虚拟机测试，卡巴不防的测试！求解

yhjtj

回复 17# syfwxmh
或者干脆请您给个测试通过的图给我看看算了，谢谢！

yhjtj

回复 11# 牧羊老汉

感谢回答！

taoyuan237

注册表转储
其实最大的弱点就是生产扩展名为HIV的文件
拦截其实也不难
用FD禁止生成HIV就是了
以后扩展名会不会改不知道
不过好像是调用API来完成的，具体的等待大牛指教

牧羊老汉

注册表转储
其实最大的弱点就是生产扩展名为HIV的文件
拦截其实也不难
用FD禁止生成HIV就是了
以后扩展 ...
taoyuan237 发表于 2010-1-11 20:37

  这样的解答才是中肯、一针见血，非常感谢！马上测试。
俺想听到就是：一，工作原理，二，解决方案。让软件克服默认方案的不足，以便在实战中起到更加严密的防御作用。这才是实实际际的东西。

jefffire

卡巴的HIPS确实有些不走寻常路，有些东西在comodo里面一设置就ok了，到了卡巴里就要转几个弯，有时候干脆就不知道怎么办了

牧羊老汉

注册表转储
其实最大的弱点就是生产扩展名为HIV的文件
拦截其实也不难
用FD禁止生成HIV就是了
以后扩展 ...
taoyuan237 发表于 2010-1-11 20:37

    你才是真正的大牛，务实、一针见血，虽寥寥几句但击中要害，再次衷心的感谢！

saber123

回复  yhjtj


其实……你应该看看卡巴的那几个受限组的设置，每个组别都有，要想用好卡巴，就要研究他的 ...
syfwxmh 发表于 2010-1-11 00:00

按照咱的KIS 2010设置，低权限全部提示，高权限和不信任权限都是完全阻止，估计有点过严了吧

yhjtj

回复 25# taoyuan237

禁止生成hiv文件，这个编制规则可以阻止实现
奇怪的是卡巴有提示：程序试图将启动项的注册表键值保存到hiv文件中，按照道理点击阻止，应该能够防御的，但还是被创建启动值（我的体会是：拦了白栏，拦截强度不够）
另外，创建hiv文件以后，按照道理，还需要回写到系统中去的，可惜的是，卡巴完全没有这个拦截项目！
md的日志反映了回写的过程，可怜的卡巴，难道只能通过防止建立hiv文件来防御几年前的技术么？
2010-1-12 23:24:59    使用配置单元文件替换注册表项    阻止
进程: c:\documents and settings\administrator\桌面\testregmon.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
配置单元: C:\Documents and Settings\Administrator\Local Settings\Temp\test6_temp.hiv
规则: [应用程序]*


另外求过剪贴板测试的方法！

yhjtj

回复 31# saber123

谢谢提醒，这只是为通过测试做的设置

yhjtj

回复 34# 牧羊老汉

拦截图在我的回复中有，卡巴拦截项目中有：保存注册表建到文件的功能，但显然阻止没用