【已更新官方回复】关于卡巴的自保

显示全部楼层 · 发表于 2022-2-8 23:54:22

这得让卡巴工作人员看到啊，感觉不安全了呢。

显示全部楼层 · 发表于 2022-2-9 00:33:41

liones 发表于 2022-2-8 23:54
这得让卡巴工作人员看到啊，感觉不安全了呢。

刚刚给卡巴中国区的技术支持发了邮件，看看怎么说吧

显示全部楼层 · 发表于 2022-2-9 00:44:37

ZwE.W 发表于 2022-2-9 00:33
刚刚给卡巴中国区的技术支持发了邮件，看看怎么说吧

期待回复

显示全部楼层 · 发表于 2022-2-9 08:57:51

ZwE.W 发表于 2022-2-8 23:27
已经用EICAR Test File和已知能拦截的恶意网址测试过了，均未拦截

有点外行呀，学习的东西还不够用，加油

显示全部楼层 · 发表于 2022-2-9 09:02:55

搞这么复杂，现在好像依然可以通过改本地系统时间的方式直接干废卡巴

显示全部楼层 · 发表于 2022-2-9 09:20:53

ZwE.W 发表于 2022-2-8 21:54
如果钩子更加底层就可以被杀...那我觉得这个自我保护也会在某些极特殊攻击下挂掉

应该是系统权限更高导致的，所以说有可能只有在联想电脑上才可以复现。

显示全部楼层 · 发表于 2022-2-9 09:41:23

无意义，驱动之间对抗现在毫无意义，又不是急救箱之类的产品。主流反病毒软件拦截的都是驱动的加载。
联想电脑管家之所以能加载驱动，那是因为在卡巴的白名单。
你自己编写的驱动，windows现在根本不能加载，因为需要数字签名+微软兼容性签名，一般非正规公司产品是搞不到的

显示全部楼层 · 发表于 2022-2-9 11:10:13

你一个加了驱的受信任软件想搞卡巴不是很容易吗

再说杀毒软件拦截的是诸如加驱、底层磁盘访问这类东西，搞什么内核对抗只会是用户遭殃，反复蓝屏。

显示全部楼层 · 发表于 2022-2-9 17:57:34

MagicFuzzX 发表于 2022-2-9 09:41
无意义，驱动之间对抗现在毫无意义，又不是急救箱之类的产品。主流反病毒软件拦截的都是驱动的加载。
联想 ...

实际上，微软一天不回收驱动的所有权，自己编写的驱动不需要任何签名很多方法加载，而且都能穿hips

显示全部楼层 · 发表于 2022-2-10 13:41:55

这个得观望一下，看看官方的回应。

[交流探讨] 【已更新官方回复】关于卡巴的自保