邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]卡巴真的如此之弱？ [查看完整版本]

peter_yu 2007-2-23 15:03

[讨论]卡巴真的如此之弱？

议题作者：peter_yu
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近网上盛传一种终止卡巴防护的代码，更有甚者在病毒中添加了此功能，就是更改系统时间，而其确实也能终止xp下kav的防护，不过可能无法终止当设置权限为不允许更改系统时间时的kav…………
普通脚本代码：
@echo off
set date=%date%
date 1981-01-12
ping -n 45 localhost > nul
date %date%
卡巴竟会犯如此低级的错误？

剑客留香 2007-2-23 15:58

由于卡巴斯基会为了防止盗版，实时检测系统日期，以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控，同时主程序也无法扫描病毒，并且需要用户输入新的序列号。所以这是没办法的事，一直以来KABA一直如此！

wyf_1009 2007-2-23 16:48

看到小金猪网页上写，可以通过使咔吧的驱动脱钩来实现过主防的目的
不知道这个是怎么实现的。

my咖啡 2007-2-24 17:26

卡巴的反盗版功能也是他的缺陷,
自己修改下电脑的权限就可以了
在  本地策略—用户权利指派—更改系统时间 里面把所有的帐户都删除
这样这段代码就没有用了.

net-owl 2007-2-25 00:02

楼上的兄弟说的倒是有些意思，利用权限解决问题。
恩，不错

pixy 2007-2-25 11:58

卡巴已赢的中国市场，再说垃圾，使用人都比较多。

现在是经济时代，经济地位决定政治地位！

孤单在湖边 2007-2-25 12:58

那这样的话不是很容易就可以KILL掉喀吧么...
作为著名的杀毒软件厂商不是很丢人..

aoshi 2007-2-27 22:32

呵呵  应该所有的产品都是这样 当被大家摸透时就没威胁了

叛逆 2007-2-28 13:16

过卡巴表面内存一句花指令就可以过..楼主的这代码可以过主动吧..

叛逆 2007-2-28 18:59

不过卡巴的主动防御要是不用脚本过得了那应该也是高手了吧..
主动防御不错.就喜欢它的主动 [s:39]

gzy21cn 2007-2-28 19:24

这可能是一个漏洞，但卡巴在其它方面确实比很多杀毒软件强，这是不可否认的事实！

金州 2007-2-28 21:37

每种反病毒软件都有其长处，短处。
测试反病毒软件个人感觉主要应该用病毒来测试。
尽量不要用一些木马和一些脚本之类的。
木马和一些远程控制软件异曲同工，有很多机器上有正常的控制软件。
对木马这类的防御更多的不是依靠反病毒软件。而是一些检测判断工具和经验。
关于卡巴的利弊，小小举例一个，
卡巴斯基6.0可以拦截irq中断。这一点会造成一些用户麻烦。甚至在一些电脑上偶然会蓝屏。
但是从另一个角度看，这一点可却说明这个反病毒软件反病毒深度是很强的。
关于反病毒软件，用或者不用，用那一种，罗卜咸菜，各有所爱了。哈哈
不过感觉简单的说它弱，不是很准确。我相信来这里的很多人可能根本不用反病毒软件。或者不大会仅仅依靠反病毒软件。猜测。
以上个人看法。不具权威。：：：））

hanjianshuo 2007-3-5 12:44

卡吧还是比较好用　主动防御真的很不错　其实没有完美的东东的哦

叛逆 2007-3-5 18:31

卡巴对加过冷花指令的杀伤力为0,还没有国内的瑞星强.现在觉得卡巴比不上瑞星..而且性能消耗方面也比不上国产的瑞星..所以..卡巴除了一个主动防御,没有什么好的.(代表我个人观点..)

bearorc 2007-3-5 18:33

卡巴用的人多了,自然它的免杀也会多起来,不过它还是很好用的,修改时间的问题我觉得还是提醒下他们,发封信过去吧...让他们用别的方法反盗版..呵呵

帅得不敢出门 2007-3-6 22:06

瑞星的特征码很难改的　有的是不能改　　这个做免杀时定位很简单但要一改程序就不能运行了　

这点瑞星还是做的很好　现在其表面查杀功能也变强了　

赵子岩 2007-3-7 11:08

*** 作者被禁止或删除 内容自动屏蔽 ***

Helvin 2007-3-7 16:01

我装了两次卡巴，两次最终都打不开了。现在用诺顿

一挥衣袖 2007-3-7 23:01

这个好像脱离了杀软的强弱的讨论范围了，不过卡巴似乎也应该加强对这方面的恶意利用的防范了。

sixiang 2007-3-8 18:33

最不爽是玩游戏时候。监控太强。

lalaliu 2007-3-8 21:34

卡巴已赢的中国市场，再说垃圾，使用人都比较多。

现在是经济时代，经济地位决定政治地位！一点都不错

fishcpu 2007-3-9 10:13

我现在用的是nod，感觉比卡巴好用

yongmin 2007-3-9 10:32

卡巴的主动防御不错啊。即使有这样的漏洞，可以再加个ssm这样就可以双重保护你的电脑。

376497571 2007-3-13 15:23

越是出名用的人多几越被人搞破坏，vista的盗版问题是个典型案例（比以往的操作系统出现盗版时间周期最短）

mike81fang 2007-3-15 10:17

这只是一个小问题，在新版本中一定会解决的！

ssspr 2007-3-15 12:09

萝卜青菜
软件用的人多了，弱点也就暴露出来了
辩证的看待问题。其实不是偶然是必然。

孤独的少年 2007-3-15 16:49

但是如果把时间改了，那用户岂不是很容易就发现，而且卡巴也会立即提示。。。

孤独的少年 2007-3-15 16:51

我想再无知的用户也肯定会怀疑中病毒了呀。
所以我认为这漏洞并不能体现卡巴失水平

zxzl 2007-3-17 14:09

呵呵，真是没想到卡巴会这样，现在都用麦咖啡 [s:265]

net-owl 2007-3-17 14:10

我当时是因为台湾地震的时候用的NOD32，以前一直用卡巴。但是换了NOD32后，发现卡巴不怎么样。我承认卡巴的主动防御确实做的很好很强，但是他的监控太烦人了，我个人觉得如果谁用ZA配卡巴而且是默认配置下，那觉得能烦死几口子，个人感觉卡巴对系统性能形象很大，推荐NOD32.

网络幽灵 2007-3-20 16:54

哈哈
大家说着说着就讨论免杀问题了``
相信都是免杀才讨论上杀毒软件的吧.
这些东西都没绝对的``

nixilin 2007-3-22 11:40

[quote]引用第0楼peter_yu于2007-02-23 15:03发表的 [讨论]卡巴真的如此之弱？ :
议题作者：peter_yu
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

最近网上盛传一种终止卡巴防护的代码，更有甚者在病毒中添加了此功能，就是更改系统时间，而其确实也能终止xp下kav的防护，不过可能无法终止当设置权限为不允许更改系统时间时的kav…………
普通脚本代码：
.......[/quote]


可不可以考虑改系统属性里面的“环境变量”，把表示日期的变量%date%改成别的（比如%riqi%）

那么系统里面没有了%date%这个变量，那句date=%date%就没什么很大作用了。

个人愚见，仅供参考。

spider82 2007-3-22 20:40

[quote]引用第15楼金州于2007-02-28 21:37发表的 :
每种反病毒软件都有其长处，短处。
测试反病毒软件个人感觉主要应该用病毒来测试。
尽量不要用一些木马和一些脚本之类的。
木马和一些远程控制软件异曲同工，有很多机器上有正常的控制软件。
对木马这类的防御更多的不是依靠反病毒软件。而是一些检测判断工具和经验。
.......[/quote]

偶的卡巴就经常让我死机，我一般也不开主动防御，怕把我自己存的病毒杀了。
现在的杀毒软件都是靠病毒的吃饭的吧，金州说的对，其实经验和判断力才是重要的。
我的朋友里也不乏装了瑞星，卡巴，诺顿都中毒的事情，最后很多还是手动杀了，杀毒软件永远都是死了，人是活的，所以病毒也是活的。以上个人观点。

silenter 2007-3-24 10:32

觉得 卡巴还可以了  至于他对花指令 不感冒的情况真的要改了......................

ahi 2007-3-24 15:56

我今天发现一个东西很有趣，就是BMP之类的位图是申明长度，然后后面的不管的。
鼠标图片就是BMP，在系统中的位置和名字也是固定的，而且比卡吧之类的软件先加载，如果我们可以做个特殊鼠标的话，可以在RISING的引导扫描之后加载，并且在他主程序加载前加载然后干我们想干的事情。至于执行的方式，如果能做到先潜伏，机器下次启动的时候再运行，应该是非常隐蔽了。用来过主动防御应该是足够了，也许还可以做些其他事情。

高手们试下，偶代码基础太差，只有构思而已。

＂进口處娚丶 2007-3-24 20:50

[quote]引用第6楼pixy于2007-02-25 11:58发表的 :
卡巴已赢的中国市场，再说垃圾，使用人都比较多。

现在是经济时代，经济地位决定政治地位！[/quote]
用的人多了。。

针对卡巴的人也多了。。

也会变垃的...

最大的缺陷...[s:265]

patch 2007-3-24 21:42

咔吧可不是垃圾

不过我们都把对象用在它上面

也就不是那么好了

dayang1718 2007-3-25 20:44

我刚写了一个下载者，在开着咔吧的时候运行的，直到运行下载后的程序，咔吧也一点反映都没有，最新的6.0的咔吧。谁想要的话，联系我[email]menghuanhack@tom.com[/email]

anda115 2007-3-25 22:49

这个方法是能过,但时间改了很容易就被发现.
有没有好的方法过喀吧的主动防御(已做好了免杀).但运行还是提示风险软件.....望高手给点思路谢谢 [s:269]

ilmeiyi 2007-3-27 10:52

[quote]引用第40楼net-owl于2007-03-17 14:10发表的 :
我当时是因为台湾地震的时候用的NOD32，以前一直用卡巴。但是换了NOD32后，发现卡巴不怎么样。我承认卡巴的主动防御确实做的很好很强，但是他的监控太烦人了，我个人觉得如果谁用ZA配卡巴而且是默认配置下，那觉得能烦死几口子，个人感觉卡巴对系统性能形象很大，推荐NOD32.[/quote]
nod32 对木马不行....................不过我还是继续用,以前用的是瑞星.....................

孤独的少年 2007-3-27 12:34

卡巴对脚本不行，我用了好几个脚本木马，它没有一个查出来 [s:270]
不过对于普通用户来说，它还不很不错的

evoli 2007-3-27 15:24

[quote]引用第3楼my咖啡于2007-02-24 17:26发表的 :
卡巴的反盗版功能也是他的缺陷,
自己修改下电脑的权限就可以了
在 本地策略—用户权利指派—更改系统时间 里面把所有的帐户都删除
这样这段代码就没有用了.[/quote]




这样对系统有什么影响吗?

evoli 2007-3-27 15:31

[quote]引用第43楼nixilin于2007-03-22 11:40发表的 :



可不可以考虑改系统属性里面的“环境变量”，把表示日期的变量%date%改成别的（比如%riqi%）

.......[/quote]




这里提到的"环境变量" 在哪里?[s:269]

见笑

nixilin 2007-3-27 18:10

[quote]引用第65楼evoli于2007-03-27 15:31发表的 :





.......[/quote]

我是引用LZ的内容。
LZ发的帖子里面有这么一段：
[quote]普通脚本代码：
@echo off
set date=%date%
date 1981-01-12
ping -n 45 localhost > nul
date %date%
卡巴竟会犯如此低级的错误？[/quote]

我也就是根据 "set date=%date%" 回的帖。

醉爱一生 2007-4-1 13:12

[quote]引用第3楼my咖啡于2007-02-24 17:26发表的 :
卡巴的反盗版功能也是他的缺陷,
自己修改下电脑的权限就可以了
在 本地策略—用户权利指派—更改系统时间 里面把所有的帐户都删除
这样这段代码就没有用了.[/quote]
这位兄弟的方法不错!!
我也去设置一下!

yuewuhen 2007-4-1 14:09

也算学习了一下，一向不喜欢卡巴，虽说杀毒能力是不错的，可以偶N年前初次尝试就被其可怕的报警吓坏了，我一直钟爱Ewdio，目前Ewdio升级为AVG7.5，肯定更加支持！本人目前同时使用正版瑞星和AVG，效果确实不错，虽然瑞星略弱了一点，但毕竟是国产杀软中还算权威的，和卡巴也有一比！

chinahest 2007-4-3 05:47

[s:265] 咔吧现在已经修改了，，，我手工都没法改系统时间列 要到BIOS里改去咯

darkangle 2007-4-4 18:13

瑞星个人觉得不行
给一些木马加了一些壳，瑞星就搞不定了
为了提高木马存活率
现在改用卡巴

hoppy 2007-4-4 22:27

我将系统时间改为1980年 咔吧就失效了 等工作做完再把时间改回来 可以实现的

花儿凋啦 2007-4-5 16:25

[quote]引用第7楼孤单在湖边于2007-02-25 12:58发表的 :
那这样的话不是很容易就可以KILL掉喀吧么...
作为著名的杀毒软件厂商不是很丢人..[/quote]


其实~~重要的是毒库的更新比较快这一点赢得了市场！

查看完整版本: [讨论]卡巴真的如此之弱？

© 1999-2008 EvilOctal Security Team