有关KIS2010 HIPS模块技术改进+数字签名机制的说明

syfwxmh

数字签名问题：
经常逛样本区的童鞋经常会遇到一类被卡巴命名为trojan-downloader.win32.geral.xx的病毒。该病毒签有伪造的数字签名，导致KIS2009的HIPS防御出现问题（随机出现，不同系统环境下结果不同）。为此卡巴2010已经对数字签名机制作出改变，如果勾选跳过数字签名的认证程序将只会跳过MS的数字签名，而其他机构的签名将一概取消信任。如果KIS2009用户希望HIPS能够抵挡此类病毒，可以到PDM设置里，将数字签名认证和白名单的信任取消即可防御。

MS=Microsoft

这里补充说明一下，卡巴2010依然会有数字签名和白名单，只不过对数字签名做了些调整！

[quote]
开发工程师对CLT测试中卡巴2010无法通过KnownDlls测试的解释
Hello, guys!!!
朋友你们好！
About the KnownDlls test in CLT.
关于CLT的KnownDlls测试
In that test CLT copy the original advapi32.dll (MS signed) to temp folder, then uses critical section mapping.
原因是因为CLT将一个具有微软数字签名的advapi32.dll的动态文件拷入到temp的文件夹，然后进行危险的测试。
Why we "fail" that test? - we Skip MS signed advapi32.dll. In "the wild test" with the real malware Knowndlls is protected in auto and interactive mode. (U may see - in the HIPS Right Access- for option KnownDlls - Deny action is chosen by default).
为什么我们会在这个测试中失败？-我们跳过了具有数字签名的认证的该dll，在流行测试中，真正的恶意软件如果使用knowndlls将会被自动模式或交互模式拦截。（你可以看到，在HIPS权限里，knowndlls被自动默认拦截）
...So, if u try to change the original advapi32.dll (in \system32 folder, and dont't forget dllcache) to any not MS signed file with the same name - we will pass that test.
所以，如果你尝试去掉advapi32.dll微软的数字签名，我们是可以通过测试的。

PS：开发人员已经表明在发行版的卡巴2010里，CLT的测试，matousec的测试以及任何公开测试的软件都会以pass的成绩通过（牵涉到MS数字签名而导致的测试失败不再讨论之列）。
因此，CLT的分数将会从KIS09的300/340变为KIS2010的340/340

PS2：紫色为原创翻译，绿色为原文。

HIPS、PDM模块的技术改进：

1、增强了卡巴的自我保护技术（这里主要是修复KIS09里出现的漏洞以及一些可以结束卡巴的样本带来的安全问题）
2、增强了HIPS的防御点（可以更好的拦截病毒样本，其实这就是为什么取消rollback的原因）
3、增加了手动设定程序HIPS行为分析组别的功能。
4、提升PDM的拦截效率，配合HIPS将安全性加以提高。

PS：经过测试，2010的PDM在有些地方不如KIS7.0（已经很接近了），但是配合HIPS（4D）可以有效的对付绝大多数未知的威胁。

PS2：为什么KIS2009，KIS2010PDM模块不如KIS7.0
因为，KIS2009、2010加入了HIPS（4D）模块，所以很多功能和PDM有了重复，因此削减了PDM。不过我们很高兴看到，KIS2010的PDM有了很大的提升，在某些测试中要比KIS7.0更为出色

提前消息：KIS2011将会有新的架构面世，开发时间将会是2010的2-3倍

[ 本帖最后由 syfwxmh 于 2009-5-22 22:07 编辑 ]

zyl1984

密切关注中！！希望KIS2010能够稳定！！

upondoo

持续关注....
看到LZ...........

303898443

昨天安装了2010的437试用。 安装后不用重启，有了报警声，流畅可比506，可以在实机下使用了，但安装文件夹的病毒库一下子达到了135M，506的才40M，不知何故，另外关闭自我保护后连临时文件都不能删除，难道自我保护强到这个地步了，如果这样也就没有必要设这个了，在一小时内没有发现不兼容的现象，后来用雨过天晴还原到506了。希望正式版有更好的表现。

syfwxmh

你是不是开启了traces？

laolaoliu

感谢共享信息

easybeing

对卡巴越来越失望，产品越来越臃肿，难用

sexing

还是测试好,,再拿出rc吧,,,

现在卡巴老想做世界第一,,,,,,,,,很危险,,非常危险

dianshixs

原帖由 syfwxmh 于 2009-5-22 14:18 发表

如果KIS2009用户希望HIPS能够抵挡此类病毒，可以到PDM设置里，将数字签名认证和白名单的信任取消即可防御。

具体怎么设置? 麻烦指点!

syfwxmh

原帖由 dianshixs 于 2009-5-22 15:52 发表



具体怎么设置? 麻烦指点!

取消红框里的勾即可