关于kis8.0.0.454系统文件保护

change_018

下了 明天看看这帖子如何

浪滔天

自动模式下确实被过，没按推荐的操作自动进行阻止。

浪滔天

原帖由 attc4 于 2008-8-17 22:51 发表
关于卡巴斯基2009版(截止最后试验时8.0.0.454)系统文件保护漏洞的分析
                                                 作者：大嘴     发表于2008年8月17日
    ....演示的是在kis8.0.0.454默认hips规则禁止程序写入、删除、创建%windir%\*.exe的情况下干掉regedit.exe,在xp下实测通过。...

其他没什么问题，但这句话表达得不够准确，应该是“在默认规则自动模式下干掉.......”，加入低限制组后并不是禁止程序写入、删除、创建，而是根据低限制组的规则进行处理的。如果在设置好禁止规则的情况下发生这样的问题那确实是大问题大 bug 了。

卡巴自动模式的安全性确实比交互模式差，这在软件安装和设置过程中就有说明：在不能被明确认定为是恶意行为的情况下会允许运行，这是为了避免在自动模式下一些正常程序的运行被意外阻止。这不能算是漏洞，至于那些说卡巴完美无缺的说法，大可不必过分在意，恶意程序永远走在杀毒软件的前面，任何杀毒软件都不可能有一劳永逸的解决方案，这是个互相角力的过程，杀毒软件只能根据最新的病毒动态来完善它的处理机制，卡巴也不可能是例外。

attc4

好的，现在修改

深红的雪

晕，不就是低受限自动允许的问题么？
能在卡巴的高受限组下成功操作才算绕过，不然没有一点意思

看了一下第二个程序

囧，不就是批处理么？还不如直接用DeleteFile好了
事实上你的程序只需几行代码就可以实现了，何必那么麻烦

ASCII "@shift

ASCII“echo @echo off >c:\$systemone.bat
echo attrib -r -a -s -h %windir%\regedit.exe
echo ren %windir%\regedit.exe regedit2.exe >>c:\$systemone.bat
echo ren %windir%\winhelp.exe regedit.exe  >>c:\$systemone.bat
echo del %windir%\regedit.exe >>c:\$systemone.bat
call c:\$systemone.bat
del c:\$systemone.bat"

SHGetFolderPath获得Temp目录，然后在路径后加上btXXXXX.bat，将以上内容写入，调用cmd执行

这样不如直接写个批处理好了

至于第一个程序估计也是差不多的方法
而且卡巴默认规则根本没有对jpg、gho文件进行保护，这能算漏洞么......................................

[ 本帖最后由 rappar 于 2008-8-18 04:30 编辑 ]

attc4

批处理和exe是一回事么，exe和bat系统中运行权限相同？卡巴斯基是在安装完后在不改设置的情况下难道不是禁止%windir%\regedit.exe删除的？你用C或者是VB写个exe,在不借助批处理的情况试一下，看能否在同样的运行环境下达到删除regedit.exe的目的？？？你认为中国有多少用户会把一个exe在未运行前主动加入高限制组？

[ 本帖最后由 attc4 于 2008-8-18 07:54 编辑 ]

attc4

文章一开始就写了，针对初级用户，第一个程序是是针对初级用户的，明白？

zwl2828

又是自动模式的。

attc4

以前自动模式有人发过受保护文件可以被删的情况吗？我想大多数中国用户还是用的自动模式吧。。。  这个问题不算BUG?

zwl2828

原帖由 attc4 于 2008-8-18 07:47 发表
以前自动模式有人发过受保护文件可以被删的情况吗？我想大多数中国用户还是用的自动模式吧。。。  这个问题不算BUG?

对，不少人还是用自动模式的，而且卡巴斯基也推荐用户使用自动模式。