卡巴主动防御拦截熊猫烧香的演示暨卡巴7使用中产生AVP6目录的解决

Redevil

      问题引出见http://bbs.kafan.cn/viewthread.php?tid=94519&extra=page%3D1

     

以下是我个人使用后得出的结论，大家可以自由发表见解。

经讨论后得出的结论是，由于在安装完卡巴之后导入了卡巴6的设置，导致注册表中HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Behavior_Blocking\profiles\pdm\settings，以及HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Behavior_Blocking\profiles\pdm\settings\def  右边的sHistoryFolder对应的路径 变成了AVP6，才会发生这种情况，只要把AVP6改为AVP7即可

• 这个目录在C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7
• 此文件夹存放的是主动防御在发现有危险的系统操作后，阻止该操作，并且生成的恢复文件所存放的目录。下面以熊猫烧香的病毒为例演示给大家看，顺便向大家证明下，在没有文件监控的情况下，只靠主动防御，卡巴就能轻松干掉熊猫烧香。

• 首先我到http://bbs.kafan.cn/viewthread.php?tid=81699&highlight=%D0%DC%C3%A8下载了一个熊猫烧香的病毒。如图所示

• 

• 接着我把卡巴7的除了主动防御的其他组件全都关闭(我只装了4个组件)。如图

• 

• 接着双击熊猫烧香的病毒，运行。卡巴弹出提示，注意由于这时我已把文件监控关了，所以弹出的提示是主动防御的

• 

• 接着点击详细信息，出现以下窗口，可以看到熊猫创建文件的位置。现在我点击保存。

• 

• 出现以下窗口，请大家注意其中的地址，就是AVP6。这里保存的恢复文件。

• 

• 关闭此窗口，回到下面的窗口

• 然后点击终止，终止所进行的动作的终止熊猫的进程，出现以下窗口

• 

• 点击恢复，出现以下窗口，恢复所进行的动作就是删除熊猫创建的那个文件，此次恢复成功，说明熊猫创建的那个文件被卡巴删除，同时熊猫的进程也被卡巴终止，尽管一开始我双击运行了熊猫，但在关闭文件监控的情况下，只靠主动防御，卡巴同样拦截了熊猫

• 

• 如果恢复失败，你可以进入刚才保存恢复文件的界面，手动进行恢复，效果是一样的

• 

• 这两个文件的内容如下：
• restore.bat文件内容:
• :: This file generated by Kaspersky Anti-Virus ::
  del "C:\windows\system32\drivers\winlogi.exe"
  start restore.reg
• 此文件是个批处理，作用是删除病毒创建的文件，恢复病毒删除的文件（如果有的话），并运行后面那个注册表文件

• restore.reg文件内容
• REGEDIT4
• 由于此次病毒文件运行过程中还没来得及修改注册表就被卡巴终止了，所以注册表修复文件是个空的
• 这里是这两个文件，我打包上传了 restore.rar (261 Bytes, 下载次数: 240)
  2007-6-8 13:47 上传

  点击文件名下载附件

• 至此已经说明了AVP7\PdmHist文件夹的作用，同样也演示了卡巴主动防御拦截熊猫烧香病毒的过程

[ 本帖最后由 Redevil 于 2007-6-8 16:17 编辑 ]

靖哥哥

强帖留名，等正式版7中......

16000

没有主动防御过。。

hansinaionna

强烈期待卡7 正式版推出

eubyo

我看了一下，我用的kis7的PdmHist目录是正常的，在AVP7目录下

[ 本帖最后由 eubyo 于 2007-6-8 16:07 编辑 ]

darkradx

强帖， 卡7正式版让人期待

blog

谢谢版主分享
原来这样

我再观察一下

如果真的如楼主所说，卡巴不应该再另外建个目录，这样可能产生误解

[ 本帖最后由 blog 于 2007-6-8 14:24 编辑 ]

听雨醉

绝对好帖！！

Redevil

原帖由 blog 于 2007-6-8 14:23 发表
谢谢版主分享
原来这样

我再观察一下

如果真的如楼主所说，卡巴不应该再另外建个目录，这样可能产生误解

我在使用主动防御的时候早就发现了，不过觉得没什么大不了，也就不说了，今天你提出了，我就展开顺便把主动防御给大家演示下，
我觉得这是他们的一个疏忽，忘了在借用卡巴6代码时在卡巴7的相应位置把代码给修改下
所以我已经在官方论坛发帖提出了
http://forum.kaspersky.com/index.php?showforum=16


有点晕
那里竟然又有人说没问题，不知道是我的表达能力有问题还是他们的理解能力有问题，用英语交流就是累

[ 本帖最后由 Redevil 于 2007-6-8 14:43 编辑 ]

blog

原帖由 Redevil 于 2007-6-8 14:35 发表

我在使用主动防御的时候早就发现了，不过觉得没什么大不了，也就不说了，今天你提出了，我就展开顺便把主动防御给大家演示下，
我觉得这是他们的一个疏忽，忘了在借用卡巴6代码时在卡巴7的相应位置把代码给修 ...

我正准备向卡巴反映
版主已经反映了，我就省事了