观“关于启动项的深入探索（绝对原创））”一帖有感（回复鱼鱼的新测试）

百地三太夫

原帖地址：http://bbs.kafan.cn/viewthread.php?tid=247703&extra=page%3D1
（下方新增加“跳海自杀的鱼”关于我EQ规则测试无效的问题）
看了楼主caolizhen（跳海自杀的鱼）和后面的叫月影天心的朋友发的回帖以后，有点东西想谈谈

原帖由 月影天心 于 2008-5-6 13:48 发表
质疑楼主卡巴的HIPS设置，楼主的测试MS存在一些问题楼主说“如果有木马之类的东西在启动文件里创建了自己的快捷方式，杀软也会扫描，但是HIPS却没有提示”，这几乎是不可能的。

卡巴我没有试过，但它的主动防御经过设置是应该能发现注入的启动项的，不论是直接注入注册表还是启动文件夹，否则HIPS的RD做的也忒差了，因为，程序要想在系统加载时启动必须在注册表RUN（或***RUN）项下写入，在启动文件夹下建立的程序也是一样的，实际上，它与注册表的自启动项是一一对应的，否则重新开机时程序根本无法启动。所以从理论上说，HIPS无法发现启动文件夹的变化（实质上还是注册表的变化）几乎是不可能的，E盾、Defense Wall，包括COMODO的Defense+等都可以轻易发现对启动文件夹等项的修改，可以说，启动项修改是一个HIPS最最基本的RD保护体现，所以按照楼主所说的“HIPS没有提示”，设置好的话这几乎是不可能的。

所以质疑楼主卡巴的HIPS设置，楼主的测试显然存在一些问题。

感觉caolizhen（跳海自杀的鱼）和月影天心两位朋友，对卡巴都很不了解
首先，卡巴的主动防御不能和HIPS划等号，卡巴的主动防御模块只是对系统一些敏感区域进行行为的监控

我想卡巴的老用户应该都知道，卡巴对启动项的保护，只是通过注册表保护模块中的启动项键值保护来实现的，也就是说，卡巴的主动防御默认的仅仅只是监控注册表中的启动项，所以，如果往开始菜单的“启动”文件夹添加启动项，卡巴是不询问也不拦截的。因为“启动”文件夹里的信息不在注册表里，启动文件夹的保护，属于FD，不属于RD。

大家如果不信的话，可以留意一下安装QQ，安装QQ的话，它会往“启动”文件夹添加启动项，卡巴根本不询问也不阻止。


那么说到这里，就有朋友就有疑问了，比如跳海自杀的鱼提出的

那么也就是说，如果有木马之类的东西在启动文件里创建了自己的快捷方式，杀软也会扫描，但是HIPS却没有提示，那么如果我们将一个免杀木马的快捷方式加入启动文件夹里面，一般的HIPS完全没有防御能力，而只能通过工具（如冰刃，360等）才能查看，RD也就这么完掉了

首先，跳海自杀的鱼的担心不是没道理，不过卡巴的主动防御不能和HIPS划等号，一般的HIPS是监控这个启动文件夹的，不过卡巴的主动防御不监控这里，启动文件夹的保护，属于FD，不属于RD，卡巴主动防御没有FD。“RD完掉了”这一点根本不成立

虽然不监控，但是，我要说的是，跳海自杀的鱼的担心同样是没必要的。

有一点跳海自杀的鱼可能不清楚，“启动”文件夹里的快捷方式，表面上是随系统启动，实际上不是，它不同于注册表启动项，注册表启动项是真正的随系统启动。
而“启动”文件夹里的启动项，只是在系统完全启动后，然后系统再自动的执行“启动”文件夹中的快捷方式，达到自动启动的效果。

所以说“启动”文件夹中的启动项，并不是真正的随机启动，它不可能有卡巴的启动那么深入系统。

一样，如果有一个木马程序在启动文件夹里添加了自己，那么，系统启动时，它并没有像杀毒软件一样，随系统启动，而是在系统完全启动完后，再开始运行启动，那么这种情况就好比有个木马，你在开机后，双击运行它一样，卡巴早在那里守着了。只要卡巴的监控和主动防御是能防住这个病毒破坏系统的，那么这时卡巴一定是能阻止木马或病毒对系统的破坏的，

这一点，跟能不能阻止木马在启动文件夹添加自己启动项，是无关的。添加了，能防的一样会防得住





昨天发得贴，看到跳海自杀的鱼进行了EQ的测试
测试的结果是EQ默认也不对启动文件夹监控。
由于我也是EQ用户，那么这里我也谈谈EQ

跳海自杀的鱼，您好，首先，谢谢你的测试，EQ默认的确实是对启动文件夹不监控，我昨天提到了由于启动文件夹不是真正的随机启动，威胁性实际上不大，所以，可能有些HIPS默认的忽略了对它的监控。

由于EQ是专业的HIPS（这点不同于卡巴主动防御），所以，默认的肯定是只针对对系统威胁较大的区域来进行监控的，其它地方，则是留个用户根据自己的情况进行添加规则。

所谓师父引进门，修行在个人，EQ默认的也就是提供最基本的防护，所以肯定有很多地方照顾不到，需要使用者自行进行规则定制，跳海自杀的鱼可能用HIPS时间不长，我听你提到的是你使用的是别人的规则，这就有一个原因了，那就是编辑规则的人，自己也没有对启动文件夹进行保护设置。

如果你担心启动文件夹影响你的安全，那么，你可以在EQ的文件保护设置中添加一条规则加以保护该文件夹，如果你照我这样设置这条规则，只要往启动文件夹添加东西，一定会被EQ拦住询问的。

会买鱼不如会钓鱼，HIPS的自定性特别强，跟环境关系非常大，所以我建议跳海自杀的鱼在使用别人规则的情况下，最好能自己也学习学习规则的编辑，知道规则编辑的原理了，那么就可以根据自己的需要任意的编辑规则，而这一点，才是HIPS存在的真正意义，生搬硬套不是长远之计，如果你打算了使用HIPS，就一定要尽可能的学习它的使用方法。


————————————————————————————————————————————————————————————



跳海自杀的鱼，你好，看到你新测试的帖子了，你说我设置的规则无效，我的规则是肯定没问题的，因为阻止文件的创建，是基本的文件保护规则，而且我的规则是经过我自己测试了，

你测试的时候失败，那么只有一个可能

由于“所有程序规则”里面的优先级是最低的，你用的是别人的规则，我估计那个规则的“应用程序规则”里，设置了explorer.exe这个程序可以给任何文件夹创建文件，由于“应用程序设置”里面，规则的优先级比“所有程序规则”要高，所以导致了，“所有程序规则”里，你照我规则添加的规则无效。

要知道，作为HIPS规则，优先级是非常重要的。在我的规则设置里面，explorer.exe的应用程序规则的“搜索所有程序规则”的钩是打上了的。

我这条规则是我做过实验的，你可以查看一下你文件保护的“应用程序规则”里面，看看有没有explorer.exe的规则，然后你看看他的设置里面“其它设置”一栏的“搜索所有程序规则”有没有勾上，如果没有勾上，请你勾上，另外你还要看看explorer.exe这个父级程序的子规则里面有没有关于在任何地方创建东西被允许的规则，如果有的话，请去掉这个规则，然后你再试一试。


最后，如果，你弄不清楚规则的优先级，那么你可以再作个测试，你依然按我的设置，设置那条规则，不同的是，你添加规则的地方换成“高优先规则”，这里的优先级是最高的，你放到这里，肯定成功。

下面的缩略图我已更新，请查看


有什么疑问，请加我QQ173247708
HIPS的规则，优先级特别重要，优先级的差异，直接导致规则的可行性。











[ 本帖最后由 百地三太夫 于 2008-5-10 23:30 编辑 ]

嘁。不稀罕~

很准确！很详细！很好！很强大！

harrytien

有道理，学习了

hovereagle

有深度，好文

su-tt

楼主的见解很好，非常支持

百地三太夫

呵呵：）算是和大家一起分享使用心得吧

jpzy

卡巴6，7的主防都有一个问题，就是开机加载比较晚！

晚到什么程度呢？！大概是所有启动项加载运行以后，卡巴的主防模块才会生效。

想测试的朋友可以做个测试，在你的系统启动项里面找个随机启动的进程（比如QQ.exe），在卡巴主防里面为它创建一个规则，包括运行在内的所有选项都选阻止（记得是三个），重启之前运行一下，你会发现这个进程无法启动，卡巴会弹窗告诉你，主动防御已阻止xx程序的启动！然后重启吧！你会发现，重启以后，这个程序运行了。也就是说，主防模块加载的相当晚。

如果一个病毒，首先过掉卡巴的特征码扫描，然后在启动文件夹里面建立一个自身的快捷方式，或者干脆拷贝真正有威胁的东东到启动文件夹（6，7系列的卡巴是不监控启动文件夹的，不是不扫描，是不监控创建和删除），然后等待用户重启，那么重启以后，这个完全可以抢在卡巴主防生效以前，干掉卡巴。

好在卡巴的自我保护还不错，开机就生效。所以，我写了个批处理删除卡巴文件的行为没有成功！

主防模块加载晚，可能是卡巴担心主防影响启动速度…………

caolizhen

吼吼，谢谢LZ了，还劳烦您发一个主题~~~~~~~~~

caolizhen

LZ，我刚刚对EQ做了个测试，不过貌似和您的设想不大一样~~~~~~~~~

百地三太夫

原帖由 caolizhen 于 2008-5-8 18:56 发表
LZ，我刚刚对EQ做了个测试，不过貌似和您的设想不大一样~~~~~~~~~

你指的是什么不一样…………是指EQ不监控启动文件夹吗？？