查看: 22946|回复: 73
收起左侧

[卡巴教程] 推荐一套简单好用的卡巴“应用程序控制”设置

  [复制链接]
aiqinghe
发表于 2022-1-16 14:32:22 | 显示全部楼层 |阅读模式
本帖最后由 aiqinghe 于 2022-1-16 21:43 编辑

卡巴斯基作为杀软中立体防护的典范之一,其中的HIPS组件——应用程序控制是重要的组成部分。
以下是简单介绍:所谓HIPS,就是主机入侵防御系统的英文缩写,分注册表防护(RD),文件防护(FD),应用程序防护(AD)三块,在程序运行时拦截程序所有的行为并弹窗报告用户是否放行,一般可以通过预先设定规则来减少弹窗,增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。卡巴的应用程序控制,将AD单列为“管理应用程序”,将FD与RD合并为“管理资源”通过信誉云实时调整分组,配以直观的界面,大大简化了HIPS的使用难度。



能看出来,卡巴的应用程序控制对比传统的HIPS是有很多优势的,比如连接KSN信誉云、整合了机器学习模块、与引擎和防火墙联动等,让大部分用户都能够简单上手。自己的这套设置是力求在简洁有效智能的同时拉高安全属性,发挥HIPS规则的高安全性。自己摸索的,不算大神,有不足或者说错的地方还请各位大佬多多指教



首先要设置的是两个地方
1、在设置-常规-操作模式中把“自动执行推荐操作”打开。这个我看论坛的各位都是推荐关闭以获取更多的个人操作空间,但对于大部分普通用户来说,那些弹窗的确是有些多(我试着把chrome拉进低权限组,光打开个chrome就有13个弹窗)虽然卡巴做了简易化的呈现,但还是很难判断到底是选择允许还是阻止,与其这样繁琐还不如让卡巴自己去判断,再通过对权限组的调整来保障安全性。所以推荐打开,DIY爱好者和大神自行选择。
微信截图_20220116133145.jpg
2、在设置-保护-应用程序控制 页面中把 ”信任具有数字签名“的选项关掉。现在很多流氓软件和病毒也都会挂个正规的数字签名,而且因为卡巴在中国良好的本土化,就算关了这个,大部分常用软件都还是能依据KSN信誉库自动匹配信誉组,对易用性影响不大
微信截图_20220116133824.jpg
3、从上图也能看出,卡巴的逻辑是把不够匹配到高信誉组,同时也没有检测到恶意行为的未知软件放在低信誉组,所以设置的重点就是如何设置低信誉组的规则。以下是低信誉组的推荐设置
微信截图_20220116132834.jpg
首先是资源上,把系统和个人文件的所有写入和删除权限关掉。我看也有大神会在这里自己加入防流氓的一些自定义规则,但每个人的使用场景和需求不一样,盲目上自定义可能会出现兼容问题,所以就只把默认规则里的权限改成了拒绝。
微信截图_20220116132855.jpg 微信截图_20220116132917.jpg 微信截图_20220116132934.jpg 微信截图_20220116133047.jpg
然后是权限设置,需要拒绝的权限有:运行代码注入、读取其他进程的内存、底层磁盘访问、底层文件系统访问、关闭windows、访问账户设置、访问摄像头、访问录音设备、使用浏览器命令行和KLDriver,其他权限都按默认。
这是自己摸索出来的一套规则,试着把wps、微信、tim和chrome都拖进低限制组使用,都可以正常用,虽然看日志有拦截wps和tim很多行为动作(流氓你懂得)但正常的功能都是可以使用的,所以大部分安全的未知文件在这套规则下都是可以使用的,没有兼容问题。
另外强烈推荐打开这些权限右键中的”记录事件“选项,这样万一有个程序在默认低限制下出了问题,都可以去日志报告中去看是阻碍了哪个权限,来判断是给权限、拉入信任组还是有恶意行为阻止运行。
微信截图_20220116141946.jpg 微信截图_20220116142036.jpg

以下是在虚拟机做的一个简单测试(虚拟机装的是kes,和kis功能基本一致可以参考)样本是最新的https://bbs.kafan.cn/thread-2225429-1-1.html 卡巴的扫描是miss的
微信截图_20220116141813.jpg 微信截图_20220116141738.jpg
双击后程序是自动掉入了低限制组,也就自动阻止了恶意行为,成功保护。以卡巴KSN这种云响应速度,只要能挡住未知文件的第一波恶意行为,剩下的等着云杀就行了。

这套是自己摸索出来的兼顾易用和安全的规则,几乎无弹窗自动防护,通过控制低限制组的高危行为+卡巴的自动判断来实现。我看也有大佬说可以关闭低限制组的网络权限,这个就看个人选择吧。
逻辑如下:

微信截图_20220116145127.jpg



新增对付新免杀样本的效果 https://bbs.kafan.cn/thread-2225457-2-1.html 双击全部拦截
微信截图_20220116200555.jpg 微信截图_20220116200607.jpg

评分

参与人数 15人气 +43 收起 理由
qq340496302 + 3 版区有你更精彩: )
x291502676 + 3 版区有你更精彩: )
方长 + 3 感谢提供分享
浮生若梦er + 3 感谢支持,欢迎常来: )
EternalHibiki + 3 精品文章

查看全部评分

OVS
发表于 2022-1-16 16:14:08 | 显示全部楼层
过来支持一下
metaverse
发表于 2022-1-16 17:39:28 | 显示全部楼层
感谢分享,期待这样的技术文章越多越好
野小子SAS
头像被屏蔽
发表于 2022-1-16 18:46:57 来自手机 | 显示全部楼层
卡巴很多人用,但是内存隔离的bug不知道现在还有吗
我是风我是风
发表于 2022-1-16 18:48:25 | 显示全部楼层
谢谢分享,又学习了好东西。
心中的红太阳
头像被屏蔽
发表于 2022-1-16 18:49:41 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
cutekingkids
发表于 2022-1-16 19:06:19 | 显示全部楼层
小白问下楼主,“询问”和“拒绝”差别大吗?“询问”是否是 在用户同意前保持拒绝 的意思?相比直接拒绝会降低安全性吗?
cutekingkids
发表于 2022-1-16 19:06:46 | 显示全部楼层
小白问下楼主,“询问”和“拒绝”差别大吗?“询问”是否是 在用户同意前保持拒绝 的意思?相比直接拒绝会降低安全性吗?
aiqinghe
 楼主| 发表于 2022-1-16 19:27:44 | 显示全部楼层
野小子SAS 发表于 2022-1-16 18:46
卡巴很多人用,但是内存隔离的bug不知道现在还有吗

内存隔离哪个bug 我目前真没见到过。。我看帖子都是和火绒冲突的?
aiqinghe
 楼主| 发表于 2022-1-16 19:32:33 | 显示全部楼层
本帖最后由 aiqinghe 于 2022-1-16 19:36 编辑
cutekingkids 发表于 2022-1-16 19:06
小白问下楼主,“询问”和“拒绝”差别大吗?“询问”是否是 在用户同意前保持拒绝 的意思?相比直接拒绝会 ...

如果不选择“卡巴自动处理威胁”,那“询问”就是会弹窗让你选择是否允许程序的这一行为,就是传统的hips,一切由自己判断。“拒绝”就是直接拒绝,可以去日志查看,不会弹窗。

如果选择“卡巴自动处理威胁”,那“询问”就是摆设了,全自动的,你只有看日志才能知道是拒绝还是放行了。“拒绝”当然还是直接拒绝。
所以如果你是懂一些的,知道程序每一步动作是安全还是危险,能接受hips的弹窗,就关闭“卡巴自动处理威胁”,权限设置“询问”

如果不懂或者想简易使用,就开启“卡巴自动处理威胁”,把低权限组的高危动作直接设置成“拒绝并记录日志”,其他权限设置默认即可

评分

参与人数 1人气 +2 收起 理由
cutekingkids + 2 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 05:24 , Processed in 0.119793 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表