【原创】带您了解卡巴斯基2009的防御体系及变化【知识普及7/25更新】

syfwxmh

                                   无限梦幻评测室出品

   请大家以理性的态度去看待去学习这篇文章，如果有严重错误我们会及时纠正！现在删除了有争议的部分，并且完善了一部分措辞。但是难免会有疏漏，所以请阅读者海涵！

一、如果病毒放进低受限会怎么办？（修改）
  我相信大家都遇到过这个问题，其实放进低受限同样会有拦截。但是这个拦截与微点等其他智能或手动HIPS不一样，它不是所有行为拦截，而是拦截有害行为。比如说病毒A，经过自动模式下被分进了低受限组。那么这个病毒获得的权限就比放入高受限的自由权多。但是即使如此，这只是第一步。就好比这个地球有N多人属于不同国家，而我们是中国人，是这些人中的一部分。在这一部分里卡巴通过HIPS继续分类，按照数字签名（后面还要说到）和白名单进行筛选，就好像选举领导人一样，把领导选出来剩下的就是公民。在这么多公民里，又有不同阶层的人，有的人争得多有的人争得少，有的人权势高有的人权势低。所以HIPS对这些人进行danger index分类，也就是危险指数。在1-49内为贵族，50-99内为公民，100为社会通缉犯。在50-99这个范围内病毒是不会穿过HIPS进行破坏因为限制太多。1-49内可能就有人问了是不是低受限就会有影响。答案是肯定的，但是安全不会受到威胁。比如每天的测试样本，经常可以看见有少数低受限病毒进程出现在任务管理器里，但是很奇怪的是你的电脑并没有被破坏，当然可能出现其他更改等现象，比如时间修改病毒，虽然成功修改了时间，但是这个病毒原来锁定时间和任务管理器的危险行为却被拦截，时间照样可以通过windows自带的时间日期调回。所以说低受限并不可怕，依然安全（这是在大多数情况下，低受限的规则现在仍然不完善）。

PS：高手建议使用交互模式（同样不能保证100%的防御率），这样能更加安全，但是易用性会降低！


二、如果病毒不小心放入了受信任组会怎么样？
  这个放心，即使你放入了卡巴信任组，躲过了卡巴规则，但是HIPS和PDM依然会进行，如果有危险行为则会自动拦截，部分病毒卡巴甚至可以将其从信任组重新放入受限组，从而达到保护。

三、难道没有过卡巴2009HIPS的病毒吗？
  这样的病毒是有的，这与卡巴的HIPS防护规则不完善和一些BUG有一定的关系。
PS：没有100%可以防御的杀毒软件，所以如果你抱着这样的态度使用卡巴，建议你不要使用！


四、为什么在进行卡巴HIPS测试时会出现报病毒的情况尤其是免杀？
  免杀是什么，无非是通过更改部分代码，使得跳过启发代码和特征码达到避免删除的目的。运行一个免杀为什么会报毒？
  这是因为其原来是什么病毒还是什么病毒，只不过删除了原来的特征码而已，并不影响运行~对于一个曾经已入库的病毒来说，在卡巴沙盘的运行下就会原形鄙陋，如果其中一些行为跟某些病毒行为类似或者触发规则则会出现behavior similar xxxx这就是所谓的PDM和病毒库HIPS的结合，当没有类似行为时则会检查数字签名和白名单，如果没有则会归为低受限，当然这时的danger index在55以下~这时候卡巴只会拦截有害行为放行无害动作。当danger index在99以下则会归为高受限，拦截大部分动作，并有可能配合PDM提示，出现那几幅截图。如果行为太多会直接放入不信任组。

五、KAV和KIS的HIPS模块有区别吗？
有区别，具体差别请参阅卡巴官方网站的介绍。

PS：如果你想体验卡巴2009的立体防御，建议安装KIS系列。


六、病毒库后缀的变化
这个变化在于原来的病毒库后缀为*.avc而现在的后缀为*.kdc。所以有可能出现病毒库在一定时间内不一致的情况。但是命名方式和总数量是完全一样的。

七、OFFICE和卡巴之间的BUG问题
  这个问题已经在429和430NCT上得到了部分解决，当然还需要更改注册表才能完全解决。不过来自俄罗斯开发组的消息在即将临近发布的CF1版本将会彻底解决这个问题，所以还在饱受痛苦的同胞们，马上就可以看见阳光了！

八、不断加强的启发和HIPS防御能力
自从卡巴推出一个个CF测试版之后，细心的朋友会发现，即使病毒库滞后但是查杀率反而比357的正式版还要高，在看看报告都是heur的功劳。经过我们测试CF测试版（430NCT or Future edtion）的查杀率相对357提高2%-3%。相信CF版会有更强的启发能力。
九、了解卡巴2009的HIPS成功拦截截图的部分样例

[ 本帖最后由 syfwxmh 于 2008-7-25 15:22 编辑 ]

GottDokT

学习了

303898443

很有价值的帖子，希望多看到。

an0580na

了解一下，，ＰＤＭ是啥，，看到经常有人提起，，，

kingandsky123

我有个疑惑了，要是在断网情况下，卡巴的防御不是要下降哦，没法去跟服务器那一端的白名单进行核对，这样不会影响卡巴的误报么？

zwl2828

如果说6.0是初出茅庐的主动防御，那么7.0则是引入程序过滤的尝试，而2009更是建立了一个立体的HIPS防御体系。

卡巴斯基2009的防御体系可以分为两部分：病毒监控与网络监控和主动防御与程序过滤。前者是力争防范病毒入驻主机或在病毒入驻后立即枪毙。因为病毒库的滞后性，卡巴斯基2009加强了程序过滤部分。如果病毒突破第一道关口，程序过滤就会大显身手。虽有多层防御，但卡巴斯基2009需要用户交互的地方很少。原因在于它强大的病毒库与频繁的更新速率。

卡巴斯基2009能够自动为程序构建应用程序规则（相当于7.0的程序完整性控制），非常智能。每当程序第一次启动时，卡巴斯基便会调用多种手段对程序进行分析。如数字签名校验、白名单库、病毒库、黑名单库与启发分析，为这些程序赋予不同的访问权限，来限制程序访问。数字签名或在白名单库中的程序才会被分配到信任组，而在病毒库和黑名单库的程序进入未信任组，其它程序经启发分析后按危险指数被分入高受限或低受限，分配入组的程序将自动继承组规则。

根据扫描结果，应用程序将会被分为四个组：完全信任、低受限、高受限和未受信任。程序的受限程度越高，其可以访问的系统资源（文件，注册表项，外部驱动器，网络）也就越少。

卡巴斯基2009默认或推荐用户使用程序过滤的自动模式，允许和阻止的规则自不用说，询问的规则按允许处理。在实际情况下，用户动手的机会很少，一个病毒先要过病毒监控关，用户基本不用动手，后要过程序过滤关，也几乎不用动手，可以说做到了目前最大可能的易用度。

[ 本帖最后由 zwl2828 于 2008-7-8 18:27 编辑 ]

syfwxmh

原帖由 kingandsky123 于 2008-7-6 01:39 发表
我有个疑惑了，要是在断网情况下，卡巴的防御不是要下降哦，没法去跟服务器那一端的白名单进行核对，这样不会影响卡巴的误报么？

放心不会的

syfwxmh

原帖由 an0580na 于 2008-7-6 01:37 发表
了解一下，，ＰＤＭ是啥，，看到经常有人提起，，，

行为分析

zwl2828

原帖由 an0580na 于 2008-7-6 01:37 发表
了解一下，，ＰＤＭ是啥，，看到经常有人提起，，，

PDM=Proactive Defense Module，就是主动防御模块。

似落花

进来学习的。

貌似卡巴9.0很强大嘛

现在我还是用着小红伞。。都快2年了。。