瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件 发现卡巴的签名验证很有意思 ,建议瑞星考虑

1   1  /  1  页   跳转

[建议] 发现卡巴的签名验证很有意思 ,建议瑞星考虑

发现卡巴的签名验证很有意思 ,建议瑞星考虑

原先 发现 卡巴的 程序分组控制 很有特点 ,

今天发现 似乎 很是不一般

和 瑞星的 自动放行签名程序 和 云安全的文件 的 系统加固 完全逻辑上是不同的

就是 似乎 卡巴 只信任  并只把 微软的 签名 ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!

这就是 卡巴的 利用签名和从服务器自动下载匹配规则来给程序分组的 逻辑!!!



看见了 吗?这个程序是wps 的 ,并且有金山的签名 ,但是 卡巴 还是把这个 程序放入了低限制组!!!

并且 金山的签名是在不信任组中!!!

卡巴没有将这个程序放入 信任组 ,可能是判断是否是 微软程序,是否有微软签名 ,若没有的话

会利用 文件哈希  来尝试 从服务器上获取这个 程序的 默认分组!!!

若卡巴 服务器没有这个程序的 分组信息 ,则 将这个程序 放入了 低限制组, 当然 人家说是 行为分析引擎 根据分析计算得来的!!!

若 这个程序 触发 卡巴的行为分析引擎报警拦截后 ,可能会将这个 程序放入高限制 或 不信任组 ,若没有触发拦截报警,就放入低限制组

用户系统信息:Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复 2F 瑞星工程师20 的帖子

就是 似乎 卡巴 只信任  ,只信任 微软的签名 ,至于别的程序的签名是不信任的 ,而是从卡巴的服务器上下载规则来控制它!!!

最后 研究发现这句话是不对的 , 似乎 卡巴 有个证书验证 ,并不是 程序有签名就 自动将 此程序放入信任组,前提是通过 判断 签名 是否可信 !!!

并且 利用文件 哈希 来  从服务器下载 规则,来控制 没有签名或 不信任的签名的  程序 ,若 连 哈希都不存在 服务器上 ,直接 将 程序 放入 低威胁组 ,前提是 行为分析引擎没有报警拦截 ,否则 会放入高威胁 或不信任组 !!!
君素雅达,必不致令我徒劳往返也
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT