SystemWatcher的敏感度

anxiety520

yfdyh000 发表于 2022-8-22 01:33
可能特定检测类型下“允许一次”是“允许本次”，记住了本次所加载驱动的特征，避免某些程序反复装卸同一个 ...

有可能，hips似乎也用一样的规则，对程序加驱的提示通常只提示一次。  
卡巴的主防报法一直是个谜，可能卡巴细分一下会好点？

pal家族

卡巴其实不希望你了解这些

uvs

不清楚啊

pluto1313

1、PDM和HIPS设置无关
2、ARK工具加驱后驱动就会常驻，下次运行不再有加驱动作，除非重启系统且ARK没有重启系统自动加驱的功能
3、卡巴有BUG，比如64位系统上本来可以拦截加驱写服务注册表的操作，但是卡巴的HIPS经常不拦截，偶尔会拦截，一旦出现拦截就会一直拦截，重启系统后就不拦截了怎么设置都不拦截

Jirehlov1234

pluto1313 发表于 2022-8-22 13:07
1、PDM和HIPS设置无关
2、ARK工具加驱后驱动就会常驻，下次运行不再有加驱动作，除非重启系统且ARK没有重 ...

3的话不是bug，64位应用程序控制本来就没有这个加驱这个拦截项。如果你想通过注册表监控来控制，那这种一会儿拦一会儿不拦的情况多半就是自己规则写的有问题。尽量用卡巴自带的注册表项目，不要自建也不要用变量。另外注意权限上，创建和修改很多时候是有交集的。

anxiety520

pluto1313 发表于 2022-8-22 21:07
1、PDM和HIPS设置无关
2、ARK工具加驱后驱动就会常驻，下次运行不再有加驱动作，除非重启系统且ARK没有重 ...

1不是这样子的，当你将一个程序放入受信任表里是绝对不会触发这个报法的，hips影响PDM对恶意行为的判断，典型的例子就是受保护文件夹
2的驱动常驻问题我没有特别留意，openARK的驱动似乎实在temp文件夹里的，一会去试一下   
64位系统hips本身就被削弱了，像安装hook这类的权限控制已经没有了

anxiety520

Jirehlov1234 发表于 2022-8-22 21:19
3的话不是bug，64位应用程序控制本来就没有这个加驱这个拦截项。如果你想通过注册表监控来控制，那这种一 ...

他说的2我去虚拟机试了一下，第一次运行openARK会在temp目录生成它的驱动文件，加驱时PDM会予以提示，随后退出工具，删除驱动并重启后重复上述步骤，PDM未复现

Jirehlov1234

anxiety520 发表于 2022-8-22 13:59
他说的2我去虚拟机试了一下，第一次运行openARK会在temp目录生成它的驱动文件，加驱时PDM会予以提示，随 ...

你这种情况我倾向于是交互session没重置，不知道sw的session怎么计算的。。。

anxiety520

Jirehlov1234 发表于 2022-8-22 22:21
你这种情况我倾向于是交互session没重置，不知道sw的session怎么计算的。。。

是的。另外昨天晚上双击到了一个恶搞程序，按反锁屏后SW也把开着的openARK连着驱动一起杀掉了，现在刚下好ARK准备加驱，PDM竟然弹窗了可能这个时候才重置的吧

pluto1313

Jirehlov1234 发表于 2022-8-22 21:19
3的话不是bug，64位应用程序控制本来就没有这个加驱这个拦截项。如果你想通过注册表监控来控制，那这种一 ...

第3条，加驱前需要通过服务管理器创建注册表，我说的注册表拦截= =

第3条bug无疑，时不时起作用