超NB的设置方法以及组合，让 KIS2011 自动模式 的拦截率达到90%以上（4.16最新修改）

fzq198776

都说KIS2011的自动模式很一般，很容易被过，但是交互式模式的大量弹窗着实让人厌烦。我这里有一个很NB的设置方法，可以让KIS2011 自动模式 的拦截率达到90%以上：
1. 在 “主防” 和 “应用程序控制”里 不要 勾选“信任带有数字签名的程序”
2. 在 “应用程序控制” 里设置为 “未知程序直接进入高限制组” ，而 不要 让卡巴自己分析

以上两点 一是为了防止“伪造数字签名的病毒”，网上花个几千块就能买一个过卡巴的数字签名了，二是为了防止卡巴分析了半天没分析出来，会默认将程序拖进 低限制组 ，在这个组里可不太保险啊！

PS：现在网上叫卖的过卡巴的木马一般分为三种：
1.利用卡巴的bug，我手上就有一个利用KIS2011 400版本漏洞的样本，运行后压根就没进程序分组！然后处于 交互式模式的 KIS2011就光荣牺牲了，当然了，这类木马一般会比较贵
2.直接添加过卡巴的数字签名，这个会便宜不少
3.直接就是骗子

这样即便病毒运行了又如何？在高限制组里一样玩不出啥子花样，如果大家还觉得不保险，那就把
高限制组 中所有“写” 以及 “改” 的权限 都给设置为 禁止，只保留了 读的权限~~

PS：大家觉得卡巴 卡机，很大一部分原因就是卡巴默认设置是自己 分析程序分组，此时卡巴会调用高启发引擎，并且默认设置下，最长可能会分析30秒，此时电脑的CPU除非是 4 核 以上，否则注定会卡

如果发现有正常程序被拖入了高限制组而运行异常（比如说一些修改版的软件），那就手动把他们拖入信任组（注意，在防火墙的规则里也要把被 误限制 的程序拖回到信任组，切记！否则你会发现很多程序即便运行正常，可是却连不上网！），当然了，拖入之前咱还得用沙盘（金山毒霸自带的）跑一边分析下。最后再加上个金山毒霸（开启全部监控，并使用快速监控，山山有兼容模式，能和大部分杀软共存）做个补充（主要看中金山毒霸的网购保镖以及快速响应的 云 ），嘿嘿。。。百毒不侵了~~


PS：本人此时已经将卡巴卸载，主要是 女友 也会经常使用我的电脑，卡巴的弹窗对于她来说太过深奥了，而且按照我的设置方法，不少小众软件和修改版软件会被移进高限制组，指望她手工拖回 信任组 有点不太实际。。。现在换用组合：360卫士+ NIS 2011 + 金山毒霸，强悍又智能！
当病毒文件运行时上述三款杀软的接管顺序：
NIS2011的智能主防——sonar 会先进行静态代码以及虚拟机动态行为的分析，在sonar分析完之前，样本是不会被释放到真机运行的（此时都在sonar构建的虚拟机环境中）如果判定是病毒就直接卡擦，如果突破了sonar，样本就会被释放到真机运行。此时，360卫士的云、毒霸的特征码以及毒霸的云 会进行扫描，如果依旧被突破则360卫士的主防跳出来进行接管，简直就是完美的链式纵深防御！其实从上面的描述中可以看出，sonar 几乎可以和 任何带有主防的杀软共存

我还是交互模式

在“应用程序控制”里设置为“未知程序直接进入未信任组组”，高限制组还是会出现纰漏，所以不如直接未信任组，更彻底

想法不错，值的研究一下！！那样对新手是个考验！！！

fzq198776

hdjsn 发表于 2011-4-7 09:35
我还是交互模式

在“应用程序控制”里设置为“未知程序直接进入未信任组组”，高限制组还是会出现纰漏， ...

高限制组差不多了吧。。。高限制组 只有读的权限，没有写入和修改的权限

dannes456

fzq198776 发表于 2011-4-7 09:46
高限制组差不多了吧。。。高限制组 只有读的权限，没有写入和修改的权限

这个好，话说我怎么老感觉卡巴在打开未知程序时卡的很呢，也没报毒，就卡住不动一分钟

fzq198776

dannes456 发表于 2011-4-7 11:32
这个好，话说我怎么老感觉卡巴在打开未知程序时卡的很呢，也没报毒，就卡住不动一分钟

因为你选择了让卡巴 自己分析 程序分组，当然卡了

chengyi

这个还要研究一下。

Liub

不是吧 卡巴自动模式没你说的那么不堪吧  

demonshute

英雄所见略同

陽桄~ぬ耀眼

回复 8楼 Liub 的帖子

我试过，如果一个程序在低受限组，遇到该询问用户动作会自动选择允许