【原创】带您了解卡巴斯基2009的防御体系及变化【知识普及7/25更新】

syfwxmh

7/8重大更新~

a256886572008

下面引用丫一的话：

但有人肯定会对卡巴斯基2009的安全性有所怀疑，比如它的分组，万一分错组了怎么办？它的信任组不会被恶意利用吗？或者那些有数字签名的联网程序不会有漏洞吗？

首先，信任组卡巴斯基是不可能分错组的。但如果信任程序被恶意利用呢？卡巴斯基2009充分考虑到了这一点，除了在规则中对信任程序给予保护之外，它还外加两层保护，主动防御和进程权限继承。主动防御分8种，除了靠行为分析能够基本肯定的恶意程序之外，还有一些高危行为。它是在程序过滤之上的，即使一个程序在信任组，如触犯主动防御保护，也会被询问的。

卡巴斯基2009的权限继承类似于Windows的组权限，子进程不能超越父进程的权限且遵循低权限原则。如：b为a的子进程，假设b在信任组，a在高受限，那么b也只有高受限组的权限，假设b在高受限，a在信任组，那么b仍然只有高受限组的权限。这样就保证了低权限组不能恶意利用信任程序。但卡巴斯基2009对每个进程都要分析并分组，而并不是无规则进程就一定使用父权限。至于低权限组等会不会被利用，首先要看卡巴斯基2009的启发能力了。

其次，你可以看一下低受限组的权限，除了几个基本没有危险性的操作外都是询问，这也是推荐使用交互模式而不使用自动模式的原因。使用自动模式，安全性会降低，但能过卡巴斯基2009的病毒监控关和自动分组关也不容易；使用交互模式，易用性会降低，但能过卡巴斯基2009的病毒监控关和自动分组关也不容易，所以动手的机会还是不多的。

樓主嚴重誤導別人，這是sxingbai說得

http://bbs.kafan.cn/viewthread.php?tid=259092

sanhu35

三、如果病毒不小心放入了受信任组会怎么样？
  这个放心，即使你放入了卡巴信任组，躲过了卡巴规则，但是HIPS和PDM依然会进行，如果有危险行为则会自动拦截，部分病毒卡巴甚至可以将其从信任组重新放入受限组。从而达到保护。
--------------------------------------------------------------------
HIPS都信任了，HIPS还监控啥？
PDM会依然进行保护



四、难道没有过卡巴2009HIPS的病毒吗？
  确实到目前为止还没有病毒可以穿过卡巴2009HIPS，不管是中国的黑客联盟还是国外的黑客组织现在对于卡巴的PDM依然没有办法，他们最厉害的只是越过了HIPS规则和数字签名，白名单和PDM等其他防御手段还没有任何进展。当然没有密不透风的墙，所以只有不断完善才能更加稳定。
-------------------------------------------------------------------------
有，拦截照穿。交互模式 拦截底层 照过。 不知道这底层BUG 429 修复没。

syfwxmh

第一个问题你可以看一下丫一的视频，那个帖子就在卡巴交流区里
第二个问题我还没有遇到，至于BUG你可以上传到俄罗斯官方，他们会解决这个BUG

syfwxmh

这是小夏告诉我的~我会找他继续核实~~

sanhu35

原帖由 syfwxmh 于 2008-7-8 09:45 发表
第一个问题你可以看一下丫一的视频，那个帖子就在卡巴交流区里
第二个问题我还没有遇到，至于BUG你可以上传到俄罗斯官方，他们会解决这个BUG

第1个问题，确实HIPS是监控 信任组的，但是规则是全允许的 这里有阻止的话 就不叫信任组了！

sanhu35

我想你说的 有规则就是继承了

syfwxmh

这个问题我会和丫一核实~~

syfwxmh

我想你应该看过丫一的测试~~一会我找他让他回复你的相关问题~~这个它比较在行

kuririn

簡單 要測試信任組的hips規則有沒有用 把pdm關掉就知道了

記得再跟關掉pdm的受限組做比較

[ 本帖最后由 kuririn 于 2008-7-8 10:12 编辑 ]