丢一个能显出卡8的 HIPS 存在问题的 AUTO

kingmuro

过诺顿１０.１版本

浪滔天

原帖由 syfwxmh 于 2008-10-25 08:48 发表

384069

我想用卡8的HIPS分析它的行为，所以设置了在所有分区下“读取”“写入”“删除”“创建”时都“提示”的规则，但样本在分区下创建文件时卡8没有出现任何提示，因为在创建前有个“读取”动作的提示，如果选择了“立即允许”读取，在分区下创建病毒文件时卡8不会有任何提示直接被允许创建（按照设置的规则，在创建时应该出现是否允许创建的提示），而如果在出现“读取”的提示时选择了“立即阻止”，则在分区下创建病毒文件会被直接阻止，但同样也不会出现是否允许创建的提示。卡巴的HIPS在这种情况下等于被废（只能在报告中找到被允许的创建动作的记录），因为实际上的设置是提示。默认设置无论低受限还是高受限组，对机密数据下的资源的所有动作都设置为“提示”，也就是如果有个样本是在机密数据所属的资源下采用同样的动作创建文件，用户无法发现，尽管卡巴默认设置了提示规则。
我认为这是一个很大的漏洞，但不知道是卡巴至今没发现这个问题还是卡巴认为这不是问题。

无尽藏海

Scan Stats:
  Scan Time: 2 seconds
  Scan Options:
  Scan Targets: D:\Virus\mcsonfig.rar
  Counts:
   Total items scanned: 3
   - Files & Directories: 3
   - Registry Entries: 0
   - Processes & Start-up Items: 0
   - Network & Browser Items: 0
   - Other: 0
   - Trusted Files: 0
   - Skipped Files: 0

   Total security risks detected: 1
   Total items resolved: 1
   Total items that require attention: 0

Resolved Threats:
Suspicious.AH.85
Type: Anomaly
Risk: Medium (Medium Stealth, Medium Removal, Medium Performance, Medium Privacy)  
Categories: Heuristic Virus
Status: Fully Resolved
-----------
1 File
d:\virus\mcsonfig.rar - Deleted