shulun743 - 2016-2-2 10:20:00
原先 发现 卡巴的 程序分组控制 很有特点 ,
今天发现 似乎 很是不一般
和 瑞星的 自动放行签名程序 和 云安全的文件 的 系统加固 完全逻辑上是不同的
就是 似乎 卡巴 只信任 并只把 微软的 签名 ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!
这就是 卡巴的 利用签名和从服务器自动下载匹配规则来给程序分组的 逻辑!!!
看见了 吗?这个程序是wps 的 ,并且有金山的签名 ,但是 卡巴 还是把这个 程序放入了低限制组!!!
并且 金山的签名是在不信任组中!!!
卡巴没有将这个程序放入 信任组 ,可能是判断是否是 微软程序,是否有微软签名 ,若没有的话
会利用 文件哈希 来尝试 从服务器上获取这个 程序的 默认分组!!!
若卡巴 服务器没有这个程序的 分组信息 ,则 将这个程序 放入了 低限制组, 当然 人家说是 行为分析引擎 根据分析计算得来的!!!
若 这个程序 触发 卡巴的行为分析引擎报警拦截后 ,可能会将这个 程序放入高限制 或 不信任组 ,若没有触发拦截报警,就放入低限制组
用户系统信息:Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0
今天发现 似乎 很是不一般
和 瑞星的 自动放行签名程序 和 云安全的文件 的 系统加固 完全逻辑上是不同的
就是 似乎 卡巴 只信任 并只把 微软的 签名 ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!
这就是 卡巴的 利用签名和从服务器自动下载匹配规则来给程序分组的 逻辑!!!
看见了 吗?这个程序是wps 的 ,并且有金山的签名 ,但是 卡巴 还是把这个 程序放入了低限制组!!!
并且 金山的签名是在不信任组中!!!
卡巴没有将这个程序放入 信任组 ,可能是判断是否是 微软程序,是否有微软签名 ,若没有的话
会利用 文件哈希 来尝试 从服务器上获取这个 程序的 默认分组!!!
若卡巴 服务器没有这个程序的 分组信息 ,则 将这个程序 放入了 低限制组, 当然 人家说是 行为分析引擎 根据分析计算得来的!!!
若 这个程序 触发 卡巴的行为分析引擎报警拦截后 ,可能会将这个 程序放入高限制 或 不信任组 ,若没有触发拦截报警,就放入低限制组
用户系统信息:Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0