么的都是没有意义的，这就是为了模拟全新病毒入侵的环境。

首先我需要告诉你，断网仅开启系统监控模块，你也无法模拟用户遇到全新病毒时候的状态，监控模块的规则会和反病毒数据库一起更新，单纯的开启这个版块也无法达到如此所谓的全新病毒环境，唯一可以证明卡巴遭遇到全新病毒时候的操作应该是下载2017版本的，并且直接断网安装的环境下，仅保留系统监控模块，才能有所谓的正确结果2、

在 64 位操作系统下应用程序的权限设置在执行如下操作不可用：

直接访问物理内存
打印机驱动程序管理
创建服务
以读取方式打开服务
以写入方式打开服务
修改服务配置
管理服务
启动服务
删除服务
访问浏览器的内部数据
访问操作系统的关键对象
访问密码存储
调整调试工具权限
使用操作系统的程序界面
使用操作系统的程序界面（网域名称系统（DNS））。
在 64 位 Windows 8 下应用程序的权限设置在执行如下操作不可用：

向其他进程发送窗口消息
可疑操作
拦截程序安装
拦截线程中的传入事件
拍截图。

3、除此之外，卡巴的SW，对于部分威胁较低的操作，都是忽略的，完全依赖SW，并不能准确测试卡巴整体能力4、请不要人身攻击！

可是你这不是主防啊，是云拉黑啊

这是你在十三楼的回复5楼的内容，5楼的病毒名称很明显是HEUR报法，也请你不要用想象说话，视力问题那可要赶紧去医院看看，免得加深。

@kaba666  

卡巴2010叫安全部队

卡巴斯基2010的安全部队是现在的卡巴斯基安全软件，我很早以前就使用卡巴了，那时候还是盒装卡巴，请不要乱质疑他人！

kaba666

xingkong520 发表于 2019-5-7 20:18
1、

首先我需要告诉你，断网仅开启系统监控模块，你也无法模拟用户遇到全新病毒时候的状态，监控模块 ...

兄弟：你艾特我干嘛呢？不明白，我好像没回你的贴吧？你还说我眼睛不好？是在说我吗？75楼和78楼是我的回帖，只回的是（温馨小屋）！？