关于8.0系统过滤‘继承权限’帮助说明的疑问

okokok

继承权限
应用程序过滤组件的重要部分是继承限机制。该机制将防御未信任程序或者受限制程序使用信任程序来执行特权操作。

当一个应用程序试图访问一个被监控资源时，应用程序过滤将分析该应用程序所有父进程访问该资源的权限，将该应用程序和它的父级应用程序比较后，发现父级应用程序有最低优先权，那么该程序将应用最低优先权规则。

访问优先权：

允许。访问权限数据享有最高优先级。

提示用户。

拒绝。访问权限数据享有最低优先级。

例如：一个木马程序试图利用regedit.exe对 Microsoft Windows

的注册表做修改。木马程序访问注册表的规则包含阻止操作，，而regedit.exe相应的规则包含允许操作。

结果导致，被木马利用的regedit.exe执行的操作将被阻止，因为regedit.exe将从父进程那继承权限。这就是最低优先权规则的本质 -操作会被阻止－尽管regedit.exe有适当权限。

⒈这个‘继承权限’是针对受信任组的吧，是怕危险程序调用信任组的程序进行危险活动。
为什么限制组的程序，右键显示也有个‘继承’，是类似奔驰标志的三色符合，而在‘应用程序标签帮助’中，这个三色符号代表：‘为对资源执行的各种的操作提供了不同的权限’，那个浅绿色的√符号才代表继承，为什么不一致啊？


　
⒉上面‘继承权限帮助’中举了那个木马利用正常程序的例子，‘继承权限’可以防御这种威胁。
但我想问的是，既然是个木马，难道不会被直接查杀？还等着它去利用正常程序？
如果这个木马过了扫描启发主动防御，但它运行后卡巴难道不给它分组么，如果分到了限制组或者非信任组，它怎么可能去利用那个正常程序？

[ 本帖最后由 okokok 于 2008-8-9 11:50 编辑 ]

qqq123456

虽然功能很好，可基本不用继承，都是单一的程序

okokok

信任组中的程序的规则，默认都是浅绿色的‘√’继承，即是允许的意思，又附加了继承权限。

这个继承权限是非常有效的非常必要的功能
、
我只是有些疑问

heroboy0923

我是这么理解的：
1. 那个“奔驰”标志是，程序对这个资源拥有多种权限，比如，操作系统这个资源，他包含启动设置、系统文件等，某个程序可能对启动设置拥有访问权限（勾），但是对系统文件没有（叉），kis8就会用那个“奔驰”标志来表示该程序对操作系统的权限，至于继承，是在程序权限设置界面的左下角，可以勾选是否需要继承

2. 木马可能无法被kis8的监控或者扫描查出来，这是很正常的，任何一款杀软都无法做到100%的查杀率。运行后如果分到限制组，该木马可能调用信任组的某些程序去做一些自身权限无法做到的事情，这时卡巴就会提示（因为继承）。
限制组调用信任组的程序还是很常见的，比如调用ie、explorer（资源管理器）、regedit（注册表编辑器）等

heroboy0923

原帖由 okokok 于 2008-8-9 12:12 发表
信任组中的程序的规则，默认都是浅绿色的‘√’继承，即是允许的意思，又附加了继承权限。

这个继承权限是非常有效的非常必要的功能
、
我只是有些疑问

我感觉那个绿色的勾不是继续，而是程序对该资源拥有访问权限，至于继承是如图所示左下角的地方

okokok

原帖由 heroboy0923 于 2008-8-9 12:35 发表
我感觉那个绿色的勾不是继续，而是程序对该资源拥有访问权限，至于继承是如图所示左下角的地方

⒈左下角那个也是继承。
　
⒉但信任组程序浅绿√处点右键你会发现，浅绿色√对应的正是‘继承’两字，
而且‘标签帮助’中明确的解释，浅绿√符号代表‘程序和组从父组继承权限’。

okokok

原帖由 heroboy0923 于 2008-8-9 12:31 发表
我是这么理解的：
2. 木马可能无法被kis8的监控或者扫描查出来，这是很正常的，任何一款杀软都无法做到100%的查杀率。运行后如果分到限制组，该木马可能调用信任组的某些程序去做一些自身权限无法做到的事情，这时卡巴就会提示（因为继承）。
限制组调用信任组的程序还是很常见的，比如调用ie、explorer（资源管理器）、regedit（注册表编辑器）等 ...

　
既然这个免杀的木马进了限制组，它调用信任程序，卡巴会提示，但应该是限制组自身的规则所至吧（如果给限制组设置了完善的资源保护，访问任何文件都会提示或者拒绝），而不是继承权限

snyzaa

1.浅色的标记表示是从父类型那里继承来的，会随着父类型对应设置的改变而改变。
比如，把【低限制组】统一设置为【启动设置   写入  拒绝】 ，那么，低限制组所有程序都会继承这一设置而禁止修改【启动设置】，用浅色的叉号表示。如果又把【低限制组】统一设置为【启动设置   写入 允许】，那么所有低限制组程序就可以修改启动设置了。
三叉符号表示有的项目允许，有的项目不允许，如果是“继承”得来的，用浅色，是对某一个程序特定设置的，用深色
如果是针对某一个程序设置的规则，就用深色的符号标记，不会随父类型的改变而改变。
2.运行木马之前卡巴的【文件和内存保护】当然会对其扫描，如果不能通过直接干掉，过了特征码和启发扫描就分析分组，最后运行。

snyzaa

原帖由 okokok 于 2008-8-9 12:58 发表

　
既然这个免杀的木马进了限制组，它调用信任程序，卡巴会提示，但应该是限制组自身的规则所至吧（如果给限制组设置了完善的资源保护，访问任何文件都会提示或者拒绝），而不是继承权限

这个权限继承当然是调用成功之后的事。比如把explorer.exe写入某个文件夹设为禁止。然后会发现，在资源管理器中用记事本打开该文件夹中某个文件，修改后不能存盘。因为这时记事本被explorer.exe调用，继承了它[禁止 写入]的限制。

okokok

浅色代表程序继承组的规则，而不是那个‘权限继承’，明白了