卡巴斯基7.0 新技术
新技术:
1、新的基于模拟器的启发引擎
2、反Rootkit的巨大改进
3、出站保护方面的改进(反泄漏方面)
4、新的隐私控制方案
5、检测新的键盘记录程序
6、改进了主动防御
7、改进了自我保护
新的启发引擎:
KAV 3,4,5 基于特征码扫描
KAV 6 加上了主动防御,基于程序行为分析
KAV 7 加上了基于模拟器的启发引擎
启发引擎使用了与主动防御模块相同的判断逻辑(规则)
但启发引擎和主动防御的事件(event)来源不同,一个是模拟器,一个是内核驱动
内核模块与实际的文件系统、系统注册表、网络等交互
模拟器通过模拟执行程序代码来获得相同的信息
对系统性能的影响:
新的模拟器不会使系统变慢,因为:
默认设置下,实时监控使用特征码和主动防御
扫描任务时使用特征码和启发引擎
反Rootkit技术:
检测隐藏文件:
1、主要的方法是交错扫描:通过Windows API获得文件列表,再通过直接的硬盘访问获得相同的文件列表,然后进行对比
2、Rootkit扫描:通过直接硬盘访问扫描所有文件及所有文件夹的NTFS交换数据流
3、高级Rootkit扫描:基本扫描加上所有文件的NTFS交换数据流扫描(会慢得多但在有些情况下是必要的)
防火墙出站保护:
不论怎样,KIS都将超过ZoneAlarm和SSM。我们认为我们最好的成绩是第三位,那是因为我们并不打算瞄准Comodo和Jetico的特殊解决方案(区别只是默认设置不同——我们认为我们的设置对于95%的用户来说取得了最好的平衡)
改进了主动防御与自我保护技术
新的隐私控制方案:
1、在大多数安全套装中的隐私控制方案:
输入您的隐私数据:PIN、密码
分析出站数据,当其中包含您的个人数据中时将其替换为“***”
2、很Cool的想法但在实际中不起作用
为什么?因为几乎所有的木马在发送数据前都会加密数据,而安全套装不能在加密了的数据中发现什么
3、我们怎样来保护用户的个人数据呢
1)我们能阻止对常见程序存储在内存中的密码和内存中Windows保护区域的访问
2)我们能阻止所有通过隐藏方式发送数据的尝试(被大多数木马使用)
检测新的键盘记录程序:
使用原始输入模式(新的就这一条 sidera译注)
改进了主动防御:
对使用新技术隐藏安装驱动的检测:
保存或恢复注册表服务部分的注册表项
使用内核函数ZwLoadDriver(可以被Ring3级别的程序使用)
自我保护技术:
(4)保护程序所在文件夹的权限设置
(5)保护程序相关注册表的权限设置
(只译了新的 sidera译注)
网友评论