瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件 发现卡巴的签名验证很有意思 ,建议瑞星考虑

1   1  /  1  页   跳转

[建议] 发现卡巴的签名验证很有意思 ,建议瑞星考虑

发现卡巴的签名验证很有意思 ,建议瑞星考虑

原先 发现 卡巴的 程序分组控制 很有特点 ,

今天发现 似乎 很是不一般

和 瑞星的 自动放行签名程序 和 云安全的文件 的 系统加固 完全逻辑上是不同的

就是 似乎 卡巴 只信任  并只把 微软的 签名 ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!

这就是 卡巴的 利用签名和从服务器自动下载匹配规则来给程序分组的 逻辑!!!



看见了 吗?这个程序是wps 的 ,并且有金山的签名 ,但是 卡巴 还是把这个 程序放入了低限制组!!!

并且 金山的签名是在不信任组中!!!

卡巴没有将这个程序放入 信任组 ,可能是判断是否是 微软程序,是否有微软签名 ,若没有的话

会利用 文件哈希  来尝试 从服务器上获取这个 程序的 默认分组!!!

若卡巴 服务器没有这个程序的 分组信息 ,则 将这个程序 放入了 低限制组, 当然 人家说是 行为分析引擎 根据分析计算得来的!!!

若 这个程序 触发 卡巴的行为分析引擎报警拦截后 ,可能会将这个 程序放入高限制 或 不信任组 ,若没有触发拦截报警,就放入低限制组

用户系统信息:Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复:发现卡巴的签名验证很有意思 ,建议瑞星考虑

建议已收集。
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手 QQ群 64866930
gototop
 

回复 2F 瑞星工程师20 的帖子

就是 似乎 卡巴 只信任  ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!

最后 研究发现这句话是不对的 , 似乎 卡巴 有个证书验证 ,并不是 程序有签名就 自动将 此程序放入信任组,前提是通过 判断 签名 是否可信 !!!

并且 利用文件 哈希 来  从服务器下载 规则,来控制 没有签名或 不信任的签名的  程序 ,若 连 哈希都不存在 服务器上 ,直接 将 程序 放入 低威胁组 ,前提是 行为分析引擎没有报警拦截 ,否则 会放入高威胁 或不信任组 !!!
君素雅达,必不致令我徒劳往返也
gototop
 

回复 3F shulun743 的帖子

问题已补充。
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手 QQ群 64866930
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT