【原创】KIS2010(build 437)HIPS防御能力测试【Kafan Virlist 5.22】【STOP停测】

显示全部楼层 · 发表于 2009-5-15 20:20:22

FD有难处啊，FD紧了很多程序都受影响，FD松了又没什么效果。。。

对了说起FD，卡巴那个命名管道的问题在2010版有改进么？

显示全部楼层 · 发表于 2009-5-15 20:21:57

我还没有测试这个………………

通过今天的样本来说，比09有了很大提升，但是有些地方保护的还不是很完美

显示全部楼层 · 发表于 2009-5-15 20:23:17

比如说？

显示全部楼层 · 发表于 2009-5-15 20:26:00

对于一些文件夹的监控还是有些漏洞，虽然最后防住了，但总体来说不是很完美。例如对windows\fonts的监控基本是0，还有主盘内的监控，当然这个也不一定算是BUG，可能和API有些关系

显示全部楼层 · 发表于 2009-5-15 20:28:19

http://bbs.kafan.cn/viewthread.p ... p;extra=&page=1

例如这个样本区的样本，对于卡巴斯基2010是无效的，卡巴2010可以很轻松的防住，包括那个taskkill.exe
09没测不清

显示全部楼层 · 发表于 2009-5-15 20:29:47

字体有必要监控么。。

显示全部楼层 · 发表于 2009-5-15 20:32:35

嘿嘿，这你就不知道了吧。起初我和你一样觉得这个文件夹监控是多此一举，但是前几天的测试中，有些病毒会往这个文件夹释放*.sys。经过OD分析，这个sys是Rookit类，如果被运行，那么就会对系统造成潜在的威胁。

显示全部楼层 · 发表于 2009-5-15 20:34:36

你用这个杀杀卡巴2010用户进程看看，能不能杀掉。09的用户进程就能被杀不过能自动重启，但是利用这个间隙干坏事够了

显示全部楼层 · 发表于 2009-5-15 20:36:15

那这就糟糕了，如果驱动随便塞呢。。。。未必非得放字体里

显示全部楼层 · 发表于 2009-5-15 20:40:13

回复 40楼 syfwxmh 的帖子