【已更新官方回复】关于卡巴的自保

ZwE.W

今儿在用联想电脑管家清垃圾的时候意外发现有内存加速结束进程这一功能，
于是就突然想试试结束掉卡巴会是啥情况，


结果...没有一点点防备，avpui+防护服务全军覆没，用病毒测试代码测试毫无反应，原本会拦截的样本区网址访问也畅通无阻了。


而且更主要的是，整个过程如果是偷偷进行的，用户将毫无察觉，Windows安全中心也没有弹病毒防护关闭的警告，托盘图标如果鼠标不移过去还是一只可爱小熊挂在那里，一副天下太平的样子...等待30秒左右卡巴才会慢悠悠的重新启动。

我记着原来用PCHunter这类工具测试的时候结束卡巴进程直接会触发蓝屏，世界核平都得死的那种。这区区一个联想电脑管家一下就干掉了？卡巴的自我保护现在这是什么情况？

使用的卡巴版本

===================================================================
后续：更新了最新的H补丁后依旧可以被kill

ZwE.W

后续：卡巴方面已知晓此问题并在进行测试分析，后续如果有回复的话我会再同步给大家。


====================================================
很多老哥说驱动对抗没有意义，其实我也认同这种观点，可是由于Windows系统的开放性以及近年来各种新奇的攻击方法不断出现，很难讲类似的攻击手段不会出现，或者是相关驱动被白利用等等。
很久很久之前(360赠送ESET半年激活码的时候)，家里电脑装的ESET当时就是被病毒干掉了，导致最后不得不重装系统。

卡饭里面的我们作为很难被大众理解的，会掏真金白银去购买使用付费杀软的用户，对付费杀软的期望就是相对免费杀软来讲更高更全面的的防护能力，保护自己电脑的数据、隐私安全。而作为全球排名数一数二的卡巴，我觉得这种如果被利用就会导致严重后果的问题不应该出现。

毕竟，安全攻防就相当于两个顶尖的武林高手同台竞技，稍有破绽就会被对手捕捉、一击毙命。
====================================================
卡巴官方最新回复：

dongwenqi

https://bbs.kafan.cn/forum.php?m ... &fromuid=449422

anthonyqian

dongwenqi 发表于 2022-2-8 18:32
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2223345&pid=50037288&fromuid=449422

楼主提到：

用病毒测试代码测试毫无反应，原本会拦截的样本区网址访问也畅通无阻了。

这样看 客服这个回复就有问题了。

zandalong

从来不清垃圾，不做任何所谓的系统优化。
也许联想电脑管家挂的钩子更底层，或者是只有搭配联想自有的电脑才可以触发。

可以试一下用自己DIY的PC装联想电脑管家，看看能不能复现。

雨点有志向

https://bbs.kafan.cn/forum.php?m ... page=1&mobile=2
这个帖子是我发的，电脑是：联想小新Pro 13 2020 i7版本

ZwE.W

雨点有志向 发表于 2022-2-8 19:38
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2223345&extra=&page=1&mobile=2
这个帖子是我发的， ...

一模一样，我看回复里面的客服的说辞压根不对啊，服务都已经被杀了

ZwE.W

anthonyqian 发表于 2022-2-8 18:39
楼主提到：
这样看 客服这个回复就有问题了。

是的，经过测试并不仅仅是GUI被杀了，整个防病毒服务都已经停了

ZwE.W

zandalong 发表于 2022-2-8 18:48
从来不清垃圾，不做任何所谓的系统优化。
也许联想电脑管家挂的钩子更底层，或者是只有搭配联想自有的电脑 ...

如果钩子更加底层就可以被杀...那我觉得这个自我保护也会在某些极特殊攻击下挂掉

fscs520

ZwE.W 发表于 2022-2-8 21:50
一模一样，我看回复里面的客服的说辞压根不对啊，服务都已经被杀了

说多无用，影子模式全盘保护下，整个病毒，试一下，就知道了

ZwE.W

fscs520 发表于 2022-2-8 23:02
说多无用，影子模式全盘保护下，整个病毒，试一下，就知道了

已经用EICAR Test File和已知能拦截的恶意网址测试过了，均未拦截