[原创]所有用卡巴2009的人进版必看[所有人必看]

syfwxmh

我最近看见各个区发布了以下针对卡巴的各种言论：
1、封KEY
2、数字签名，威胁安全？
3、卡巴2009很卡
4、过卡巴2009HIPS
先说
第一条，封key是商业运作必须的，试想如果你是一个厂商，辛辛苦苦作出来一个软件，而别人又不付费，你会怎么做！

第二条，数字签名是不能伪造的，近日看UGUARD的测试者说获得了某某工具，可以给病毒加数字签名。说实话我很佩服那个人的编程能力，但是很讨厌他的不负责言论。数字签名是微软或其他厂商发布的唯一软件证书，每一个签名都是经过严格加密的，其级别甚至高过了RSA-1024位的加密方式。如果一个小小工具就能伪造数字签名，那么我想微软或者其他的产品早就没人使了--------有关数字签名能否伪造，详细情况可以去微软或其他公司社区进行探究。你获得的答案将会和我一样。而且即使被加了数字签名，卡巴2009PDM也可以拦截，详情请看丫一的测试~~

第三条，卡巴2009很卡，我想真正用过的人都会觉得卡巴2009非常流畅。但是现在经常有些人拿着这些事情说事，也不知道真的使过还是没使过。即使真出现了卡的情况也是机器自身的问题，现在除了422有CPU占用略微升高的情况外，资源占用还是很完美的，当然如果更小更好。所以希望说卡巴2009卡的，先看看是不是自己机器的问题，不要上来就一口咬定是卡巴怎么怎么招了。

第四条，昨天看见有人发过卡巴2009HIPS的事情让我实在是很费解，上传的三张图明明是拦截成功的图，结果就成了拦截失败的说法。而且那位LZ迟迟不放出样本。最后直到晚上才放出样本。根据他的文章说是从网上下载病毒。但是昨天我们测试的时候，是断网测试依然出现下载成功的字样。所以着明显是一个假的信息。而且昨天的那个mouse样本在自动模式下也可以完全防住。所以也请以后发此类帖的会员，附上样本并知道什么样的提示算拦住什么叫没拦住。详细情况可参照我发的反驳帖子（样本区）。


引用小夏的：

1、一个公司需要良好的资金支持，才可以做出更好的产品，我们应该支持正版；

2、数字签名可以被病毒修改（数字签名依然存在），但是卡巴斯基会检查数字签名的完整性。就算有人可以伪造数字签名，且卡巴斯基将其分到了信任组，在这个组里面，也并不是做什么都不管了，只要触动规则就会提示，程序还是会受到PDM的行为分析；

3、在这里需要注意的是：由于安装完毕后，卡巴斯基会对电脑中的部分程序进行分类，所以首次开机会比较慢；

4、世界上没有不透风的墙，总有一天会被攻破的，矛与盾总是存在的，但是目前我还没有看到过可以突破卡巴斯基2009的样本。经过三层防御的层层过滤，能够生还的病毒应该很少。最后一道防线——程序过滤，应该足够强大，理论上用好了能阻止一切恶意程序。

病毒要绕过卡巴2009，必须要这么做：

1. 仿真白名单程序
2. 绕过行为分析

1. 文件特征码和内存特征码本身都是可以绕过的；
2. 模拟白名单有一定难度，可以忽略；
3. 绕过行为分析，需要很好的思维能力，难度相对于特征码要难很多，pass这三步就可以避开接下来的回滚和沙盘，几率下降了很多。

这要涉及到策略判断问题，如果策略判断存在问题，攻击者将很容易通过一些策略方面的机巧，而不是靠什么高深的技术就可以轻易的Pass这个防御了。

[ 本帖最后由 syfwxmh 于 2008-7-5 17:59 编辑 ]

kmg2

支持。。。。。
也支持的lz测评，辛苦了

syfwxmh

谢谢~~

曲中求

⒈封key是必要的，这个是很正常的。

⒉数字签名这个东西很难说清楚，很多正常的工具由于没有数字签名被HIP报，呵呵！两面性吧

⒊卡巴2009卡之说，可能是源于一些用户太多“第一次”的烦恼。

⒋至于过卡巴HIPS的，目前有是有，只是卡巴2009的HIPS还没有正式普及，过的不多，收集到的基本上都不会放出来，要么自己从别人的思路中找到灵感，写出新的东西，进化一下。或者是直接用于网络。

xhdtml

原帖由 曲中求 于 2008-7-5 16:02 发表
⒈封key是必要的，这个是很正常的。

⒉数字签名这个东西很难说清楚，很多正常的工具由于没有数字签名被HIP报，呵呵！两面性吧

⒊卡巴2009卡之说，可能是源于一些用户太多“第一次”的烦恼。

⒋至于过卡巴HI ...

同意此说法  特别是第三条  LZ说的不完全准确  ，按版主这样说比较客观。

syfwxmh

感谢提议~~

zwl2828

1、一个公司需要良好的资金支持，才可以做出更好的产品，我们应该支持正版；

2、数字签名可以被病毒修改（数字签名依然存在），但是卡巴斯基会检查数字签名的完整性。就算有人可以伪造数字签名，且卡巴斯基将其分到了信任组，在这个组里面，也并不是做什么都不管了，只要触动规则就会提示，程序还是会受到PDM的行为分析；

3、在这里需要注意的是：由于安装完毕后，卡巴斯基会对电脑中的部分程序进行分类，所以首次开机会比较慢；

4、世界上没有不透风的墙，总有一天会被攻破的，矛与盾总是存在的，但是目前我还没有看到过可以突破卡巴斯基2009的样本。经过三层防御的层层过滤，能够生还的病毒应该很少。最后一道防线——程序过滤，应该足够强大，理论上用好了能阻止一切恶意程序。

病毒要绕过卡巴2009，必须要这么做：

1. 仿真白名单程序
2. 绕过行为分析

1. 文件特征码和内存特征码本身都是可以绕过的；
2. 模拟白名单有一定难度，可以忽略；
3. 绕过行为分析，需要很好的思维能力，难度相对于特征码要难很多，pass这三步就可以避开接下来的回滚和沙盘，几率下降了很多。

这要涉及到策略判断问题，如果策略判断存在问题，攻击者将很容易通过一些策略方面的机巧，而不是靠什么高深的技术就可以轻易的Pass这个防御了。

[ 本帖最后由 zwl2828 于 2008-7-5 17:56 编辑 ]

xxkko

我是这方面的菜鸟!从卡巴KAV5.0开始起用到现在的KIS2009!在6.0307时代删除所有其他安全软件单调一个卡巴!感谢LZ及LS各位对KIS2009的精彩解说!
我的安全软件知识多数来自卡饭!呵呵~~

[ 本帖最后由 xxkko 于 2008-7-5 18:02 编辑 ]

zcx8448

支持的lz测评，辛苦了，我们应该支持正版

syfwxmh

谢谢你的支持~