KIS2009 HIPS问题

anndyzhou

谢谢 浪滔天
按照你所说的测试了下，确实是这样的
看来卡巴8的HIPS还有很大的地方有待改进

XANADU

自动模式下  询问即允许

原帖由 浪滔天 于 2008-10-15 00:15 发表
卡8的HIPS确实有问题，如楼主这样的设置，在交互模式下，当你新建文件（比如压缩文件）出现提示时选择“允许”后，再进行删除文件的操作，会不出现提示直接被允许；而当你新建文件出现提示时选择“阻止”后，再进行删 ...

限制组默认规则都是‘读取’允许
楼主‘读取’也是默认
不存在‘读取’提示，允许后，之后动作都允许吧？

bluaze

原帖由 浪滔天 于 2008-10-15 00:15 发表
卡8的HIPS确实有问题，如楼主这样的设置，在交互模式下，当你新建文件（比如压缩文件）出现提示时选择“允许”后，再进行删除文件的操作，会不出现提示直接被允许；而当你新建文件出现提示时选择“阻止”后，再进行删 ...

卡8的设计便是如此。以Allow为例，Allow always是创建一条规则，Make trusted是把程序加入到信任组，而Allow now中的now并不是this action，而是this session，Allow是赋予整个进程会话的，只要该进程没有结束，就不需要再确认的。这样做的好处是，程序如果需要某项权限才能正常运行的时候，其运行期间往往需要经常使用该权限，如访问网络之于浏览器，Allow now这个选项方便了用户不创建规则只是临时赋权而又不必面对一次又一次重复的确定。

[ 本帖最后由 bluaze 于 2008-10-15 14:42 编辑 ]

wazi

原帖由 bluaze 于 2008-10-15 14:40 发表


卡8的设计便是如此。以Allow为例，Allow always是创建一条规则，Make trusted是把程序加入到信任组，而Allow now中的now并不是this action，而是this session，Allow是赋予整个进程会话的，只要该进程没有结束， ...

非常正确，如果now是this action的话有些程序不加入信任或排除光点Allow就要点死人了。

anndyzhou

貌视明白了一点
那看来要达到我那样的要求是达不到了

zhouyixia

我用的是KIS7.0125，主要用到他的“主动防御”中的“注册表保护”，感觉不错！KA2009，系统跟不上！

浪滔天

原帖由 hdjsn 于 2008-10-15 10:41 发表

限制组默认规则都是‘读取’允许
楼主‘读取’也是默认
不存在‘读取’提示，允许后，之后动作都允许吧？

你可以按照我说的测试下，把信任组的程序对保护资源的操作都设置为“提示”，当提示“读取”被允许后，“写入”、“创建”、“删除”操作时都不会出现提示，但设置的是“提示”，结果却不是这样。

浪滔天

原帖由 bluaze 于 2008-10-15 14:40 发表


卡8的设计便是如此。以Allow为例，Allow always是创建一条规则，Make trusted是把程序加入到信任组，而Allow now中的now并不是this action，而是this session，Allow是赋予整个进程会话的，只要该进程没有结束， ...

你可能理解错我的意思了，如果所有操作都设置为提示，当出现“读取”提示时选择允许后，会在进行“写入”、“新建”、“删除”操作时不出现提示，直接被允许，并不是其他读取操作不出现提示。如楼主的设置，当你“新建”操作时会出现提示，但你在“删除”操作时却不会出现提示。“新建”和“删除”是两个完全不同的操作，两者并无关联，不应该由“新建”操作提示时你所做出的选择来决定“删除”操作。如果其中一项操作的选择就决定了其他操作的结果，那对每种操作分别作出不同的设置就显得毫无意义。假如要对某个受保护的文件夹内的文件进行保护，把所有程序对这个文件夹内文件的“读取”设置为允许，“写入”、“新建”和“删除”操作都设置为提示，如果有某个程序先在这个文件夹内创建文件，会出现提示，你选择了允许，而这个程序接下来还会对这个文件夹内的所有文件进行删除操作，这时候就会出现问题，因为删除操作会直接被允许而不出现提示，结果就是你想要保护的文件会被全部删除。

而假如你把所有操作都设置为提示，结果就会更惨，因为程序访问到这个受保护的文件夹时会出现是否允许“读取”的提示，而一般的读取动作很少有人会认为是高度危险而加以禁止，一般都会选择允许，结果就是这个程序能对你所保护的文件夹内的文件进行任意操作而不会给你发出任何提示。这个问题在对一些病毒样本进行测试时显得尤为特出，测试时一般会把样本的所有操作都设置为提示，一旦出现对某个文件夹内的文件进行读取操作，选择允许后，对这个文件夹内文件的其他操作都会被允许而不会出现提示，结果就难料了。

[ 本帖最后由 浪滔天 于 2008-10-16 00:09 编辑 ]

anndyzhou

现在我把信任组“我的备份”的读、写、删、创都设为提示
然后在“我的备份”下作任何操作还是没有提示
难道在自动模式下“提示”真就是默许？
晕了，这个规则还是要改进才行