入侵防御之“管理应用程序”疑似BUG？

Balaor

图一，正常情况下的规则：


图二：异常时的规则：


图三：规则一开始生效时中：


全新装完KSOS后，第一时间制定上图一的规则了，而且经过测试，规则也的确生效了（图三）；

然而，在某个时刻，卡巴就自动变成图二所示那样了，先前制定的规则居然给消失了。。。


PS：以上同样的问题，在KES11.6上也出现过了。制定的规则是限制微信自动更新，一开始规则也是生效中，，然后不知不觉就变成图二那样，右边被限制的操作居然自动消失了。。

PS：出现图二自动消失的规则后，将先前导出的配置，再导入，，规则又会重新恢复正常。


此问题，我也是跟踪了很久，一直没有复现规律！哎，作罢，，


----------------更新：补上一张图三，规则生效截图----------------

后记：这个BUG是非常致命的，因为制定的那4条规则，正是限制“报税客户端”生成跟系统兼容性的 .sys驱动的，因为一旦拦截失败，意味着系统会立马蓝屏。

为啥我这次躲过了一劫，且再次发现了这个BUG？是因为我制定规则的同时，做了双保险：即，用“web策略管理”做了限制对应程序的启动。

【主机入侵这4条规则，其功能要优先于web策略管理生效。也就是说，如果主机入侵规则生效的话，web策略管理相当于自动失效中；反之，而当主机入侵规则失效后，web策略即自动生效（策略会默认弹窗警报）。。】

所以，当我启动报税客户端时，web策略弹窗了，当时我就楞了一下，马上反应过来，可能遇到了KES上同样的问题，随即打开入侵防御查看规则，果然，，，预料之中。。。


PS：KES11.6上我同样对微信的更新做了双保险，所以当入侵规则失效后，好在“web策略管理”功能生效了。@Wesly.Zhang   

Jirehlov1234

我猜你点了清理，老bug了。清理后HIPS会恢复先前的某个状态，直到该状态被保存（通过关闭窗口或重启触发）

Balaor

Jirehlov1234 发表于 2024-12-17 06:06
我猜你点了清理，老bug了。清理后HIPS会恢复先前的某个状态，直到该状态被保存（通过关闭窗口或重启触发）

嗨，老铁是指这里的“清理”么？不完全是，在KES上我也发现了这里的清理确实会导致出现楼主的问题！但是，我制定规则前都是先清理后才制定的。

另外，KSOS上是刚全新安装的，刚开箱的，都是原汁原味的没有清理。也出现一样的问题了。。

无论怎样，既然之前都已经出现了这类的BUG，为啥到了21.19都还没修复呢？

Jirehlov1234

Balaor 发表于 2024-12-17 01:06
嗨，老铁是指这里的“清理”么？不完全是，在KES上我也发现了这里的清理确实会导致出现楼主的问题！ ...

再给你看两个bug https://bbs.kafan.cn/thread-2270079-1-1.html 我觉得到21.30他们都不会修

Balaor

Jirehlov1234 发表于 2024-12-17 09:22
再给你看两个bug https://bbs.kafan.cn/thread-2270079-1-1.html 我觉得到21.30他们都不会修

哈哈，原来你们这些老粉都能容忍这么久的BUG存在？那我还有啥可抱怨的呢？

这个问题真的很致命呐，但是人家不修复也没办法。。

话说，在用卡巴这个手动hisp的童鞋，需要时不时的关注一下你制定的规则有效性了！

PS：用国产软件的一大好处，就是可以近距离的和官方人员及时沟通（微信群/QQ群），便于快速排查/解决问题！

Balaor

Jirehlov1234 发表于 2024-12-17 06:06
我猜你点了清理，老bug了。清理后HIPS会恢复先前的某个状态，直到该状态被保存（通过关闭窗口或重启触发）

题外话，我这帖子应该是今凌晨发的，为啥这楼层显示的时间是16号22：07呢？老铁在国外？

Wesly.Zhang

这个设置有没有去掉？

Balaor

Wesly.Zhang 发表于 2024-12-17 13:31
这个设置有没有去掉？

没有另外特别说明的话，我反馈的一切前提都是“默认设置”。。

那个勾选，只是从KSN加载程序的分组吧？（信任组/低限制/高限制/未知）并不能影响到用户自定义的规则啊，如果，这个勾选能影响到用户定义的规则，那岂不是卡巴设计有严重问题么？

Wesly.Zhang

不是这样的，当已经定义的规则的程序自生发生了更新，如果你仍然是这个选项选中，那么卡巴斯基产品会根据卡巴斯基实验室专家的分类进行分类。

Balaor

我并不认同大佬的说法！。

左边蓝色部分，是用户自定义规则的状态（启用&禁用）；右边上边部分，是限制程序的动作（读取/写入/创建/删除）；右下部分，才是KNS根据专家规则进行的分组（受信任/低限制/高限制/不信任）。。

KSN在改变程序“分组”的同时，不应该改变程序的“动作”。

何为手动HIPS？就是用户可以任意自定义规则！只要编写规则语法正确的情况下，卡巴就只能按照用户制定的规则去“执行”即可！即便是自定义规则把系统搞崩了，那也是用户的问题，跟程序无关！！！

很显然，一楼第三张截图，可以看到日志，卡巴一开始是拦截成功的，说明规则制定没问题（编写语法正确，或者说被卡巴认可）。

然鹅，到第二张截图，原本生效的规则却失效了，，用户在没有主动修改任何设置的情况下，规则却失效了，，那只能说明一点：程序有BUG。

如果程序能够通过自身的更新来随意修改用户的自定义规则？那程序凭什么知道用户的需求是什么？？还谈何手动HIPS呢？


用户自定义规则就是要程序来满足自己的需求嘛，而你却主观去改变用户的需求，这逻辑根本不通吗！！