峪飞鹰：你搞错了啊，那2项是主动防御的，不是hips

如上图，那位朋友的帖子‘这两项千万不要勾选’，‘dll劫持漏洞，据说影响上百款软件’

你却说：

回复

这两个选项是给用户选择不让卡巴自动把某些软件加到信任区用的，用户可以自己选择是否信任某些数字签名的软件，

....主程序如果已经被卡巴自动认定为信任组（或者被用户手工加入信任组）则一切行为不会报警，会被放行。
...
峪飞鹰 发表于 2010-9-1 13:00

你第一段话说的是应用程序控制的那些选项的（2010的应用程序控制就是这2个选项，但2011稍微改动了一下，有3个选项），而我们说的是主动防御的2个选项，你可能看错了

第二段话也明显不对，进入信任组并非是万事大吉了，卡巴依然会监控进入信任组的程序
            
               
最上图，2011的主动防御的这2个选项，如果取消勾选，即便是有数字签名、即便在卡巴白名单中、即便在应用程序控制的信任组中，这些信任程序一旦出现可疑行为，主动防御也会报警的



         

貌似这样会增加提示，但我从卡巴2009开始就取消这些选项了，很少有来自信任程序的报警提示，有少数一些也都习惯了，比如安装360时会提示隐藏的驱动安装之类的
                 
相比安全，这些可疑忽略不计

veroKF

拜托……hips不就是主防不可分割的一部分么……
所谓HIPS，就是主机入侵防御系统

拜托……hips不就是主防不可分割的一部分么……
所谓HIPS，就是主机入侵防御系统
veroKF 发表于 2010.9.1 13:48

都属于主防范畴不假，但在卡巴中属于两个模块，相互关联又相互独立。既然卡巴没有把它们整合到一起，难道我们还要自欺欺人的认定‘它们是一体的’？

网页反病毒、文件反病毒、邮件反病毒不都是反病毒么，为何还要分那么细？

杀毒软件就弄一个模块好了，就一个选项：杀毒vs不杀毒，这样多简单

veroKF

我对你无语了，继续诡辩吧

我对你无语了，继续诡辩吧
veroKF 发表于 2010.9.1 13:57

      
理还是要讲的，是，它们都是主动防御，怎么了？谁说它们不是主动防御了，但在卡巴中，它们就是相互关联相互独立的两个不同的模块

我们说的是卡巴‘主动防御’模块的选项，峪飞鹰看成应用程序控制的选项了，才有了上面他那段话

尽管都属于主动防御，它们的这些选项代表的意义完全不同，我还要在这向你普及卡巴软件的基础知识？
      
           
你没看主题内容么，驴头不对马嘴

诡辩？也要有个东西来让我们辩啊，我们在辩论什么？我们在辩论空气

蓝色飞鱼

不明白呢，不知所云

不明白呢，不知所云
蓝色飞鱼 发表于 2010.9.1 14:03

这世道还是不明白的好，难得糊涂嘛
           
我也撤了

爱咋地咋地

峪飞鹰

>>第二段话也明显不对，进入信任组并非是万事大吉了，卡巴依然会监控进入信任组的程序

楼主想说的是，加入信任组的程序加载木马文件的时候，也会被卡巴报警对吧？这个没错，但是那是HIPS和反病毒组件一起进行文件控制的时候报告的，也就是说，这个依赖于已经存在的病毒库。而事实上，如果恶意DLL不是被入库的话，那么其一切提权行为都不会被卡巴报警，我这个描述倒是真没错。被信任的程序可以随意修改注册表，随意修改系统文件。只要被信任的exe进程加载的文件不在病毒特征码数据库里面，则绝对不会报警。

一般反病毒软件对木马和病毒有个响应期的时间问题，在这期间主要防护计算机用户电脑的就是HIPS了。因为他能在不合法的数字签名可执行程序执行的时候，监控程序行为，并根据行为给用户一定的提示，让用户决定是否允许（楼主如果注意到的话，可以随意找个没数字签名但是会修改系统Exe的程序，运行起来，卡巴会询问，你点信任后，一切行为都不会被报告了）。这里你会和我节根，说这是exe，但事实上DLL是附着在这个exe中执行的，exe加载了dll后，这个DLL就有这个exe进程的全部权限，而行为本身不会是以DLL执行，而是进程的方式被HISP监控，所以如果用户虽然看到提示，但是还是点击了“信任该程序”后，那么卡巴的HIPS仍然会认为DLL的动作是exe进程的行为，而不会加以阻止。

我所使用的开发工具的破解就是用这种dll入侵的方式完成的，而我不可能不信任开发工具（因为它有获得子进程权限，要插入Debug代码到子进程里面，所以我肯定要选择信任），那么信任后，在我的机器上dll行为完全不受控制，这绝不是我随口说的。

而且即使我是木马作者，我用DLL入侵的方式让虚假DLL被系统加载后，我绝对不会立刻放病毒出来，而是用服务或者自启动方式加载个下载器，下载器再下载木马病毒（后续动作不会在当时完成）。这样就神不知鬼不觉的进电脑了。一般木马都是这样写的。所以，这个时候，进程的可执行权限和HIPS对进程的控制才是关键，而不是DLL。

另外，去掉这两个选项后，默认进程是非信任组，那么加载DLL后，一切非法行为都会被报警，这个是不假没错的，我在我的帖子里面也没有否认。但是我强调的是，这个时候执行的exe文件的正常操作都会被卡巴报警，而用户通常没有足够的知识认识到这个程序的行为到底是正常的还是非法的，如果用户反复点击“允许”的话，那么也可能在DLL非法执行操作的时候，被用户“误点允许”而放行；同理，如果用户每次都点拒绝的话，某些程序就可能执行不正常。这种权衡的利弊用户很难做到万无一失的。

这里我举例说明，我的Chrome浏览器的自动更新程序是带有Google的数字签名的，我在我的卡巴设置中取消掉您说到的主动防御的信任数字签名等选项，那每次Chrome执行的时候，会弹出黄色窗口，提示某临时文件要读写用户目录，然后继而提示一个Expand的程序要释放文件，最后提示，Chrome.exe正在被更改。一般这样的提示，你认为普通用户会选择拒绝还是允许呢？选择两种不同答案后，对计算机的影响是什么呢？如果用户选允许，自然Chrome如果遭到DLL入侵威胁，用户无法判断行为的恶意性有多高；如果用户每次都点拒绝，你认为Chrome还能完成自动升级吗？
所以最后我的看法依然是，去掉这两个选项必须假设用户有足够的计算机知识，能够识别某个程序的行为是否是正常；另外的行为是否是非法。如果用户没有这样的知识，去掉这个选项，只会让用户在“请问你某某程序要提权”、“请问你某某程序要写文件”、“请问你某某程序要修改系统配置”的提示中逐渐疲劳，当一次又一次用户手工点了允许，或者某一次用户又点了“信任该程序”，那么您在帖子里面建议的初衷（防止DLL入侵危害计算机）就显得没有什么意义了。

峪飞鹰

洗澡去，等下玩手持设备，到时候懒得打字了。呵呵。

wupo

终于看到有人答疑解惑了。难得……