卡巴7.0新技术展示！！！

dickenson

很不错的帖子，就是英文太多，看着头大

wangjay1980

今后计算机都什么配置了，卡巴的占用根本就不算什么。

zerosu6652

好东西
请求置顶

如果LZ再用中文概括一下就更好了

[ 本帖最后由 zerosu6652 于 2007-5-31 08:42 编辑 ]

huangkun7758

看不懂呀

jpzy

1、增加了新的启发引擎
2、大幅增强了反rootkit技术
3、增强了防火墙的反泄露功能
4、新的隐私控制
5、增强了对新的keylogger的防护
6、提高了主动防御
7、提高了自我保护

我现在就在用7，怎么没感觉啊~~~~
对了，有谁知道昨天发布的119新版更新了什么东西？

[ 本帖最后由 jpzy 于 2007-5-31 09:48 编辑 ]

16000

很好，很强大！

illm

用7的来感觉下拉~~~偶现在还是6 呢

zhaonimm

原帖由 cgfx 于 2007-5-31 06:40 发表
E文看不懂，还是顶楼主

咱两个一样啊。。。。。。

sidera

我来大致翻译一下：

新技术：
1、新的基于模拟器的启发引擎
2、反Rootkit的巨大改进
3、出站保护方面的改进（反泄漏方面）
4、新的隐私控制方案
5、检测新的键盘记录程序
6、改进了主动防御
7、改进了自我保护

新的启发引擎：
KAV 3,4,5 基于特征码扫描
KAV 6 加上了主动防御，基于程序行为分析
KAV 7 加上了基于模拟器的启发引擎

启发引擎使用了与主动防御模块相同的判断逻辑（规则）
但启发引擎和主动防御的事件（event）来源不同，一个是模拟器，一个是内核驱动
内核模块与实际的文件系统、系统注册表、网络等交互
模拟器通过模拟执行程序代码来获得相同的信息

对系统性能的影响：
新的模拟器不会使系统变慢，因为：
默认设置下，实时监控使用特征码和主动防御
扫描任务时使用特征码和启发引擎

反Rootkit技术：
检测隐藏文件：
1、主要的方法是交错扫描：通过Windows API获得文件列表，再通过直接的硬盘访问获得相同的文件列表，然后进行对比
2、Rootkit扫描：通过直接硬盘访问扫描所有文件及所有文件夹的NTFS交换数据流
3、高级Rootkit扫描：基本扫描加上所有文件的NTFS交换数据流扫描（会慢得多但在有些情况下是必要的）

防火墙出站保护：
不论怎样，KIS都将超过ZoneAlarm和SSM。我们认为我们最好的成绩是第三位，那是因为我们并不打算瞄准Comodo和Jetico的特殊解决方案（区别只是默认设置不同——我们认为我们的设置对于95%的用户来说取得了最好的平衡）

新的隐私控制方案：
1、在大多数安全套装中的隐私控制方案：
输入您的隐私数据：PIN、密码
分析出站数据，当其中包含您的个人数据中时将其替换为“***”
2、很Cool的想法但在实际中不起作用
为什么？因为几乎所有的木马在发送数据前都会加密数据，而安全套装不能在加密了的数据中发现什么
3、我们怎样来保护用户的个人数据呢
1）我们能阻止对常见程序存储在内存中的密码和内存中Windows保护区域的访问
2）我们能阻止所有通过隐藏方式发送数据的尝试（被大多数木马使用）

检测新的键盘记录程序：
使用原始输入模式（新的就这一条 sidera译注）

改进了主动防御：
对使用新技术隐藏安装驱动的检测：
保存或恢复注册表服务部分的注册表项
使用内核函数ZwLoadDriver（可以被Ring3级别的程序使用）

自我保护技术：
（4）保护程序所在文件夹的权限设置
（5）保护程序相关注册表的权限设置
（只译了新的 sidera译注）

网络性能：
有些用户抱怨安装了KIS 6.0后会降低网络性能（如eMule，游戏等）
所以我们彻底重写了网络驱动

测试标准
Windows Vista和XP SP2 32位，KIS 7.0防火墙与IDS打开
大约200条规则，使用netcps.exe工具测量

         In(MPS)   Out(MPS)   In(%)   Out(%)
No KIS   8.00      8.03       100     100
KIS 6.0  3.87      2.84       48.38   35.37
KIS 7.0  7.94      7.93       99.25   98.75

[ 本帖最后由 sidera 于 2007-5-31 10:39 编辑 ]

16000

19楼E文达人啊，我打汉字都没这么快