查看: 2310|回复: 17
收起左侧

[交流探讨] 卡巴的入侵防御中软件自动分配信任组的方式,为什么还不如10年前?

[复制链接]
StarryFK
发表于 2024-11-13 20:33:59 | 显示全部楼层 |阅读模式
本帖最后由 StarryFK 于 2024-11-13 20:41 编辑

闲来无事研究了一下卡巴是根据什么来自动分配新软件去哪个信任组的,发现老版本的卡巴有这个选项:



看大概意思就是说,新应用自动的时候,除了会结合卡巴的云信誉分析之类,软件自己还带了个启发式的分析,
会给出一个威胁分数之类的,来判断应该分去哪个信任组。

不过现在的卡巴的设置貌似只剩下了默认分配去哪个组,也就是说,当KSN和数字签名都判断不出来这个软件是否可信任的时候,
只能是固定地将这个未知的软件分配去你设置的某个固定的信任组里。

PixPin_2024-11-13_20-33-03.png

也不知道是因为这个功能聊胜于无,所以卡巴把这个功能给删除了,还是说有其他什么考量呢?

另外搜了一下,好像卡巴的其他产品里有这个选项?https://support.kaspersky.com/ksvla/5.2/zh-hans/150150.htm

只是卡巴的家用产品没有这个选项吗?

bbszy
发表于 2024-11-13 21:13:57 | 显示全部楼层
记得应该还是有启发分析的,只是不提供老版本的自定义时长了,你可以开交互模式,看看有没有启发分析分组的窗口弹出(老版本是有的)
StarryFK
 楼主| 发表于 2024-11-13 21:26:12 | 显示全部楼层
bbszy 发表于 2024-11-13 21:13
记得应该还是有启发分析的,只是不提供老版本的自定义时长了,你可以开交互模式,看看有没有启发分析分组的 ...

PixPin_2024-11-13_21-18-59.png
现在这个状态是开启了交互模式对吧?

PixPin_2024-11-13_21-22-02.png

不过我打开一些小软件的时候,
也还是没有任何提示就把软件直接归进设置的默认限制组里了。




用的版本是:

PixPin_2024-11-13_21-25-45.png
bbszy
发表于 2024-11-13 21:56:59 | 显示全部楼层
StarryFK 发表于 2024-11-13 21:26
现在这个状态是开启了交互模式对吧?

关掉自动执行操作就是交互模式了。

那么很有可能正如你的猜测,没有启发分析了
xiaoxin146
发表于 2024-11-14 15:17:09 来自手机 | 显示全部楼层
好像没有启发
kaba666
发表于 2024-11-16 17:14:35 | 显示全部楼层
本帖最后由 kaba666 于 2024-11-16 17:15 编辑

卡巴的分组的确不太人性化,我认为信任组只能是系统程序和卡巴本身程序再这个组里,三方程序全部分在低限制组,那么未知程序通过启发和云判断后分入高限制组,危险程序运行就直接进不受信任组了,,,大家用了这么久卡巴,看看有程序分到高限制组的吗,没有吧
bbszy
发表于 2024-11-18 04:14:16 来自手机 | 显示全部楼层
本帖最后由 bbszy 于 2024-11-18 04:18 编辑

经楼主提醒,个人感觉,这个组件已经被严重削弱。最巅峰的时候应该是卡巴2011左右,后面先是削弱了通配符的使用,导致基本只能用绝对路径,造成规则编写很不容易,只能说比eset的hips好一点了。 第二个是,分组基本沦为鸡肋,除了可信程序直接到可信组,主防拦截的直接放不信任组外,几乎没有能放高限制组的程序了,想当初刚出应用程序控制的时候(印象中是2010左右),不少没入库的病毒经过启发分组是放到高限制组或者不信任组的。目前看整个组件的定位就是区分一下可信和明确报毒的程序,启发分组功能没有了,hips部分也只留给部分有需要的用户弄点禁止读写的规则,整体功能被严重削弱了。
bbszy
发表于 2024-11-18 09:49:37 | 显示全部楼层
kaba666 发表于 2024-11-16 17:14
卡巴的分组的确不太人性化,我认为信任组只能是系统程序和卡巴本身程序再这个组里,三方程序全部分在低限制 ...

这功能刚出来的时候,类似你说的这样
Komeiji-Reimu
发表于 2024-11-18 10:34:11 | 显示全部楼层
本帖最后由 Komeiji-Reimu 于 2024-11-18 10:58 编辑

卡巴的入侵防御如果不开自动,那打开一个软件能弹一年弹窗要想自己手动玩不如冰盾方便
开了自动处理之后倒是很智能,全自动

satellite288
发表于 2024-11-18 11:57:12 | 显示全部楼层
kaba666 发表于 2024-11-16 17:14
卡巴的分组的确不太人性化,我认为信任组只能是系统程序和卡巴本身程序再这个组里,三方程序全部分在低限制 ...

怕不是都直接给干掉了,自然掉不到高限制里面去啦
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 01:51 , Processed in 0.129476 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表