关于kis8.0.0.454系统文件保护

blog

自动模式感觉功能有点弱，很多本来应该有的提示都没有，太“自动”了
感觉自动模式应该大改进
2009还有很多问题要改进

an0580na

呵呵，希望楼主的EXE更强悍些，，，

an0580na

本来想试一下的，看了回复，不浪费那个时间了

attc4

谢谢参观！

深红的雪

本来是不想说了，楼主真是搞不清状况

exe和bat系统中运行权限相同？

真的不好意思问一句，楼主真的了解什么叫运行权限？

1. 
   
2. @echo off
   
3. attrib -r -a -s -h %windir%\regedit.exe
   
4. ren %windir%\regedit.exe regedit2.exe
   
5. ren %windir%\winhelp.exe regedit.exe
   
6. del %windir%\regedit2.exe
   

复制代码

将以上内容保存为aa.bat，然后执行，看看能不能过自动模式？
自动模式的低受限的操作是自动允许，这能算过么？？完全没有任何技术可言


让你看看什么叫过卡巴吧，当然这个也是没有什么技术含量的
http://bbs.kafan.cn/thread-282171-1-1.html
在一楼，我以前写的测试程序，到现在卡巴还是不管
你尽管把test.exe放入高受限，甚至允许你更改其权限，只要保证它能运行就可以了
运行完重启再试试吧，会有惊喜的^_^
经测试过KIS8 454

attc4

自己手动执行bat和由exe释放后执行的实测效果是不一样的，因此本人推断实际情况下其权限不同。在我采用exe--->b.bat的执行方式失败后我才想到采用 exe--->a.bat--->b.bat这样的执行方式的.

引用：这能算过么？？完全没有任何技术可言   


        我没有说我过了主动防御啊！也没有说用了什么特别技术的啊。


    你的文章我拜读下。。。

引用:

exe和bat系统中运行权限相同？

真的不好意思问一句，楼主真的了解什么叫运行权限？



PS:最后麻烦您一下：bat执行的可以去掉文件只读属性，一般的exe可以吗？这是否能理解为权限不同？

[ 本帖最后由 attc4 于 2008-8-18 17:48 编辑 ]

深红的雪

bat执行的可以去掉文件只读属性，一般的exe可以吗？

ring3下SetFileAttributes即可，很简单
其实在程序里能做的事比批处理多着呢，
这不是权限不同，只是方法不同而已

至于为什么你的有的方法不能成功，大概是因为卡巴在分析程序后给出危险索引值不同，索引值的高低决定了程序在自动模式下的受限程度，
索引值高的：询问 = 阻止 ，索引值低的：询问 = 允许，如果索引值很低的话（为0或接近0），那么就相等于信任了

XANADU

原帖由 attc4 于 2008-8-18 00:15 发表
本人编写时直接考虑的默认规则嘛，默认的规则是自动模式，也是对系统目录下的EXE保护的嘛，我又不动其它内容。

默认规则对于询问动作是放行的
所以LZ的第二个样本得逞了。。。
在交互模式下，这个死也过不了

XANADU

原帖由 attc4 于 2008-8-18 07:29 发表
批处理和exe是一回事么，exe和bat系统中运行权限相同？卡巴斯基是在安装完后在不改设置的情况下难道不是禁止%windir%\regedit.exe删除的？你用C或者是VB写个exe,在不借助批处理的情况试一下，看能否在同样的运行环境 ...

低受限不是禁止删除的，低受限的默认规则是询问，自动模式会放行。。。。

attc4

谢谢解答，学习了。。。         本人并非专业人士，我是无意中直接手动删除regedit.exe后，发现regedit.exe又会在几秒中内自动恢复，所以认为为卡巴在默认设置下是保护regedit.exe不被删除的，哪怕是用户直接手动操作。所以做了这个小程序进行测试，难道这不能说明卡巴的对系统文件的保护存在漏洞？

[ 本帖最后由 attc4 于 2008-8-18 21:13 编辑 ]