卡巴2009（8.0）的HIPS是如何实现的？

jpzy

卡巴斯基最新的8.0版引入了完整的3D HIPS，而且依靠白名单技术做了自动分组，对用户的打扰几乎没有！

现在想知道K8的HIPS是什么技术实现的！inline hook？SSDT hook？

记得以前HIPS区有个测试能够摘除HIPS的HOOK，凡是拦截不了的HIPS都会失效。不知道这个东西对卡巴有没有作用！

l04zw

可以弄来试试，不过估计应该不会有效吧

zwl2828

引用丫一的话：

    其实运作的原理非常简单，在不考虑引擎的情况下，我们随意运行一个从未运行过的一个程序。

    这时卡巴首先会判断该程序是否符合病毒特征码，如果是毒就直接进“不信任区”，在这个区里面的程序是没有任何运行权限。

    如果没有报毒，卡巴会判断是否有数字签名，有数字签名并且在白名单内的进“信任组”，没有数字签名的程序一般都进“低受限“。

    卡巴如果处理一个已经被感染，或者是程序安装包被捆绑流氓程序，就算是在“信任组”卡巴还是会根据最优先级底层规则阻挡这些“信任组”程序恶意行为。

Ps.是4D吧，FD\AD\RD\ND。那个东西弄来～～

loveyuwei

4D```有道理。。

kiki

不知道，每次都要检查之后才能用（觉得那叫主动防御吗？？与现在的hips完全不同）

阿棍

对用户的打扰完全没有？？不会吧……

暗天使

处理误报的时候特别的麻烦第一时间你删掉了

syfwxmh

原帖由 jpzy 于 2008-5-24 16:51 发表
卡巴斯基最新的8.0版引入了完整的3D HIPS，而且依靠白名单技术做了自动分组，对用户的打扰几乎没有！

现在想知道K8的HIPS是什么技术实现的！inline hook？SSDT hook？

记得以前HIPS区有个测试能够摘除HIPS的HO ...

建议去官方论坛问一下。那里的卡巴高手一堆一堆的~

zwl2828

原帖由 kiki 于 2008-5-24 18:30 发表
不知道，每次都要检查之后才能用（觉得那叫主动防御吗？？与现在的hips完全不同）

是一种全新的体系，包含行为分析

zwl2828

原帖由 阿棍 于 2008-5-24 19:03 发表
对用户的打扰完全没有？？不会吧……

你尝试了就知道了～