卡巴PDM

显示全部楼层 · 发表于 2023-7-20 10:57:13

我感觉是最近所有杀软的检测都有问题，很多最近样本都查不出来

显示全部楼层 · 发表于 2023-7-21 00:13:06

话说你们有没有注意到最近卡巴推送了新版的启发模块klavemu（emulator）微信截图_20230721001002.png

老版是6MB多新版变小了只有3MB多

新版heuristic module配套在加载缓存里多了一个约20MB的emu名字打头的文件，是载入到avp进程里的
微信截图_20230721001044.png

对于是klava里的如下一堆东西：
微信截图_20230721001228.png

哪位大神来研究下？
我这个打工人可不懂计算机

显示全部楼层 · 发表于 2023-7-21 09:13:48

近期样本区表现SW是明显不如ATC(ATD)的...虽然不全面但也算是个信号了...

显示全部楼层 · 发表于 2023-7-21 09:26:29

发呆的阿狸~ 发表于 2023-7-21 09:13
近期样本区表现SW是明显不如ATC(ATD)的...虽然不全面但也算是个信号了...

卡巴主防检测率从来都比BD低
几年前就是这样的

显示全部楼层 · 发表于 2023-7-21 12:47:16

IamAngry 发表于 2023-7-18 15:18
天守的主防也没很强啊，就云响应确实很快

云响应够快的话在一定程度上可以弥补主防不强，天守对威胁的响应速度不错，主防方面他们应该也在优化

显示全部楼层 · 发表于 2023-7-21 15:52:22

pal家族发表于 2023-7-19 09:54
我安装卡巴之后第一件事就是把低限制和高限制的规则加上
拒绝低级磁盘访问拒绝级文件系统访问
拒绝访 ...

那假如你用了一个小众软件那这个软件不是甚至都不能读写文件了吗？那怎么办？对日常使用有影响吧？我想听你指点一下，因为我看了这篇帖子也想折腾一下应用程序控制。

显示全部楼层 · 发表于 2023-7-21 16:17:16

本帖最后由 pal家族于 2023-7-21 16:35 编辑

AEht 发表于 2023-7-21 15:52
那假如你用了一个小众软件那这个软件不是甚至都不能读写文件了吗？那怎么办？对日常使用有影响吧？我想听 ...

哪个小众软件保存文件的方式是低级访问？
你ARK工具当explorer用啊
。。
正常软件读写都不是低级访问的（low level access）
ARK和杀软要强写强删是会用到低级访问的。

。。
我主要是为了防止一上来就格盘那种low到爆的病毒，所以除了信誉好的，一概不允许低级访问磁盘

显示全部楼层 · 发表于 2023-7-21 21:39:16

过了又怎么样难道你指望卡巴防住世界上所有的病毒这怎么可能呢

显示全部楼层 · 发表于 2023-7-22 09:00:06

pal家族发表于 2023-7-21 16:17
哪个小众软件保存文件的方式是低级访问？
你ARK工具当explorer用啊
。。

我就说

，你这句没打完子的话误导了我——“拒绝级文件系统访问”

显示全部楼层 · 发表于 2023-7-22 18:44:02

IamAngry 发表于 2023-7-19 10:11
BD的ATC确实是更加的稳定，不过更加神奇的是BD的全套OEM竟然会比BD本体差，不知道是不是有什么模块没 ...

严格意义上讲不应该叫全套OEM吧，很多时候只能说叫（部分）静态引擎+（部分？）
OEM来的套件组不能发挥出本体能力的原因我做一些猜测

1.最简单的，有些模块根本没OEM
除了平时说的那种“静态引擎”之外，BD本身是有额外的AMSI扫描模块和相应特定规则的，这些未必被OEM厂商拿过去

2.OEM来的模块本身也有问题
BD的各个模块之间是有联动的，目前相对确定的是ATC的静态联动分析报法：
高级威胁防护已阻止注入恶意代码的进程。
OEM厂商的ATC模块有可能只剩下纯粹的行为分析或者缺少某些功能（仅猜测）

3.有些设置调不了
这是一个某些正式测试环境中有时因为控制变量而不怎么注意的问题（很多是ATC默认），但是现实使用是有影响的
（其实包括论坛内测试往往也是有的，一些人倾向于将ATC设置为高敏感，在增强防护的同时其实并不会导致较多误报，我也是这样）
据我所知，OEM ATC组件的大部分都只能选择开启或关闭，我目前还没见过可以和BDGZ本家一样可调阈值的（
ATD其实OEM的厂商相对更少，但是其中因为很多报法信息不明显我也没法猜测（

[交流探讨] 卡巴PDM

评分

评分