原先 发现 卡巴的 程序分组控制 很有特点 ，

今天发现 似乎 很是不一般

和 瑞星的 自动放行签名程序 和 云安全的文件 的 系统加固 完全逻辑上是不同的

就是 似乎 卡巴 只信任  并只把 微软的 签名 ，只信任 微软的签名 ，至于别的程序的签名是不信任的 ，而是从卡巴的服务器上下载规则来控制它！！！

这就是 卡巴的 利用签名和从服务器自动下载匹配规则来给程序分组的 逻辑！！！



看见了 吗？这个程序是wps 的 ，并且有金山的签名 ，但是 卡巴 还是把这个 程序放入了低限制组！！！

并且 金山的签名是在不信任组中！！！

卡巴没有将这个程序放入 信任组 ，可能是判断是否是 微软程序，是否有微软签名 ，若没有的话

会利用 文件哈希  来尝试 从服务器上获取这个 程序的 默认分组！！！

若卡巴 服务器没有这个程序的 分组信息 ，则 将这个程序 放入了 低限制组， 当然 人家说是 行为分析引擎 根据分析计算得来的！！！

若 这个程序 触发 卡巴的行为分析引擎报警拦截后 ，可能会将这个 程序放入高限制 或 不信任组 ，若没有触发拦截报警，就放入低限制组

用户系统信息：Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0

就是 似乎 卡巴 只信任  ，只信任 微软的签名 ，至于别的程序的签名是不信任的 ，而是从卡巴的服务器上下载规则来控制它！！！

最后 研究发现这句话是不对的 ， 似乎 卡巴 有个证书验证 ，并不是 程序有签名就 自动将 此程序放入信任组，前提是通过 判断 签名 是否可信 ！！！

并且 利用文件 哈希 来  从服务器下载 规则，来控制 没有签名或 不信任的签名的  程序 ，若 连 哈希都不存在 服务器上 ，直接 将 程序 放入 低威胁组 ，前提是 行为分析引擎没有报警拦截 ，否则 会放入高威胁 或不信任组 ！！！