【原创】KIS 2010HIPS易用性安全性增强【KIS7.0、09、10安全性对比】

syfwxmh

大家不要以为这是说GUI ，毕竟这东西已经不会改了，因为什么前几天的帖子我已经说明了。


这里指的易用性是指HIPS自动模式下拦截的弹窗次数，如果按照默认设置进行测试。
我们可以看到，不管运行什么样的恶意程序，卡巴斯基2010只会弹出一个窗口或提示（低受限、信任组都不会有任何提示）

而且选项只有两个，yes or limit。可以说比09的自动模式更加智能化，而且分析程序的速度比09有了很大的提升 。昨天搜集了215个样本（卡巴MISS的），专门为今天的测试做准备：）

测试平台：
Windows XP Sp3(build 2600)

KIS 7.0.1.325(MP1)
KIS 8.0.0.506(CF2)
KIS 9.0.0.446(Pre RC)

全部采用自动模式+默认设置
（7.0没有，所以………………）

测试版本	7.0.1.325	8.0.0.506	9.0.0.446	病毒库相同	2010版本备注，7.0备注
拦截样本数	169	208（这个与2010不同，miss的7个不是把avp给终止了，就是拦截不完全，导致恶意程序残留 ）	212（miss3已经上报，低受限）	---------------	2010备注： miss3个为同一类型样本，恶意文件创建都被拦截，但是在拦截写入注册表方面有很多残余，所以算作失败
成绩	169/215=78.6%	208/215=96.74%	212/215=98.60%	---------------	7.0备注： 没有HIPS，只有PDM模块，所以成绩差距比较大，不过对于已经上市快3年的版本来说，已经相当不错了：）

弹窗次数比较

平均：
KIS7.0 很多很多，基本每个动作都需要参与  （因为没有自动模式缘故）
KIS09  平均每个程序弹窗（包括非用户参与弹窗） 4个
KIS10 平均每个程序弹窗（包括非用户参与弹窗） 1个

总体来说，kis10的HIPS确实给人眼前一亮的感觉，不管从安全性上还是从弹窗次数上都有质的提升 。（但是那个GUI ）

这里附注一下CLT成绩。

抛去MS数字签名的影响，卡巴斯基miss1.得分是330（总分是340）

16. Injection: DupHandles Vulnerable (前几个版本这个是通过的啊 )

[ 本帖最后由 syfwxmh 于 2009-5-23 11:30 编辑 ]

花间酒

弹窗次数比较

平均：
KIS7.0 很多很多，基本每个动作都需要参与  （因为没有自动模式缘故）
KIS09  平均每个程序弹窗（包括非用户参与弹窗） 4个
KIS10 平均每个程序弹窗（包括非用户参与弹窗） 1个

太好了优化的相当不错

syfwxmh

这是我唯一喜欢的一点，如果把09的GUI给2010就好了

easybeing

卡巴的路究竟要怎么走呢、、。

syfwxmh

俄罗斯人的性格：

喜欢探究技术，但是对于美工和易用性上却一点也不在乎。


话说德国和俄罗斯人的性格基本相同，都是一群固执的技术狂人，在审美方面确实

rok827

其实gui还好了，虽然说不上易用但是不是很复杂 最主要的是功能增强，查杀提高~减少误报

syfwxmh

对于追求安全性来说，卡巴这方面确实很猛，但是易用性和美工同样不能忽视，毕竟真正精通电脑的人很少

浪滔天

原帖由 syfwxmh 于 2009-5-23 11:31 发表
这是我唯一喜欢的一点，如果把09的GUI给2010就好了

前几个测试版本和8.0.0.506有相同的卡机问题，比如：winamp加载DFX音效插件后cpu达到90%以上（正常为3%左右），更简单的一个例子：你随便建上多个文件（可以是空白文本文档，数量最好能达到一百以上），然后复制这些文件粘贴到其它地方，看看需要多少时间，然后退出2010，再复制粘贴一次，看看粘贴的时间是否有区别。
8.0.0.506 版本我和wangjie都测试过（他上报过这个问题），不关闭卡巴的情况下需要5分钟以上的时间，而关闭卡巴后只要几秒（必须退出卡巴，不退出卡巴只关闭所有保护也没用），而前几个2010的测试版也有同样的问题。而8.0.0.454没这样的问题，所以我一直用454。

yu88480

还要改，慢慢改。

浪滔天

原帖由 syfwxmh 于 2009-5-23 11:31 发表
这是我唯一喜欢的一点，如果把09的GUI给2010就好了

原帖由 syfwxmh 于 2009-5-23 11:55 发表
俄罗斯人的性格：

喜欢探究技术，但是对于美工和易用性上却一点也不在乎。


话说德国和俄罗斯人的性格基本相同，都是一群固执的技术狂人，在审美方面确实

原帖由 syfwxmh 于 2009-5-23 11:57 发表
对于追求安全性来说，卡巴这方面确实很猛，但是易用性和美工同样不能忽视，毕竟真正精通电脑的人很少

真不知道他们的产品是定位给什么用户的，难道仅是那些对测试比较有兴趣的技术型用户？如果正式版能和8.0.0.454差不多流畅的话我还是会用的（自己勉强能摆弄明白），但我不会推荐给其他普通用户使用。