之前已出现一段时间但被ksn报未知的程序是否可认为是无害的？

jony327

具体对应的情况是：1没经过分析所以未知 2经过一定分析但不确定是否有害 3经过分析发现有一些不可靠因素不足以信任  ？

jony327

个人猜测ksn应该有收集信息分析、云沙类的自动分析、人工分析等，结果分3类：信任、未知和有害，其中未知这类不太明确，可能是分析过认为介于中间不应归在信任和有害，也可能是在收集信息中未发现明确有害行为且上传用户量太少而没经过详细分析。

fscs520

什么都没有,你说了算,差评贴

jony327

fscs520 发表于 2022-1-22 17:36
什么都没有,你说了算,差评贴

你要什么？本来不确定的问题提出来讨论 不懂就别乱评论

PingHigh

不能，因为ksn不是万能的

jony327

ksn肯定不万能，本贴讨论的是ksn的运行机制和效果，这方面帮助等没有说清，弄清楚对大家的防护是有帮助的。ksn对未知病毒的第一波当然无效，这里想讨论的是在ksn已经出现一段时间（比如几个月，实际上大多数软件在ksn都有记载）但仍报未知对应的是什么情况，我感觉这些程序无害的概率还是很大的，如是则可以考虑简单放行。

yfdyh000

"放行"是说"应用程序控制"组吗。除非功能受到影响，否则不建议你动。

KSN应该只对已知信誉良好的文件说"安全"，而有些文件使用量一般、开发者不明（无数字签名）、行为特征敏感或多变，卡巴记录了也不会说安全。
假设一个程序会执行特定的远程文件/代码（如更新程序、显示网页等），长期以来行为良好。如果KSN标为安全，而远程内容被替换为恶意文件了，该程序就可能越过HIPS（已信任）执行恶意代码了。这种替换可能是突然的或者仅针对特定电脑投送。

不过，也可能是用户或数据量太少，卡巴还没处理。 https://bbs.kafan.cn/thread-2225715-4-1.html 帖子里少于100用户是已信任，可能是人工处理了误报的结果。

提供两例KSN未知：
一个已存在11年的会显示网页的小程序。

UWP应用，无数字签名。

jony327

你说的替换应该没问题，肯定会验哈希值的。关键就是存在很长时间报未知的程序是很多的（就象你举的例子应该也属无害），这类怎么处理我的理解是基本可以放行（起码多数权限），其实卡巴默认就是这么做的，当然卡巴默认不能防新病毒。