反驳“突破卡巴2009HIPS样本”的说明[附测试证据及样本]

syfwxmh

原帖由 c77749770 于 2008-7-7 12:25 发表
为什么我在原版xp2不打漏洞的情况下，卡巴2009的测试结果与你们不同呢？我昨晚测试5号的样本，首先因为网络不同，我安装卡巴没升级，扫后，还有一半，打算试试卡巴主防， 运行n个病毒卡巴主防也没报警，有一两个只是 ...

请你把你的设置和版本号告诉我~具体到KIS/KAV 8.0.0.xxx

jpzy

卡巴8以前版本的主防跟引擎是分开的。所以只能算是杀毒引擎的补充。
但是，8是个革命性的版本！卡巴的HIPS和PDM跟引擎结合起来了。一个程序运行的时候（能运行，说明已经过了扫描），卡巴会调用杀毒引擎进行扫描，PDM也会进行行为分析。如果运行过程中的生成物被扫描发现了，卡巴会拦截。如果行为分析的结果是病毒或者木马，卡巴也会拦截。现在的卡巴8是真正的立体防御！

用TF跟卡巴没有可比性！何况，过TF的样本也很多的！去HIPS区看看就知道了！

[ 本帖最后由 jpzy 于 2008-7-7 12:38 编辑 ]

csliss

病毒在C盤以外的盤釋放文件，看微點還報不

c77749770

kav8.0.0.429en  默认设置，深度扫描，全部安全“高”。主防全选。

c77749770

前几天在2008系统下用卡巴2009老是系统崩溃，所以对卡巴2009没多少研究。

syfwxmh

那是肯定会过的，KAV的HIPS是非常简单的HIPS，已经削弱了很多。在KAV里HIPS只是一个辅助模块不是立体防御，而且不包含PDM的所有功能。所以会出现测试结果不一样的情况~~

syfwxmh

对于windows2008本身卡巴个人版就不兼容。因为windows2008是服务器版本

我用sbie运行http://bbs.kafan.cn/viewthread.php?tid=283184&extra=page%3D1

卡巴357没有任何反应

c77749770

多谢提醒!

zwl2828

原帖由 yager 于 2008-7-7 12:51 发表
我用sbie运行http://bbs.kafan.cn/viewthread.php?tid=283184&extra=page%3D1

卡巴357没有任何反应

你使用的是自动模式吧，这个样本会把D盘所有EXE文件全部删除。

以下是卡巴斯基拦截的日志：
2008/7/7 10:28:02 Placed in group Low Restricted  
2008/7/7 10:28:09 Code intrusion c:\users\wesley\appdata\local\temp\bt04862.bat Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLCodeInject
2008/7/7 10:28:10 Suspend another process c:\users\wesley\appdata\local\temp\bt04862.bat Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLSuspend


2008/7/7 10:28:04 Placed in group Low Restricted  
2008/7/7 10:28:13 Code intrusion c:\windows\system32\conime.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLCodeInject
2008/7/7 10:28:15 Suspend another process c:\windows\system32\conime.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLSuspend