如何判断卡巴2009HIPS是否防住了病毒[知识普及]

全文转贴，未作任何修改。感谢原文作者   syfwxmh
名词解释：
PDM=Proactive Defense Module，就是主动防御模块。
HIPS=Host Intrusion Prevent System 主机入侵防御系统
RING3 这得从CPU指令系统(用于控制CPU完成各种功能的命令)的特权级别说起。在CPU的所有指令中，有一些指令是非常危险的，如果错用，将导致整个系统崩溃。比如：清内存、设置时钟等。如果所有的程序都能使用这些指令，那么你的系统一天死机n回就不足为奇了。所以，CPU将指令分为特权指令和非特权指令，对于那些危险的指令，只允许操作系统及其相关模块使用，普通的应用程序只能使用那些不会造成灾难的指令。形象地说，特权指令就是那些儿童不宜的东东，而非特权指令则是老少皆宜。
       Intel的CPU将特权级别分为4个级别：RING0,RING1,RING2,RING3。 Windows只使用其中的两个级别RING0和RING3，RING0只给操作系统用，RING3谁都能用。如果普通应用程序企图执行RING0指令，则 Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护。

引用:

[原创]如何判断卡巴2009HIPS是否防住了病毒[知识普及，更新]
  最近看见样本区，总是发突破卡巴2009HIPS的帖子。说实话那个帖子 漏洞百出，截图都是拦截成功的截图而那位会员偏偏说过卡巴2009实在是很无语（很佩服他的精神！值得大家学习！！），不过这也体现了一个问题，对于这个新兴事物许多人还不了解什么叫防住！这个帖子就为大家或多或少的解疑。
                                     无限梦幻评测室出品
一、如果病毒放进低受限会怎么办？
  我相信大家都遇到过这个问题，其实放进低受限同样会有拦截。但是这个拦截与微点等其他智能或手动HIPS不一样，它不是所有行为拦截，而是拦截有害行为。比如说病毒A，经过自动模式下被分进了低受限组。那么这个病毒获得的权限就比放入高受限的自由权多。但是即使如此，这只是第一步。就好比这个地球有N多人属于不同国家，而我们是中国人，是这些人中的一部分。在这一部分里卡巴通过HIPS继续分类，按照数字签名（后面还要说到）和白名单进行筛选，就好像选举领导人一样，把领导选出来剩下的就是公民。在这么多公民里，又有不同阶层的人，有的人争得多有的人争得少，有的人权势高有的人权势低。所以HIPS对这些人进行danger index分类，也就是危险指数。在1-55内为贵族，55-99内为公民，100为社会通缉犯。在55-100这个范围内病毒是不会穿过HIPS进行破坏因为限制太多。1-55内可能就有人问了是不是低受限就会有影响。答案是肯定的，但是安全不会受到威胁。比如每天的测试样本，经常可以看见有少数低受限病毒进程出现在任务管理器里，但是很奇怪的是你的 电脑并没有被破坏，当然可能出现其他更改等现象，比如时间修改病毒，虽然成功修改了时间，但是这个病毒原来锁定时间和任务管理器的危险行为却被拦截，时间照样可以通过windows自带的时间日期调回。所以说低受限并不可怕，依然安全。

二、数字签名被伪造了怎么办？
  数字签名被伪造，这个从技术手段来说确实可以。而且丫一做过试验（测试样本和结果可以和他要），他嵌入了各种伪造样本。虽然躲过了卡巴的第一道防线，但是病毒依然被拦截。所以说卡巴是个立体防御，你要想过卡巴2009HIPS不是破坏一个就可以达到目的的。

三、如果病毒不小心放入了受信任组会怎么样？
  这个放心，即使你放入了卡巴信任组，躲过了卡巴规则，但是HIPS和PDM依然会进行，如果有危险行为则会自动拦截，部分病毒卡巴甚至可以将其从信任组重新放入受限组。从而达到保护。

四、难道没有过卡巴2009HIPS的病毒吗？
  确实到目前为止还没有病毒可以穿过卡巴2009HIPS，不管是中国的 黑客联盟还是国外的 黑客组织现在对于卡巴的PDM依然没有办法，他们最厉害的只是越过了HIPS规则和数字签名，白名单和PDM等其他防御手段还没有任何进展。当然没有密不透风的墙，所以只有不断完善才能更加稳定。

五、那个RING3过卡巴的怎么说？
  这个只能说是卡巴的一个BUG，至少现在422的测试结果，并没有被结束。当然这和系统环境有关。

六、为什么在进行卡巴HIPS测试时会出现报病毒的情况尤其是免杀？
  免杀是什么，无非是通过更改部分代码，使得跳过启发代码和特征码达到避免删除的目的。运行一个免杀为什么会报毒？
  这是因为其原来是什么病毒还是什么病毒，只不过删除了原来的特征码而已，并不影响运行~对于一个曾经已入库的病毒来说，在卡巴沙盘的运行下就会原形鄙陋，如果其中一些行为跟某些病毒行为类似或者触发规则则会出现behavior similar xxxx这就是所谓的PDM和病毒库HIPS的结合，当没有类似行为时则会检查数字签名和白名单，如果没有则会归为低受限，当然这时的danger index在55以下~这时候卡巴只会拦截有害行为放行无害动作。当danger index在99以下则会归为高受限，拦截大部分动作，并有可能配合PDM提示，出现那几幅截图。如果行为太多会直接放入不信任组。


引用小夏的：
如果说6.0是初出茅庐的主动防御，那么7.0则是引入程序过滤的尝试，而2009更是建立了一个立体的HIPS防御体系。

卡巴斯基2009的防御体系可以分为两部分：病毒监控与 网络监控和主动防御与程序过滤。前者是力争防范病毒入驻主机或在病毒入驻后立即枪毙。因为病毒库的滞后性，卡巴斯基2009加强了程序过滤部分。如果病毒突破第一道关口，程序过滤就会大显身手。虽有多层防御，但卡巴斯基2009需要用户交互的地方很少。原因在于它强大的病毒库与频繁的更新速率。

卡巴斯基2009能够自动为程序构建应用程序规则（相当于7.0的程序完整性控制），非常智能。每当程序第一次启动时，卡巴斯基便会调用多种手段对程序进行分析。如数字签名校验、白名单库、病毒库、黑名单库与启发分析，为这些程序赋予不同的访问权限，来限制程序访问。数字签名或在白名单库中的程序才会被分配到信任组，而在病毒库和黑名单库的程序进入未信任组，其它程序经启发分析后按危险指数被分入高受限或低受限，分配入组的程序将自动继承组规则。

根据扫描结果，应用程序将会被分为四个组：完全信任、低受限、高受限和未受信任。程序的受限程度越高，其可以访问的系统资源（文件，注册表项，外部驱动器，网络）也就越少。

卡巴斯基2009默认或推荐用户使用程序过滤的自动模式，允许和阻止的规则自不用说，询问的规则按允许处理。在实际情况下，用户动手的机会很少，一个病毒先要过病毒监控关，用户基本不用动手，后要过程序过滤关，也几乎不用动手，可以说做到了目前最大可能的易用度。

下面引用丫一的话：

但有人肯定会对卡巴斯基2009的安全性有所怀疑，比如它的分组，万一分错组了怎么办？它的信任组不会被恶意利用吗？或者那些有数字签名的联网程序不会有漏洞吗？

首先，信任组卡巴斯基是不可能分错组的。但如果信任程序被恶意利用呢？卡巴斯基2009充分考虑到了这一点，除了在规则中对信任程序给予保护之外，它还外加两层保护，主动防御和进程权限继承。主动防御分8种，除了靠行为分析能够基本肯定的恶意程序之外，还有一些高危行为。它是在程序过滤之上的，即使一个程序在信任组，如触犯主动防御保护，也会被询问的。

卡巴斯基2009的权限继承类似于Windows的组权限，子进程不能超越父进程的权限且遵循低权限原则。如：b为a的子进程，假设b在信任组，a在高受限，那么b也只有高受限组的权限，假设b在高受限，a在信任组，那么b仍然只有高受限组的权限。这样就保证了低权限组不能恶意利用信任程序。但卡巴斯基2009对每个进程都要分析并分组，而并不是无规则进程就一定使用父权限。至于低权限组等会不会被利用，首先要看卡巴斯基2009的启发能力了。

其次，你可以看一下低受限组的权限，除了几个基本没有危险性的操作外都是询问，这也是推荐使用交互模式而不使用自动模式的原因。使用自动模式，安全性会降低，但能过卡巴斯基2009的病毒监控关和自动分组关也不容易；使用交互模式，易用性会降低，但能过卡巴斯基2009的病毒监控关和自动分组关也不容易，所以动手的机会还是不多的。