无招胜有招 终截者杀软有金钟罩
近年来病毒纷纷使用了各种免杀反病毒技术,如加壳、修改特征码、内核驱动等,来达到逃避杀毒软件查杀的目的。进而在侵入用户电脑后就可为所欲为:关闭杀毒软件、窃取用户私密信息、破坏系统……我们评判一款杀毒软件的好与坏,不仅仅是依靠其强大的“病毒库”,还有一些非常重要的指标,如:自我保护。杀毒软件本来是保护用户电脑安全的,但如果遇到威胁时它自己先被灭掉了,那么谁来保证我们的隐私安全、保护我们的电脑安全呢?无招:其超强的自我保护能力(静态,相对扫描杀毒来说),有招:扫描查杀、主动防御、实时监控等(动态),此所谓无招胜有招。看来面对病毒对杀软的破坏,选择一款自我保护能力强的杀软是非常重要的参考因素之一。
网上用NOD32的较多,好评不断(我也用NOD32,嘿嘿),那就拿它来开刀吧。在任务管理器中结束NOD32的两个进程:egui.exe被轻松结束掉(汗~~这是怎么回事啊,我这是英文的汉化版,难道和我的版本有关?),另一进程ekrn.exe(NOD32的反病毒核心进程)在被关闭后马上会重新启动(第一次被结束时,黑[吓]得我一滚,以为大家吹得叮当响的NOD32是杆蜡枪呢。还好它立马又“活”过来了)。
[img]http://news.skycn.com/newsimg/2008/0725-51.png[/img]
再用传说中的“IceSword冰刃”试试,结束进程后NOD32仍会重新加载。呵呵~~看来NOD32还是对得住各位网友滴!
[img]http://news.skycn.com/newsimg/2008/0725-52.png[/img]
江民KV2008据说其自我保护的“金钟罩”十分厉害,在任务管理器中果然是没法删除的(要是在任务管理器中都被干掉了,那江民还有的混?)。后面又在冰刃、狙剑、Wsyscheck等相关管理工具中尝试关闭,江民依然不为所动。且KV2008还会禁止修改或删除其安装文件夹下的文件,看来江民的“金钟罩”功夫果然了得啊!
[img]http://news.skycn.com/newsimg/2008/0725-53.png[/img]
[img]http://news.skycn.com/newsimg/2008/0725-54.png[/img]
终截者抗病毒。测这款软件是因为比较喜欢其密码锁功能,偶常玩网游,所以帐号密码得看紧点。任务管理器中结束,如图:
[img]http://news.skycn.com/newsimg/2008/0725-55.png[/img]
其实用这款软件的另一原因就是,现在有些网友不是常碰到有关杀毒、病毒等字样的软件或程序都打不开或打开后会自动关闭——这其实是某些病毒采用窗口标题判断这样一种方式,来关闭杀毒软件。而这个软件的另一个好处就是对于采用此类方式与杀软抗衡的病毒,可以进行人性化设置其标题(可以改成个任意你喜欢的标题哦)启动后再灭掉那些小样!呵呵~~这原理其实与IceSword的随机生成标题类似——应该也算是个金钟小罩吧,哈哈~~。
别扯多了,下面继续在IceSword选中其进程右键,结束进程,终截者的两个进程就消失了,看来IceSword在系统中的级别要比终截者更底层啊,轻易就灭了终截者(何止是终截者如此啊,接着往下看吧)。
后面又测试了几款2008版的同类软件,瑞星2008、卡巴斯基7.0、Macfee(企业版)、超级巡警v4.0等,在任务管理器中结束他们都是白费力,但用冰刃则可干掉他们。让人奇怪的是金山2008杀毒套装的进程,用任务管理器就被灭掉了,还真是想不太明白!虽说江民的“金钟罩”是挺厉害,但也并不是冰刃灭不掉它,只要在冰刃中设置选中“禁止进线程创建”,则江民不再现矣~~但还是得佩服下江民的厉害!呵呵~~
大家不要误会啊,这里并不是要说怎么可以灭掉杀毒软件,而是想通过结束其进程的难易程度,来表示其“金钟罩”功夫的强弱(当然这里只是测试其中的一个方面)!其后续步骤才得以进行,。有句话是叫:龙生九子,九子各不同(就想到这个词,汗~~),想必大家对杀软的“金钟罩”功夫到底怎样,肯定有不同意见吧!(不废话么,龙生九个崽都没一个相同的,大家肯定有不同的高见咯,俺们可是龙的传人呐,嘿嘿~~) 在52硬件论坛看到了相同的文章,江民的宣传贴。
冰刃能关江民KV2008吗?谈谈《杀软金钟罩》
计算机新病毒呈现的能够关闭杀毒软件的普遍特征,已经让杀毒软件自我保护功能显得十分重要。从“熊猫烧香”开始,到“磁碟机”病毒,杀毒软件的自我保护技术一次又一次地被提起和反复强调。近日,网上出现一篇作者不详的《无招胜有招 杀软金钟罩》的文章,作者很详细地对市面上几款主流的国内外杀毒软件自我保护技术进行了详细的测试,我看了以后,把作者的测试结果总结为四大类别。
第一类杀毒软件基本不具备自我保护技术,在系统任务管理器中即可被关闭的杀毒软件,如金山毒霸2008;
第二类是具有初步的自我保护技术,在系统任务管理器中无法关闭其进程,但使用专业进程管理工具软件(如“冰刃”)中则进程被关闭,包括:瑞星2008、卡巴斯基7.0、Macfee(企业版)、超级巡警v4.0等;
第三类是具有一定的专业自我保护技术,在任务管理器中无法关闭进程,但在专业进程管理工具软件(如“冰刃”)中,进程被关闭后又自动重建的杀毒软件,此类软件包括NOD32。
第四类即是无论在任务管理器,还是在任一款专业进程管理工具中(包括“冰刃”、“狙剑”、“Wsyscheck”),进程都无法被关闭的杀毒软件,此类软件目前只有江民杀毒软件KV2008一款。
笔者对该文的所有测试都重新测试了一遍,基本上和文中所说相符,可见作者也是花了一番功夫的。然而,文章中有一段描述让我很不明白,作者认为“虽说江民的‘金钟罩’是挺厉害,但也并不是‘冰刃’灭不掉它,只要在冰刃中设置选中‘禁止进线程创建’,则江民不再现矣~~但还是得佩服下江民的厉害!呵呵~~ ”。然而我将“冰刃”选中“禁止进线程创建”,重复多次选择结束江民杀毒软件进程“KVmonXP.KXP”,该进程丝毫不为所动。事后想了一下,江民KV2008并非是使用进程关闭后自动重建的技术保护进程的,所以说使用“冰刃”的“禁止进线程创建”对KV2008并不起作用,显然是作者想当然以为江民也使用了进线程重建的保护方法了,这也是整篇文章中最严重的一处败笔吧。
总的来说,《无招胜有招 杀软金钟罩》一文把平时被大家忽略的杀毒软件自我保护功能全面地总结了一遍,这在目前涌现出大量能够关闭杀毒软件的病毒情况下,显得十分重要,也不失为电脑用户选择杀毒软件时参考的重要依据之一吧。 江民的宣传帖?现在江民也爱到处打广告吗?堕落了啊。。。
只需轻轻一点,拒绝病毒袭扰
转载自 江民官方论坛 据国家计算机病毒应急处理中心调查,我国信息网络安全事件发生比例连续3年呈上升趋势,今年达到65.7%,较去年上升11.7%。计算机病毒感染比例在前两年基本持平的情况下,今年达到历年来最高的91.4%。当计算机用户配置了大量的安全硬件和软件,还是发现自己仍处于安全威胁之中后,用户会开始迷惑,究竟什么样的产品才可以保障自己的计算机安全呢?每个人到底应该为计算机安全要付出多少成本呢?在日趋恶劣的计算机网络环境下,计算机用户配置一款集病毒查杀、防御于一身的安全软件变得尤为重要。
据我理解,国内首款真正具备主动防御功能的杀毒软件KV2007早在2006年面世,用户反映其在已知病毒的查杀和未知病毒的防御方面均很优秀,于是 “主动防御”技术开始被众多安全厂商重视,直至2007年网络上才开始流传杀毒软件步入主动防御时代。2007年,以技术领先的江民公司精心打造了凝聚众多计算机反病毒专家及爱好者智慧与心血结晶的江民KV2008,以其“杀毒效果好、能够防范未知病毒、自身强壮度高、查杀速度快”等优势在《电脑报》2007年度杀毒软件横评中荣获最高成绩4A佳绩。
江民杀毒软件KV2008获得如此好的成绩,她在病毒防御等方面究竟有哪些高招呢?其具备超强的自我保护功能,病毒、木马想通过结束进程等对待其他杀毒软件一样的手段对她无效;具备完善的立体防护系统,文件监视、邮件监视、网页监视、即时通信监视、脚本监视均反应迅速,可以全面抑制已知病毒的攻击;各种常用软件的嵌入式保护可将已知病毒清除在萌芽期;相应的资源占用与扫描的极速狂奔无不给用户以安逸的享受。
然而,新病毒、木马的快速衍生还需要一套完整的主动防御体系的呵护,计算机用户方可真正高枕无忧。江民杀毒软件的主动防御体系由木马一扫光、网页防木马墙、系统监控、隐私保护、漏洞检查、未知病毒扫描工具、系统诊断工具及该公司的病毒预警、未知病毒分析系统构成,可谓应有尽有。有了这些利剑,阻止病毒、木马的恶意攻击就变得易如反掌了,同时也较好地弥补了传统杀毒软件采用“特征码查杀”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范。如附图中KV2008的各种人性化的提示弹出时,选择禁止或结束进程,就可以轻易将病毒拒之门外。当然了,KV2008的主动防御也可以“服务器”模式自动实现对未知威胁的拦截和清除,用户可以不关注防御的具体细节。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008116123433784.png[/img]
鉴于KV2008的良好的易用性,本文不再过多的描述,其主动防御使用起来极其简单,只需轻轻一点即可拒绝病毒袭扰!例如:令局域网用户深恶痛疾的ARP病毒、AV终结者及大名鼎鼎的威金病毒等,在KV2008面前无需病毒库,利用其主动防御组件即可轻松防御!如下图所示情况下选择禁止或结束进程即可阻止病毒文件进行下一步操作。为了演示需要,下图是在选择“允许”后之截图,网友们平常操作仅需一点即可,当然也见不到这么多提示了,呵呵
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008116123433138.png[/img]
故而,笔者向各位网友推荐江民杀毒软件KV2008,她可以为您的计算机提供全面的安全呵护,因为她不但可以轻松查杀已知病毒,还可以轻松拒绝未知病毒的侵扰!但愿所有的计算机用户能够拥有洁净的互联时空、能够安全舒逸的享受计算机带来的无尽乐趣!
kv网络版查杀脚本病毒
KV网络版软件系统采用B/S结构、多级控制中心、自由分组、远程安装、自动报警及日志系统、完善的用户注册系统、主机搜索功能、客户端迁移功能、以及其他强大的管理功能,简单远程部署功能、按需设置客户端权限等。控制中心:通过IE方式登录网络版控制中心,使管理更加方便,不用局限于必须在服务器上进行对全网的操作,可以在网内的任何一台计算机上打开控制中心对全网的客户端进去策略设置、文件下发、全网查杀毒、全网升级病毒库、查看全网的杀毒及病毒防护日志,极大的减少了网络管理员的工作量。
[img]http://forum.jiangmin.com/UploadFile/2008-1/2008116131835348.jpg[/img]
客户端:杀毒软件扫描引擎采用的是国际领先的驱动级深层杀毒、病毒主动防御、比特动态过滤引擎技术,可全面清除木马、后门、流氓软件、网络蠕虫等三十余万种病毒。病毒主动防御和实时监控防杀相结合,组成了电脑病毒立体防御体系,为企业学校日常办公、上网、下载、邮件收发、即时通讯等提供了全面的安全保护。江民网络版病毒库可根据设置随时自动升级到最新日期。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811543313648.png[/img]
前不久,我发现一台没装杀软的电脑出现了系统变慢并且有些文件打不开,一些重要文件被破坏的现象,难道电脑中了病毒了吗?同事们带着疑惑的眼神看着我的操作,电脑里的文件还能恢复往昔吗?我不失时机地边准备针对电脑进行全面的病毒清查,看是否电脑中了病毒,边给他们讲解病毒预防知识。首先我给这台电脑装上江民杀软,并将病毒库日期升级到了最新。
针对某个可疑文件或者可能有害的程序,首先进行查毒:点击右键,选择“江民杀毒”检查看是否是病毒。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811543313432.png[/img]
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811543314493.png[/img]
经过江民杀软检查发现是木马病毒的一种,点击确定,江民进行相应的处理。重启电脑后清除存在的病毒,轻松搞定电脑里的一个木马病毒,然后再重启电脑进入安全模式,启动你的杀毒软件扫描一遍就可以了,病毒将会被江民杀软清除得更彻底。
针对一些可疑性文件,江民使我如虎添翼也使我无后顾之忧,选择可疑性文件U67GV5HN,右击鼠标选择江民杀毒,很快的就发现了病毒
[img]http://forum.jiangmin.com/UploadFile/2008-1/200811543341732.png[/img]
发现电脑存在有2007年的十大病毒之一,病毒名称:Exploit.JS.Real ;中文名:Real脚本病毒;病毒长度:可变;类型:网页脚本;危害等级:★★★;“Real蛀虫”变种e是漏洞攻击病毒家族的最新成员之一,采用javascript脚本语言编写,并且代码经过加密处理。“Real蛀虫”变种e是一个利用“Real Player媒体播放器”漏洞进行传播其它病毒的网页脚本病毒。“Real蛀虫”变种e一般内嵌在正常网页中,如果用户计算机没有升级修补“Real?Player媒体播放器”相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种e的恶意网页时,就会在当前用户计算机的后台连接骇客指定远程服务器站点“[url]http://web.wzxyq.com/mm/[/url]”,下载恶意程序“mm.exe”并自动调用运行。其中所下载的恶意程序可能是网游木马、流氓广告、病毒后门等,会给被感染计算机用户带来一定的损失。
电脑在重启后清除病毒。看到经过江民的一系列查毒杀毒和系统修复,电脑又恢复了往日的平静,文件又被找到了,那份喜悦无可言表,纷纷夸赞我的技术。我高兴的说,其实真正的功臣是江民杀毒软件,我只不过如伯乐相马选择了一款适合办公的杀毒软件罢了。几经验证之后,我的同事们真正认识了江民,他们用了江民后,感觉上网安全多了。
在我的带动下,大多数同事家中也安装上了江民2008版,同时我不失时机地建议同事们要养成好的上网习惯才能远离病毒烦恼。即在课余时间多去相关安全论坛学习一些电脑病毒的防治知识,既得到了学习,又能应用与生活。现在学校上网基本是很正常了。在熊猫烧香肆虐的日子里,同样用别种杀软的同事中毒了,在AV终结者横行的日子里,用NOD32的同事倒下了,而我们一些配置相对较低的电脑却稳定运行着,因为我们选择了不同的杀软。
我想,事实胜于雄辩,通过一段时间对病毒的查杀能够培养出一个稳定的用户群体,也是一个杀毒软件最大的成功,江民杀软就做到了这点,所以,我还会选择江民。
未知病毒的克星-kv2008
“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”,明明安装了杀软并且开启了实时监控,还是惨遭毒手。出现这样的情况并非杀毒软件无能,而是传统的技术是依靠特征码对病毒进行识别的,如果病毒未被杀毒软件公司收录入库,我们就始终无法查杀,病毒还是一样逍遥法外。而江民杀毒软件的用户却无缘与国宝大熊猫相会,谁是“罪魁祸首”?答案是:主动防御。何为主动防御?相信我不用再啰嗦,因为07年被炒得最热的当属主动防御。主动防御的方面很广,但其核心技术是靠病毒行为对病毒进行拦截和判断的,无论病毒怎么改变但其执行的恶意行为不会变,只要执行恶意行为就难逃主动防御的法眼,就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了,作为江民的用户,多少觉得有些遗憾,因为这样著名的病毒与我们无缘啊~
其实KV系列很早就有了主防,但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来,08版增强了主动防御的易用性和智能性,相比其他杀软,KV2008的主动防御是广义的,我们可以看到其防御保护非常全面,主动防御在江民这里有了新的诠释:即主动去阻止一切安全隐患(包括未知病毒行为、系统漏洞等)。
[img]http://forum.jiangmin.com/UploadFile/2008-1/200818221043519.jpg[/img]
我们可以看到KV2008的主动防御可以设置安全强度,这给我们日常的工作以及安全性带来的很大的便利性,不必为不懂怎么设置而头疼,只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作,你可以勾选“服务器模式”,这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
下面以最新的“磁碟机”变种为例看一下主动防御的效果,该病毒号称目前可以干掉所有的杀软(病毒重置SSTD,向杀软发大量送消息以关闭杀软,经过测试,在未处理前卡巴、微点、江民等等许多杀软都被关闭了,但是江民率先对此问题做出了解决方案,笔者立即对KV208进行升级),会感染可执行文件,中毒之后非常难以清除:
[img]http://forum.jiangmin.com/UploadFile/2008-1/200818222549418.jpg[/img]
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081822292440.jpg[/img]
面对新的威胁江民、针对新病毒采用新的技术,江民率先做出了响应,我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉,每一步都被KV2008的主动防御给拦截了,没有给磁碟机任何的机会,之后我们上报了此病毒,在此病毒入库后我们又对系统进行全面检查,扫描后并未发现有任何感染的迹象,看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。
[img]http://forum.jiangmin.com/UploadFile/2008-1/20081822301673.jpg[/img]
使用KV2008默认的主动防御规则即可以防御绝大多数病毒,但并非全部,我们还可以自定义规则,不过定义规则涉及到专业的知识,所以不推荐给普通用户使用,不过如果你想增强主动防御的安全性和严厉性,可以安装主动防御规则增强版,可以在江民论坛上找到。
主动防御使用原则与技巧:把经常使用的程序加入白名单,这样即可减少主动防御的拦截提示,减少对我们日常学习工作的影响,当你遇到主动防御的拦截提示时,不要因害怕而不知所措,主动防御上已经有非常人性化的信息提示我们该如何操作,我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序,我们就点“允许”,如果是我们不认识的程序或者不是我们触发的行为,我们就点“禁止”。
kv2008图标显示设置
如果你在使用KV2008,对于如何进入其设置主程序,你该知道总共有三个方式:1.右键点击桌面"杀毒软件"图标-》点设置
2.打开杀毒软件界面-》工具-》设置
3.右点任务栏的红K-》设置都可以进入KV2008设置功能的界面。
程序启动界面如下:(常规)
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620360360.jpg[/img]
安装程序默认是将这些都打勾的,这样会导致系统开机要杀毒等,会造成机子运行速度降低。这里推荐只勾选进入屏幕保护时扫描病毒、开机时自动开启监控、允许Bootscan在系统启动前扫描病毒在系统启动前扫描病毒这三个选项。
进入屏幕保护时扫描病毒作用是当系统空闲时系统就会利用屏幕保护杀毒程序来进行查杀病毒。
开机时自动开启监控作用是在机子启动系统读取桌面管理程序之前启动江民实时监控程序。
允许Bootscan在系统启动前扫描病毒作用是在系统读取用户管理文件之后第一个所启动的病毒扫描选项,使用这个可以解决一些需要重启删除的病毒。
谈谈江民的图标显示的设置问题,点击显示进入如下界面:
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620360651.jpg[/img]
如果您有不想要的图标或功能都都取消上面的对勾,同时可以重新勾选对勾来恢复设置如果还是不行请建议您尝试在论坛上找答案。
点击“扫描选项”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620360712.jpg[/img]
这里一般选择默认设置,如果您感觉江民杀毒的提示音不好听您可以点击声音1和声音2进行声音上的个性化设置。注意设置个性化声音最好为WAV格式的要不可能会出问题哦^_^ 。
点击“扫描目标”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620360387.jpg[/img]
这里软件默认是不勾选解压检查压缩包和电子邮件(*.zip,*.rar….)中的病毒这样可以提高扫描速度。为了系统安全这里建议您将其勾上。
kv08的扫描设置
打开软件主界面点开设置 然后点击“定时扫描”[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620360483.jpg[/img]
这里软件默认是勾选每天(即每天的12:30杀毒软件按照预先设置的方按进行杀毒);如果您是勾选每周(即每周的周日的12:30杀毒软件按照预先设置的方按进行杀毒);如果您是勾选每月(即每个月的1日的周日的12:30杀毒软件按照预先设置的方按进行杀毒);这里推荐大家设置不扫描 避免影响大家的正常工作。补充建议:您可以选择夜间无人使用计算机时(或周末空闲时),进行杀毒这样也是可以了,这样的定期杀毒对计算机的安全有很大的提高。
点击“分类扫描”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216203710335.jpg[/img]
这里程序默认的是全不打勾,为了计算机使用安全建议大家全部打勾增强杀毒软件性能。
点击“不扫描文件夹
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216203710534.jpg[/img]
这里程序默认的是空的(即不添加任何文件或文件夹)大家如果有病毒文件需要保留的可以自行添加文件夹路径这样杀毒软件就会避开该文件夹从而保存了您的病毒文件。这里建议不做添加,以免病毒对您帐号信息进行窃取,保证计算机无毒工作是个非常好的选择。
点击“扫描报告”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620371062.jpg[/img]
这里是设置如何保存进时间段的病毒扫描报告文件,如果您想保存为纯文本格式那么可以打开杀毒软件界面-》查看-》扫描报告 进行查阅。推荐大家将允许自动反馈使用上匿名信息(不涉及用户隐私)给勾上这样能最大程度的保护用户的隐私资料。
kv2008设置之监视设置
打开杀软主界面 点击设置 然后点击“监视”[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216203710738.jpg[/img]
这里程序默认的是只将文件监视、邮件监视、脚本监视、网页监视勾选上,这里推荐大家是全部打勾,以增强杀毒软件性能。发现病毒的处理方式大家可以选择自动清除病毒,这样可以减少一些不必要的麻烦。
点击“监视参数”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216203710363.jpg[/img]
这里程序默认是没将解压检查压缩包文件和电子邮件打勾。不勾选此设置,对于安装多安全类软件的电脑和配置低一些的用户如果勾选后会造成假死,拖累系统资源的现象。如果您需要保存包含有病毒代码的TXT文档您可以将监视全部文件下的但排除这些类型的文件(如.txt)勾上并在输入框中输入*.txt即可。
点击“分类监视”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216204411255.jpg[/img]
这里与上文的分类扫描相类似此处就不再描述。
点击“不监视文件夹”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216204411984.jpg[/img]
这儿的不监视文件夹即不监视某个文件夹内部的文件改动,但是有对内部文件进行文件扫描。这里与上文扫描选项中的不扫描文件夹相类似这里就不再叙述。
点击“网页监视”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007121620441144.jpg[/img]
如果您使用的是ADSL ( 2M ) 浏览器是 IE 浏览器 那么您只要按如上图所示的设置就行,如果不是您可以将IE模式改为所有,如果网速低于2M建议您将快速模式改为流式检查,这里建议您最好将未知程序进行网络连接时询问,这样可以有效的避免木马等程序的非法访问网络。
点击“邮件”
[img]http://bbs.jiangmin.com/UploadFile/2007-12/20071216204411189.jpg[/img]
这里系统默认是不打勾的,如果您有使用电子邮件客户端,建议您将只勾选接收邮件监视即可,如果勾选监视发送邮件,那么在发送包含病毒附件的邮件上报时会遇到一定的困难!
局域网中ARP病毒的清除
以下涉及的工具(除网络执法官外),皆可到我的网盘下载:[url]http://yimike.ys168.com[/url]1.打开AntiArp Sniffer,检查右侧【管理】栏内是否自动获取了网关地址,如果没获取,则手动输入网关地址,再单击【枚取MAC】。MAC地址获取后再单击【自动保护】即可!如图:
[img]http://bbs.jiangmin.com/UploadFile/2007-5/200751014376343.png[/img]
2.运行一段时间后,若弹出提示说“发现ARP欺骗数据包”,则可以在“欺骗数据详细记录”看到“欺骗机MAC地址”既是中了ARP病毒机器的地址。
3.到[url]http://download.pchome.net/internet/safe/13190.html[/url]下载“网络执法官”。在“指定监控范围”中输入局域网的IP地址段,再单击“添加/修改”按钮。添加完成后点下方的【确定】,返回到主界面,就可以看到各个2电脑的内网IP 、用户名、mac地址。此时只要找到与上面查到的MAC地址对应的内网IP就知道是哪台计算机中了ARP病毒了!
4.升级杀毒软件到最新进行全盘扫描;如果没有安装杀毒软件,可以下载tsc.rar复制到中ARP病毒的机器上,解压tsc.rar,然后运行其中的TSC.EXE,扫描完毕后即可清除已知的感染的ARP病毒!
PS.如果是单机用户,您如果怀疑您中了ARP病毒,只需要执行第4步中的步骤即可!
现在,对付ARP病毒,我们又多了一道保护屏障!它就是江民防火墙
安装好江民新版防火墙后,打开防火墙的设置:
[img]http://bbs.jiangmin.com/UploadFile/2007-9/2007929192343482.png[/img]
然后只需简单的两步:
1.选中“启用防护功能”来开启ARP攻击防护。
2.连上网络,单击“自动检测本地网络设置”。
如下图:
[img]http://bbs.jiangmin.com/UploadFile/2007-9/2007929192530137.png[/img]
稍等片刻,再点击右下角的【应用】和【确定】,此刻开始,您将享受江民新版防火墙的强大保护,免受ARP等攻击侵扰!
江民新版(11.0)防火墙下载地址:[url]http://www.jiangmin.com/download/kvfw.htm[/url]
更重要的是,江民新版防火墙是完全免费的! 靠广告抬高自己,有什么用?还是现实一点好!
关于江民KV2008进程查看器
进程查看器: 用户可以通过普通操作台,点击→系统安全→进程查看器;或通过桌面图标右键菜单,点击进程查看器即可打开界面。注意:进程查看器是每隔五秒刷新一次,因此用户看进程查看器有时会有闪动,这个无须惊讶。在这里可查看系统的所有进程包括隐藏的进程,这对查找病毒来说无疑是一个有力的工具,因为许多流行病毒都是隐藏自己的进程来躲避查找,单靠系统自带的任务管理器无法查看和结束掉可疑、病毒文件。使用KV2008的进程查看器则可以轻而易举的查看到隐身进程,还会以高亮颜色的提示表明隐藏的进程,并且在窗口的顶部会提示隐藏进程的数量。
1.首先启动进程查看器主窗口。
[img]http://forum.jiangmin.com/UploadFile/2007-10/20071018184624326.jpg[/img]
2.在“进程列表”里的右键菜单,右击进程我们可以看到右键菜单里的一些选项。
2.1结束进程:选中想要结束的进程,点击窗口下方的结束进程按钮即可,或者右击要结束的进程,选择结束即可,这与点击窗口下方的结束进程按钮的效果是相同的。
[img]http://forum.jiangmin.com/UploadFile/2007-10/200710199142215.jpg[/img]
2.2.结束进程并加入黑名单:选择该选项可将选中的进程结束掉并且将该进程加入到黑名单中,这样可以禁止该进程的再次运行。
如果误操作导致进程不能正常打开用户通过普通操作台,点击→工具→设置→菜单中的→黑名单管理→修改→黑名单,可以查看到该进程已经被添加进去了,如果发现失误地添加了正常的进程,可以通过右键点击该进程选择移到白名单即可。
2.3.模块列表:在这里可以查看该进程中被调入的文件模块,在这里我们可以释放掉选中的模块,还有转储内存,转存该文件在内存中的单元文件信息
[img]http://forum.jiangmin.com/UploadFile/2007-10/200710199719134.jpg[/img]
在这里如果我们勾上“隐藏标记为Microsoft模块” 意思就是该列表将不显示Microsoft的文件,这样方便我们查看其它文件
2.4.线程列表:在这里可以查看线程标识和在内存中的起始地址
[img]http://forum.jiangmin.com/UploadFile/2007-10/200710199754796.jpg[/img]
2.5.文件列表:在这里我们如果右击选中的是文件时,可以看到“刷新”“关闭文件”删除文件“转到文件夹”“属性”这些选项。
如果右击的是一个文件夹呢,我们看以看到“刷新”“关闭文件”“转到文件夹”“属性”
可以查看进程已经打开的文件夹,查看进程中插入的模块,在这里我们选中需要操作的选项即可
[img]http://forum.jiangmin.com/UploadFile/2007-10/200710199827299.jpg[/img][/img]
简单的设置就这些 有些时候还需要自己来实践才能得出真知
测试kv08阻断重复感染路径
开始测试:哪里的马多?网页,可我的IE7补丁打齐了,让它来都来不了。找一0补丁的IE6,关闭先装好的KV08(预升级版),而且设置为开机不启动。再找一毒网进去,硬盘开始响了,马来了,估计放完了后再重启电脑,给它们充分的运行条件~~~重启后电脑无任何异常,速度也没慢什么,但一检查才发现真实暗流涌动哈,还是打开KV来检查(现在基本不用担心中毒后KV打不开,这点让人放心)。
1、KV进程查看器显示了一个隐藏的QQgame和两个开始没有的calc。exe、wdfmgr。exe进程。再点“分析系统”按钮KV的进程查看器出现错误被关闭(这个好象不是病毒造成的,是预升级版的BUG)补充:这是病毒造成的,不是BUG
2、KV未知病毒分析
[img]http://bbs.jiangmin.com/UploadFile/2008-3/2008315235454164.jpg[/img]
3、系统诊断(省略病毒创建的一个浏览器加载项截图及因预升级版BUG导致无法扫描隐藏文件和注册表)
[img]http://bbs.jiangmin.com/UploadFile/2008-3/20083160111453.jpg[/img]
[img]http://bbs.jiangmin.com/UploadFile/2008-3/2008316011189.jpg[/img]
[img]http://bbs.jiangmin.com/UploadFile/2008-3/20083160111932.jpg[/img]
4、KV安全助手(不知为何,打开助手出现这个)
[img]http://bbs.jiangmin.com/UploadFile/2008-3/20083160103596.jpg[/img]
[img]http://bbs.jiangmin.com/UploadFile/2008-3/20083160103507.jpg[/img]
5、共享管理(我关了的,中毒后打开了,呵呵)
6、病毒创建的文件,系统、隐藏啥属性都有(懒的全截,省略若干)
7、用SRENG看看(冰刃成病人了),映象劫持一片,但其中有一项要仔细看,呵呵,还改了win。ini文件
接下来在设置里打开开机启动监控选项后重启电脑,KV开始报毒,注意提示里的"已经禁止存取此文件"~~打开系统盘后,KV文件监视不停发现病毒
因有rootkit系病毒,重启用bootscan扫一遍,进入桌面后用KV的未知工具扫描就只剩下10个可疑了,加入样本库杀完后病毒就在系统文件夹内剩几个配置类文件了,删除后再用KV的系统诊断把残留的注册表项修复(删除),用备份的注册表或手动删除(比较累)映象劫持就OK了~~
这个有什么用呢?把KV关掉再次进入那个毒网就知道了~~~~
病毒创建不了任何文件。。。。
您觉得这个功能怎么样呢?如果结合可升级的黑名单,杀软的新方向~~~呵呵
后记:1、安全助手出现安装控件的提示应该是病毒造成的,因为无毒时不会出现。
2、这是我第二次遇到破坏KV内置工具的病毒,说明了KV内置工具的强大和实用性,也给KV的技术人员提了个醒儿,病毒瞄上咱家里的了~~~
3、建议将未知病毒扫描的用户处理结果加入“拒绝文件列表”中~~
kv2008初使用
我是2007年底开始使用江民KV2008杀毒软件,之前一直在使用KV2007,由于迎接奥运了,也该换个新的版本来使用了。下面开始正文:
进入一个系统,首先就是启动文件,KV2008配合SREng可谓是双剑合璧,下面帖个图出来。图1
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133638236.png[/img]
这里可以看到系统注册表项的所有启动项,
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133732113.png[/img]
这里可以看到所有不是系统所加载的服务,如果是陌生的服务。一下就给咔嚓掉。
新的版本在此下载[url]http://www.kztechs.com/sreng/sreng2.zip[/url]
这次,KV2008未知病毒检测工具做的很到位,可以把系统内部隐藏的 *.dll 文件以及 *.exe 等文件一起截获出来,可直接把可疑的进程处理掉,
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133732463.png[/img]
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133732744.png[/img]
这样就省去了在KV2007中再来编辑添加黑白名单文件的时间了。
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133733658.png[/img]
文件监视可以全部打开。无论单核还是多核系统下,都能稳定运行。
[img]http://bbs.jiangmin.com/UploadFile/2007-12/2007127133733973.png[/img]
这次的亮点,移动存储设备上密码。要不然,无法阻止病毒后台自动运行。另外,未知的病毒也可以使用自己熟悉的安全软件来处理。
在KV2008中,更强悍的是 KV目录以及目录下的任何文件都不可更改,包括新建、复制、删除,都无法进行。KV的进程无法关闭,KV所监视的任何设置都无法根改,可以更进一步地来避免病毒的感染并有效处理病毒。
话说回来,KV处理病毒再厉害也没办法阻挡病毒的到来,所以尽早安装防火墙为妙,推荐使用江民反黑客防火墙。做的很到位。
未知病毒的克星-主动防御
“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”,明明安装了杀软并且开启了实时监控,还是惨遭毒手。出现这样的情况并非杀毒软件无能,而是传统的技术是依靠特征码对病毒进行识别的,如果病毒未被杀毒软件公司收录入库,我们就始终无法查杀,病毒还是一样逍遥法外。而江民杀毒软件的用户却无缘与国宝大熊猫相会,谁是“罪魁祸首”?答案是:主动防御。何为主动防御?相信我不用再啰嗦,因为07年被炒得最热的当属主动防御。主动防御的方面很广,但其核心技术是靠病毒行为对病毒进行拦截和判断的,无论病毒怎么改变但其执行的恶意行为不会变,只要执行恶意行为就难逃主动防御的法眼,就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了,作为江民的用户,多少觉得有些遗憾,因为这样著名的病毒与我们无缘啊~
其实KV系列很早就有了主防,但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来,08版增强了主动防御的易用性和智能性,相比其他杀软,KV2008的主动防御是广义的,我们可以看到其防御保护非常全面,主动防御在江民这里有了新的诠释:即主动去阻止一切安全隐患(包括未知病毒行为、系统漏洞等)。
我们可以看到KV2008的主动防御可以设置安全强度,这给我们日常的工作以及安全性带来的很大的便利性,不必为不懂怎么设置而头疼,只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作,你可以勾选“服务器模式”,这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
下面以最新的“磁碟机”变种为例看一下主动防御的效果,该病毒号称目前可以干掉所有的杀软(病毒重置SSTD,向杀软发大量送消息以关闭杀软,经过测试,在未处理前卡巴、微点、江民等等许多杀软都被关闭了,但是江民率先对此问题做出了解决方案,笔者立即对KV208进行升级),会感染可执行文件,中毒之后非常难以清除:
[img]http://bbs.jiangmin.com/UploadFile/2008-1/200818222549418.jpg[/img]
面对新的威胁江民、针对新病毒采用新的技术,江民率先做出了响应,我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉,每一步都被KV2008的主动防御给拦截了,没有给磁碟机任何的机会,之后我们上报了此病毒,在此病毒入库后我们又对系统进行全面检查,扫描后并未发现有任何感染的迹象,看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。
使用KV2008默认的主动防御规则即可以防御绝大多数病毒,但并非全部,我们还可以自定义规则,不过定义规则涉及到专业的知识,所以不推荐给普通用户使用,不过如果你想增强主动防御的安全性和严厉性,可以安装主动防御规则增强版,可以在江民论坛上找到。
主动防御使用原则与技巧:把经常使用的程序加入白名单,这样即可减少主动防御的拦截提示,减少对我们日常学习工作的影响,当你遇到主动防御的拦截提示时,不要因害怕而不知所措,主动防御上已经有非常人性化的信息提示我们该如何操作,我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序,我们就点“允许”,如果是我们不认识的程序或者不是我们触发的行为,我们就点“禁止”。
利用kv2008为u盘加把锁
U盘病毒的肆虐相信大家都已领教过,稍一大意就会有中毒的危险。每次同学、同事的U盘在你的爱机上插来插去总是让我们“提心吊胆”,总不能因为病毒的原因就把USB端口给禁用了吧?用其它U盘病毒免疫工具总有一定的局限性(例如:要禁用自动播放功能,比如说当你需要使用自动播放功能时呢?而且有的工具生成的Autorun.inf歧义文件夹现在病毒已经很轻易可以删除,有举的朋友可以用冰刃删除试试),怎么办呢?[img]http://bbs.jiangmin.com/UploadFile/2008-4/200842103141454.png[/img]
江民对毒病毒真的很有一套,“移动设备存储控制”功能主要是为对付U盘病毒设计的,当用户插入U盘时会首先进行拦截,只有当用户输入正确的口令才可以继续对U盘进行操作,这样就可以防止病毒侵入了,不仅如此,此功能还可以为你的电脑保密,为什么这么说呢?我们知道电脑上的文件很容易被小小的U盘带走,如果当你不在时,别人可以很轻易将你电脑上的资料(商业机秘,个人隐私)拿走,后果不堪设想,OK,现在有了KV2008,只要开启“移动存储控制功能”,并且设置一个口令,我们就可以为我们的移动存储设备加个锁,这样既可以防病毒又可以保护资料,何乐而不为呢?
如何开启移动存储控制功能?不要着急,慢慢跟我来,我们打开江民杀毒软件主界面,单击“工具”-“设置”,在“江民设置程序”中选择“保护密码”,我们勾选“移动设备存储”选项,并且一定要注意勾选“修改密码/设置密码”选项否则不会生效,然后设置好访问U盘的密码,单击“确定”,重新启动计算机,大功告成~
[img]http://bbs.jiangmin.com/UploadFile/2008-4/200842103141807.png[/img]
页:
[1]