506版的卡巴HIPS的两个测试（简单叙述）

pluto1313

APT 4.2
COMODO CLT（最新版）：http://download.comodo.com/securitytests/CLT.zip

先说APT：454版的时候APT还能够看见卡巴的进程AVP.exe，506版的时候已经看不到卡巴的进程了。但是506和以前一样，仍不能保护第三方程序不被APT终止（卡巴仅能拦截APT用众多方式结束进程中的几种）

CLT：这个新版的CLT多了N多内容，不说具体哪些能通过哪些不能通过

上次的建议不知转发了没。。。这次把这些报上去吧，KIS2010版的时候能够全部拦截APT的所有方式（针对卡巴保护第三方进程，不是针对卡巴自己的进程），CLT这个工具麻烦下载最新版一同发给KL，让KL自己判断哪些保护确实需要加入（无论是为了评测还是实际作用）以便其改进通过CLT测试。

[ 本帖最后由 pluto1313 于 2008-11-15 23:31 编辑 ]

wangjay1980

召唤syfwxmh

syfwxmh

没太看明白，不过大概意思是看明白了~明天早上发邮件过去

wangjay1980

现在可以先发在论坛上

syfwxmh

我现在是用手机上的，去官网太慢，你在论坛上发吧，就说新的测试工具卡巴新版本不能完全通过

wangjay1980

发了CLT


不知会不会被删贴。。。

[ 本帖最后由 wangjay1980 于 2008-11-16 00:24 编辑 ]

pluto1313

另外，希望改进进程间消息传递的问题
卡巴拦截的消息种类太少，打个比方，我曾经测试过WM_QUIT、WM_CLOSE这两个消息，这两个消息都可以用来终止进程（当然不是只有这两个才可以用来退出进程的），但卡巴只监管其中一个，具体哪一个我忘了。。。

总之，我的意思就是卡巴的进程间消息拦截机制太狭隘，实际点说完全拦截不住磁碟机的消息洪水的方式破坏进程

我写了一个程序模仿磁碟机的消息洪水破坏进程，你们用卡巴来测吧，绝对没任何消息拦截的提示并可成功破坏进程（注意只是测试的消息拦截那个），本程序使用方法：在程序对话框中输入待结束的窗口进程的标题，必须和那个进程的窗口标题完全一样才行。比如你打开系统自带计算器程序，在我的程序里输入“计算器”即可

[ 本帖最后由 pluto1313 于 2008-11-16 00:30 编辑 ]

wangjay1980

恩，怎么提示了

pluto1313

你测试的是用我的这个程序去破坏哪个进程？

pluto1313

你用这个程序攻击记事本看看，打开记事本，输入“无标题 - 记事本”，看卡巴有提示没

我这里从来就没提示过