這裡提前拿出來跟各位說明一下卡8的立體防禦運作方式及一些疑問
其實運作的道理非常簡單,在不考慮引擎的情況下
我們隨意運行一個從未運行過的一個程序
這時卡8首先會判斷該程序是否符合病毒特徵碼
如果是毒就直街進"不信任區",在這個區裡面的程序是沒有任何運行權限
如果沒有報毒,卡8會判斷是否有數位簽章,有數位簽章並且在白名單內的進"信任組"
沒有數位簽章的程序一般都進"低受限",最近卡巴官方更新ids後,有不少非惡意程序也會直接進"高受限組"
有些人可能會想到白名單是否有漏洞的地方,這邊我要說一下這個思考邏輯基本上是正確的
卡8如果處理一個已經被感染,或者是程序安裝包被綑綁流氓程序
就算是在"信任組"卡8還是會根據最優先級底層規則阻擋這些"信任組"程序惡意行為!
下面我實際運行一個在受信任區域的樣本,這個樣本是新小皓病毒
我直接執行,卡8由於已經將其入庫,所以會歸類進"非信任組"裡
我自己手動把它移到"信任組"內並且運行
執行樣本後直接歸類到非信任組
運行前自己移動到信任組
運行後提示受保護的註冊表試圖被竄改(這裡選擇ALLOW)
提示信任組程序出現可惜的木馬行為(這裡選擇ALLOW)
繼續提示試圖竄改註冊表(繼續ALLOW)
繼續提示試圖修改註冊表(還是ALLOW)
卡8還是希望我中斷它或隔離它(繼續ALLOW)
試圖調用firefox.exe,這裡之後我就開始阻止了
(因為我只需要證明前面的ALLOW不會造成其正常程序被感染)
卡8的LOG:
2008/5/24 W 08:17:44 Autorun Denied: KLPrivileges/KLSelfStart
2008/5/24 W 08:23:30 Modification hklm\SOFTWARE\Classes\exefile\shell\open\command Allowed: KLSystemData/KLStartupRegKeys/anyfile_open
2008/5/24 W 08:23:30 Modification hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Allowed: KLSystemData/KLStartupRegKeys/Main_Run
2008/5/24 W 08:23:57 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE Detected: Trojan.generic
2008/5/24 W 08:23:57 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE Not completed: Trojan.generic
2008/5/24 W 08:24:11 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Policies\Microsoft\Internet Explorer\Restrictions Allowed: KLPrivateData/KLOtherSoft/KLInternetBrowsers/Internet Explorer/NoBrowserOptions
2008/5/24 W 08:24:32 Modification hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Allowed: KLSystemData/KLSystemSecRegKeys/Policies_Explorer3
2008/5/24 W 08:24:32 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Policies\System Allowed: KLSystemData/KLSystemSecRegKeys/Policies_System
2008/5/24 W 08:24:32 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Allowed: KLSystemData/KLSystemSecRegKeys/Policies_Explorer2
2005/5/24 W 08:25:08 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE Detected: Trojan.generic
2005/5/24 W 08:25:25 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE Detected: Trojan.generic
2005/5/24 W 08:25:25 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\XIAOHAO.EXE Not completed: Trojan.generic
2005/5/24 W 08:26:49 Use command line of browser HTTP://%77%77%77%2E%31%35%38%64%6D%2E%63%6E/%62%64%2E%68%74%6D Allowed: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseBrowserCL
2005/5/24 W 08:26:10 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:26:12 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:26:16 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:27:14 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:27:58 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:28:14 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:28:22 Autorun Denied: KLPrivileges/KLSelfStart
2005/5/24 W 08:29:26 Autorun Denied: KLPrivileges/KLSelfStart
實際上不管是高低受限還是信任組裡的程序,還是依據行為分析判定,而不是單純只靠白名單
卡8還有一個相較於卡7一個非常大的改變,我以上的操作全部都是按"允許",但是我的系統並沒有被小皓感染
因為卡8把最終決定的權限自己保留住,只要碰觸到底層規則,一律自動阻止並用訊息提示
使用者的完全不會因為操作錯誤而被攻破,這個樣本在卡7如果按允許
系統是馬上就會被迅速感染的,但不表示卡7防不住,只要關鍵步驟阻止,這個樣本在卡7也防的住
同時我們也可以發現,卡巴官方其實是希望使用者儘量都用"自動處理模式"
"交互模式"一般是我自己不用也不推薦使用,因為"最終決定權"在卡8!
如果是要測試一些信任廠商推出的測試程序,才有需要使用"交互模式"
否則一般操作上使用自動處理不必擔心會有什麼問題!
沒有留言:
張貼留言