引用:
无限梦幻评测室出品
请大家以理性的态度去看待去学习这篇文章,如果有严重错误我们会及时纠正!现在删除了有争议的部分,并且完善了一部分措辞。但是难免会有疏漏,所以请阅读者海涵!
一、如果病毒放进低受限会怎么办?(修改)
我相信大家都遇到过这个问题,其实放进低受限同样会有拦截。但是这个拦截与微点等其他智能或手动HIPS不一样,它不是所有行为拦截,而是拦截有害行为。比如说病毒A,经过自动模式下被分进了低受限组。那么这个病毒获得的权限就比放入高受限的自由权多。但是即使如此,这只是第一步。就好比这个地球有N多人属于不同国家,而我们是中国人,是这些人中的一部分。在这一部分里卡巴通过HIPS继续分类,按照数字签名(后面还要说到)和白名单进行筛选,就好像选举领导人一样,把领导选出来剩下的就是公民。在这么多公民里,又有不同阶层的人,有的人争得多有的人争得少,有的人权势高有的人权势低。所以HIPS对这些人进行danger index分类,也就是危险指数。在1-49内为贵族,50-99内为公民,100为社会通缉犯。在50-99这个范围内病毒是不会穿过HIPS进行破坏因为限制太多。1-49内可能就有人问了是不是低受限就会有影响。答案是肯定的,但是安全不会受到威胁。比如每天的测试样本,经常可以看见有少数低受限病毒进程出现在任务管理器里,但是很奇怪的是你的电脑并没有被破坏,当然可能出现其他更改等现象,比如时间修改病毒,虽然成功修改了时间,但是这个病毒原来锁定时间和任务管理器的危险行为却被拦截,时间照样可以通过windows自带的时间日期调回。所以说低受限并不可怕,依然安全(这是在大多数情况下,低受限的规则现在仍然不完善)。
PS:高手建议使用交互模式,这样能更加安全,但是易用性会降低!
二、数字签名被伪造了怎么办?
数字签名被伪造,这个从技术手段来说确实可以。而且丫一做过试验(测试样本和结果可以和他要),他嵌入了各种伪造样本。虽然躲过了卡巴的第一道防线,但是病毒依然被拦截。所以说卡巴是个立体防御,你要想过卡巴2009HIPS不是破坏一个就可以达到目的的。
三、如果病毒不小心放入了受信任组会怎么样?
这个放心,即使你放入了卡巴信任组,躲过了卡巴规则,但是HIPS和PDM依然会进行,如果有危险行为则会自动拦截,部分病毒卡巴甚至可以将其从信任组重新放入受限组,从而达到保护。
四、难道没有过卡巴2009HIPS的病毒吗?
确实到目前为止还没有病毒可以穿过卡巴2009HIPS(利用BUG的除外),不管是中国的黑客联盟还是国外的黑客组织现在对于卡巴的PDM依然没有办法,他们最厉害的只是越过了HIPS规则和数字签名,白名单和PDM等其他防御手段还没有任何进展。当然,没有密不透风的墙,所以只有不断完善才能更加安全。
PS:没有100%可以防御的杀毒软件,所以如果你抱着这样的态度使用卡巴,建议你不要使用!
五、那个RING3过卡巴的怎么说?(增加测试结果,BY 丫一)
这个只能说是卡巴的一个BUG,至少现在422的测试结果,并没有被结束。当然这和系统环境有关。
丫一测试无法结束。
PS:卡巴会修复这个错误,这个RING3结束卡巴,只能结束UI。测试版本8.0.0.357
六、为什么在进行卡巴HIPS测试时会出现报病毒的情况尤其是免杀?
免杀是什么,无非是通过更改部分代码,使得跳过启发代码和特征码达到避免删除的目的。运行一个免杀为什么会报毒?
这是因为其原来是什么病毒还是什么病毒,只不过删除了原来的特征码而已,并不影响运行~对于一个曾经已入库的病毒来说,在卡巴沙盘的运行下就会原形鄙陋,如果其中一些行为跟某些病毒行为类似或者触发规则则会出现behavior similar xxxx这就是所谓的PDM和病毒库HIPS的结合,当没有类似行为时则会检查数字签名和白名单,如果没有则会归为低受限,当然这时的danger index在55以下~这时候卡巴只会拦截有害行为放行无害动作。当danger index在99以下则会归为高受限,拦截大部分动作,并有可能配合PDM提示,出现那几幅截图。如果行为太多会直接放入不信任组。
七、KAV和KIS的HIPS模块有区别吗?
这个答案是肯定的KAV的HIPS模块仅仅是一个附加模块而且功能有所削弱,起到辅助防御的作用。所以有很多病毒并不能很好的拦截。而KIS的HIPS模块是一个整体,融为立体防御里的一部分。配合各个模块的相互协作,加强自己的防御体系,从而达到近似完美的保护,所以说如果要想体验卡巴HIPS必须安装所有KIS组件,而不能只选择安装HIPS组件,因为它不是单独的HIPS,也不是传统意义上的HIPS,它是一个整体,需要各个模块相互配合,相互制约。
PS:如果你想体验卡巴2009的立体防御,建议安装KIS系列。
八、为什么测试区的两个卡巴2009扫描测试成绩不一样?
这是因为BUILD号不一样,参加立体防御测试的版本为8.0.0.422,而参加扫描测试的是8.0.0.357。两个版本虽然病毒库是一样的但是启发模块却不一样。据官方介绍,卡巴每出一个版本就会加强启发和HIPS防御功能,所以说从安全性角度上来说,新版本具有优势。但是引起的兼容性问题和BUG也是需要注意的。
九、病毒库后缀的变化
这个变化在于原来的病毒库后缀为*.avc而现在的后缀为*.kdc。所以有可能出现病毒库在一定时间内不一致的情况。但是命名方式和总数量是完全一样的。
