关于卡巴的兼容模式的探讨！

wangjay1980

        其实用了这么久卡巴，但是一直不知道卡巴的兼容模式到底是怎么回事，也是一个偶然的事

情，我终于发现了兼容模式到底是做了些什么。如果你既安装了卡巴又装了SRE的话，你会发现，

每次打开SRE都会有个警告，有四个函数的值与预期值不符LoadLibraryA  LoadLibraryW  LoadLibra

ryExA  LoadLibraryExW。其实这四个函数是被卡巴HOOK了，我也不懂编程，所以不知道HOOK这

四个函数有什么作用，上网查了下，LoadLibrary - 目标进程可以通过调用此函数来加载病毒DLL。

如果HOOK了这四个函数，就可以知道某个进程启动调用了那些DLL，也就是可以监控某些木马病

毒通过调用这四个函数来加载和启动自己的程序。我想卡巴提示某个进程被某个DLL注入就是因为

HOOK了这几个函数而得知的。那么如果你选取了卡巴的兼容模式，那么卡巴将不会在HOOK这四

个函数，（如果你选了兼容模式，重启后再打开SRE，就会发现那个警告没有了）所以，选了兼容

模式后，卡巴对此的监控就没有了，我认为是不安全的。所以建议不要选择兼容模式


PS：由于本人不懂编程，所以如果有错误的地方希望高手指正

diketaozi

正是如此，所以上次我在回帖中帖出来了，会进行API HOOK的正常软件名单：包括Kaspersky Antivirus，Outpost Firewall Pro 4.0
会进行API HOOK的正常软件名单：
Kaspersky Antivirus
Kaspersky Antivirus 对下列 Win32 API 进行了HOOK操作：

LoadLibraryA
LoadLibraryW
LoadLibraryExA
LoadLibraryExW
如果你安装了Kaspersky Antivirus，那么看到的警告提示信息是正常的。可以忽略。

Agnitum Outpost Firewall Pro 4.0
Agnitum's Outpost Firewall Pro 4.0 对下列 Win32 API 进行了HOOK操作：

NtCreateThread
NtRestoreKey
NtSetValueKey
NtTerminateProcess
ZwCreateThread
ZwRestoreKey
ZwSetValueKey
ZwTerminateProcess
CreateProcessA
CreateProcessW
CreateRemoteThread
如果你安装了Agnitum's Outpost Firewall Pro 4.0，那么看到的警告提示信息是正常的。可以忽略。