关于kis8.0.0.454系统文件保护

深红的雪

建议楼主把帖子的内容编辑一下，尽量客观一些
尤其是标题的“漏洞”等字样
漏洞不是随便叫的，而且会很容易误导新人
严格说这个不能算漏洞，因为如果是真正的病毒，能被分到低受限的概率就已经十分低了，若要使其自身的危险索引也很低的话就更加困难了
而且你的程序并不能算病毒（仅仅是单一行为的东西，而且该行为没有明显的攻击性，关键是，你的程序能让卡巴网开一面进入低受限，但对于病毒来说哪是那么容易的事），而且即使病毒这么做也不会给它带来任何实质好处
当然你也可以试试删除其它的系统程序，但随着危险索引的升高，即使是自动模式也过不了
如果能找出KIS8没有监控到的操作方法，那才能叫保护的漏洞。例如即使设置了规则阻止某程序删除文件，但该程序还是能删除某某文件等等

PS:卡巴对于运行的程序（包括脚本）都是独立分析的，并且有权限的继承
如果exe--->a.bat--->b.bat这样的方法能过，那么a.bat--->b.bat 或者直接 b.bat的方法也是能过的

PPS：直接删除regedit.exe但很快会自动生成的原因是：当winlogon.exe发现系统文件缺失时，会自动将dllcache里的备份文件复制过来，这个与卡巴无关

[ 本帖最后由 rappar 于 2008-8-18 21:47 编辑 ]

maplemac

LZ的测试程序并不算什么恶意行为，这个卡巴当然放宽松了。
能伪造一个数字签名才牛，卡巴对于这个的判断有点大意，有数字签名的就自动放入受信任组了，但是软件的行为特征要排除特征库里面的，不然直接报毒了。

attc4

不好意思，我看regedit.exe没有只读和系统属性，以为windows本身没有对其的恢复机制。说下第3个样本的问题，运行以后删除xp系统根目录下的ntldr，实测通过。 帖子的标题已经改了。

[ 本帖最后由 attc4 于 2008-8-18 22:55 编辑 ]

深红的雪

试了下第三个程序，没过吖



当然自动模式的话会自动允许删除


我不是说过直接用批处理也可以么？关于自动模式为什么会允许我也解释过了，这个其实没有什么意义
而且这个东西也是换汤不换药

@shift
@echo off
attrib -r -a -s -h c:\ntldr
del c:\ntldr

PS：卡巴对批处理还是比较宽容的，危险索引都很低，上面的批处理的索引为0

浪滔天

自动模式下禁止的话会影响到很多正常程序运行，但这确实存在不安全因素，卡巴最好能把更多的系统关键文件自动纳入保护范围。比如一些对系统的启动和运行有着至关重要作用的文件，对它们自动设置一些保护权限。

[ 本帖最后由 浪滔天 于 2008-8-19 01:17 编辑 ]

sxingbai

卡巴自带无此规则呀
是不是自己加的忘了

freebay

是啊，卡巴默认没有带这个规则吧