搜索
查看: 17056|回复: 119
收起左侧

[分享] 新版 Kaspersky Anti-Ransomware Tool 分享

  [复制链接]
anthonyqian
发表于 2022-4-14 11:30:55 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2022-5-9 12:31 编辑

Kaspersky Anti-Ransomware Tool (KART)从推出到现在已经有五年多时间了,但由于卡巴斯基官方没有大力宣传这个小工具,甚至都没在官网首页介绍过它,感觉它一直不温不火的。KART 简单来说,就是把卡巴斯基最精华的两部分(SW主动防御和KSN云保护)提取出来,供大家免费使用。基于这个特性,我认为KART非常适合用来做主防薄弱的杀软的补充。尽管卡巴斯基官方宣称KART可以和市售大多数杀软一起使用,但我觉得不太适合与主防完善且激进的杀软一同使用。因此,我觉得适合与KART搭配使用的杀软包括 ESET、Avira 和 Microsoft Defender。KART我看了一下,是有本地毒库的,也体现了卡巴主防行为监控和本地与云端毒库联动的特点。

KART 应该是在今年全面更新了界面(如下图),使它与卡巴斯基最新的产品风格保持一致。暗黑色的配色让整个产品显得富有科技感。



下面从激活开始,欣赏一下KART的全新的界面吧~

首先,和旧版KART一样,需要填写一下个人信息获取激活码才能使用。





新版的KART加入了(鸡肋的)病毒扫描功能,我有点忘了旧版KART有没有扫描功能,印象里好像是没有的。新加入的扫描器只能在联网环境下使用,应该是由于本地没有完整病毒库的关系,全靠KSN进行扫描,这一点非常像诺顿的Power Eraser。 扫描出威胁后,无法自动移除病毒,只能自动加入阻止清单,你也可以根据路径手动删除。而且这个扫描器有每周扫描一次的设定,你还无法关闭。不过据我观察,KART的扫描属于低优先级扫描,占用的CPU比较少,速度也略慢和KIS的后台扫描颇为类似,对日常使用干扰不明显。





功能方面如下图,虽然叫防勒索,但其实各种类型的威胁只要主防或KSN能识别,都能杀。



下面是重头戏,主动防御,卡巴斯基的主动防御是本地和云端联动的:

1) 当双击/执行了一个被云端KSN拉黑的程序后,KART会立即拦截,报PDM:Trojan.Win32.Bazon.a





2) 当你双击了一个云端尚未拉黑,但被本地主防规则识别的程序后,KART也会立即拦截,并回滚恶意软件的操作,报PDM:Trojan.Win32.Generic



3) KART暂时没有反锁屏快捷键

从我的测试来看,我觉得KART基本完美复制了SW主防系统,并用一种精简且灵活的方式呈现了出来。

KART没有暂时关闭保护的选项,想要暂时关闭保护,只能退出KART或者将被拦截的程序加入信任列表。



性能方面,我没有注意到明显的性能下降,现在卡巴斯基全功能产品性能已经做的不错了,KART对系统性能的影响只会更小。



从卡巴斯基最近对KART全面升级看出,官方并没有放弃这款产品。但是需要注意的是,由于应用程序控制的缺失,我不能确定这对SW主防是否会有不利影响。

——————

关于与ESET的搭配

如果要将ESET和KART进行搭配,我建议将KART的程序路径添加到ESET的排除目录中:

1. 打开“高级设置”,点击左侧的“检测引擎”,在右侧找到“排除”,在“性能排除”和“检测排除”中加入如下路径:

C:\Program Files (x86)\Kaspersky Lab\*
C:\ProgramData\Kaspersky Lab\AntiRansom4\*

2. 然后在右侧找到“文件系统实时防护”,在“基本”下找到“进程排除”,加入如下路径:

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 4\anti_ransom.exe

3. 最后在右侧找到“HIPS”,在“基本”下找到“深度行为检测”,排除如下进程:

C:\Program Files (x86)\Kaspersky Lab\*

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4经验 +80 分享 +3 人气 +9 收起 理由
屁颠屁颠 + 80 + 3 版区有你更精彩: )
驭龙 + 3 版区有你更精彩: )
dongwenqi + 3 版区有你更精彩: )
huawei_518 + 3 精品文章

查看全部评分

wuming_bpnes
发表于 2022-4-14 21:27:18 | 显示全部楼层

t

本帖最后由 wuming_bpnes 于 2022-4-15 07:08 编辑

刚才就在折腾KART……打算写个简测,但大佬先动笔了
厚颜无耻的用大佬的贴带一点个人“私货”了(样本出自论坛样本区)均在虚拟机+断网条件下测试,个人感觉至少有约6成的KIS的主防水平。
随便测了6个,2个老毒,3个新毒,外加1个Rootkit。
新毒miss2个。联网的话可能情况会好不少。
顺便一提,坛友自制的“勒索”会被过。
==================================
2022/04/15补

KTS病毒库为2021/05/04且断网情况,其完整主防小优于KART。且KART需要回滚操作,而KTS直接双击杀。上文对KART的SW判断目前来看应该是没啥大问题的。

==================================
下图是04/14测试,详细可看图片名


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +9 收起 理由
驭龙 + 3 版区有你更精彩: )
dongwenqi + 3 版区有你更精彩: )
huawei_518 + 3 加分鼓励

查看全部评分

wuming_bpnes
发表于 2022-4-15 10:02:48 | 显示全部楼层
anthonyqian 发表于 2022-4-15 09:16
看起来应用程序控制也得关~

测试结果……跟KART没差别……
KTS能拦的,KART都能拦。KART拦不住的,目前样本来看KTS也没辙……



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
yexo + 1 版区有你更精彩: )
anthonyqian + 1 感谢解答: )

查看全部评分

WAR314159
发表于 2022-4-14 11:34:38 | 显示全部楼层
国产的火绒也可以加上去
anthonyqian
 楼主| 发表于 2022-4-14 11:37:52 | 显示全部楼层
WAR314159 发表于 2022-4-14 11:34
国产的火绒也可以加上去

火绒没咋用过,但感觉也是有一套完整主防的吧
bbszy
发表于 2022-4-14 12:22:02 | 显示全部楼层
其实就是帮助卡巴扩大样本收集面的一个产品
onedrive
发表于 2022-4-14 12:42:19 | 显示全部楼层
anthonyqian 发表于 2022-4-13 19:37
火绒没咋用过,但感觉也是有一套完整主防的吧

有手动关KSN的开关吗,不想被自动上传
kuroandsan
发表于 2022-4-14 13:00:30 | 显示全部楼层
配ESET是不是很优秀啊
onedrive
发表于 2022-4-14 13:17:45 | 显示全部楼层
kuroandsan 发表于 2022-4-13 21:00
配ESET是不是很优秀啊

vaedzy,eset小粉丝等人找到了新的玩具,重新拾起对ESET的信息(对KART)
bbs2811125
发表于 2022-4-14 13:30:47 | 显示全部楼层
每周自己扫一次这个真的无法接受,另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略
anthonyqian
 楼主| 发表于 2022-4-14 13:48:35 | 显示全部楼层
bbszy 发表于 2022-4-14 12:22
其实就是帮助卡巴扩大样本收集面的一个产品

我觉得这不是主要目的,不然肯定大力推广了
anthonyqian
 楼主| 发表于 2022-4-14 13:50:46 | 显示全部楼层
bbs2811125 发表于 2022-4-14 13:30
每周自己扫一次这个真的无法接受,另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略 ...

不能处理倒没啥,主要是自动扫描比较烦,不过目前发现扫描资源占用还行
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-24 01:20 , Processed in 0.120793 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表