caobin

以下涉及的工具（除网络执法官外），皆可到我的网盘下载：http://yimike.ys168.com

1.打开AntiArp Sniffer，检查右侧【管理】栏内是否自动获取了网关地址，如果没获取，则手动输入网关地址，再单击【枚取MAC】。MAC地址获取后再单击【自动保护】即可！如图：

2.运行一段时间后，若弹出提示说“发现ARP欺骗数据包”，则可以在“欺骗数据详细记录”看到“欺骗机MAC地址”既是中了ARP病毒机器的地址。
3.到http://download.pchome.net/internet/safe/13190.html下载“网络执法官”。在“指定监控范围”中输入局域网的IP地址段，再单击“添加/修改”按钮。添加完成后点下方的【确定】，返回到主界面，就可以看到各个2电脑的内网IP 、用户名、mac地址。此时只要找到与上面查到的MAC地址对应的内网IP就知道是哪台计算机中了ARP病毒了！
4.升级杀毒软件到最新进行全盘扫描；如果没有安装杀毒软件，可以下载tsc.rar复制到中ARP病毒的机器上，解压tsc.rar，然后运行其中的TSC.EXE，扫描完毕后即可清除已知的感染的ARP病毒！

PS.如果是单机用户，您如果怀疑您中了ARP病毒，只需要执行第4步中的步骤即可！
现在，对付ARP病毒，我们又多了一道保护屏障！它就是江民防火墙

安装好江民新版防火墙后，打开防火墙的设置：

然后只需简单的两步：

1.选中“启用防护功能”来开启ARP攻击防护。
2.连上网络，单击“自动检测本地网络设置”。

如下图：


稍等片刻，再点击右下角的【应用】和【确定】，此刻开始，您将享受江民新版防火墙的强大保护，免受ARP等攻击侵扰！

江民新版（11.0）防火墙下载地址：http://www.jiangmin.com/download/kvfw.htm

更重要的是，江民新版防火墙是完全免费的！

njzytb

靠广告抬高自己，有什么用？还是现实一点好！

caobin

进程查看器: 用户可以通过普通操作台，点击→系统安全→进程查看器；或通过桌面图标右键菜单，点击进程查看器即可打开界面。注意：进程查看器是每隔五秒刷新一次，因此用户看进程查看器有时会有闪动，这个无须惊讶。

　　在这里可查看系统的所有进程包括隐藏的进程，这对查找病毒来说无疑是一个有力的工具，因为许多流行病毒都是隐藏自己的进程来躲避查找，单靠系统自带的任务管理器无法查看和结束掉可疑、病毒文件。使用KV2008的进程查看器则可以轻而易举的查看到隐身进程，还会以高亮颜色的提示表明隐藏的进程，并且在窗口的顶部会提示隐藏进程的数量。

1.首先启动进程查看器主窗口。

2.在“进程列表”里的右键菜单，右击进程我们可以看到右键菜单里的一些选项。
2.1结束进程：选中想要结束的进程，点击窗口下方的结束进程按钮即可，或者右击要结束的进程，选择结束即可，这与点击窗口下方的结束进程按钮的效果是相同的。

2.2.结束进程并加入黑名单：选择该选项可将选中的进程结束掉并且将该进程加入到黑名单中，这样可以禁止该进程的再次运行。

    如果误操作导致进程不能正常打开用户通过普通操作台，点击→工具→设置→菜单中的→黑名单管理→修改→黑名单，可以查看到该进程已经被添加进去了，如果发现失误地添加了正常的进程，可以通过右键点击该进程选择移到白名单即可。

2.3.模块列表：在这里可以查看该进程中被调入的文件模块，在这里我们可以释放掉选中的模块，还有转储内存，转存该文件在内存中的单元文件信息


在这里如果我们勾上“隐藏标记为Microsoft模块” 意思就是该列表将不显示Microsoft的文件，这样方便我们查看其它文件

2.4.线程列表：在这里可以查看线程标识和在内存中的起始地址


2.5.文件列表：在这里我们如果右击选中的是文件时，可以看到“刷新”“关闭文件”删除文件“转到文件夹”“属性”这些选项。
如果右击的是一个文件夹呢，我们看以看到“刷新”“关闭文件”“转到文件夹”“属性”
可以查看进程已经打开的文件夹，查看进程中插入的模块，在这里我们选中需要操作的选项即可
[/img]

简单的设置就这些 有些时候还需要自己来实践才能得出真知

caobin

开始测试：哪里的马多？网页，可我的IE7补丁打齐了，让它来都来不了。找一0补丁的IE6，关闭先装好的KV08（预升级版），而且设置为开机不启动。再找一毒网进去，硬盘开始响了，马来了，估计放完了后再重启电脑，给它们充分的运行条件~~~
     重启后电脑无任何异常，速度也没慢什么，但一检查才发现真实暗流涌动哈，还是打开KV来检查（现在基本不用担心中毒后KV打不开，这点让人放心）。

     1、KV进程查看器显示了一个隐藏的QQgame和两个开始没有的calc。exe、wdfmgr。exe进程。再点“分析系统”按钮KV的进程查看器出现错误被关闭（这个好象不是病毒造成的，是预升级版的BUG）补充：这是病毒造成的，不是BUG

     2、KV未知病毒分析

3、系统诊断（省略病毒创建的一个浏览器加载项截图及因预升级版BUG导致无法扫描隐藏文件和注册表）



4、KV安全助手（不知为何，打开助手出现这个）


5、共享管理（我关了的，中毒后打开了，呵呵）
6、病毒创建的文件，系统、隐藏啥属性都有（懒的全截，省略若干）
7、用SRENG看看（冰刃成病人了），映象劫持一片，但其中有一项要仔细看，呵呵，还改了win。ini文件
接下来在设置里打开开机启动监控选项后重启电脑,KV开始报毒,注意提示里的"已经禁止存取此文件"~~打开系统盘后,KV文件监视不停发现病毒

因有rootkit系病毒,重启用bootscan扫一遍,进入桌面后用KV的未知工具扫描就只剩下10个可疑了,加入样本库杀完后病毒就在系统文件夹内剩几个配置类文件了,删除后再用KV的系统诊断把残留的注册表项修复(删除),用备份的注册表或手动删除(比较累)映象劫持就OK了~~
这个有什么用呢?把KV关掉再次进入那个毒网就知道了~~~~

病毒创建不了任何文件。。。。

     您觉得这个功能怎么样呢？如果结合可升级的黑名单，杀软的新方向~~~呵呵

后记:1、安全助手出现安装控件的提示应该是病毒造成的,因为无毒时不会出现。

     2、这是我第二次遇到破坏KV内置工具的病毒，说明了KV内置工具的强大和实用性，也给KV的技术人员提了个醒儿，病毒瞄上咱家里的了~~~
     3、建议将未知病毒扫描的用户处理结果加入“拒绝文件列表”中~~

caobin

我是2007年底开始使用江民KV2008杀毒软件，之前一直在使用KV2007，由于迎接奥运了，也该换个新的版本来使用了。


下面开始正文：   
    进入一个系统，首先就是启动文件，KV2008配合SREng可谓是双剑合璧，下面帖个图出来。图1

这里可以看到系统注册表项的所有启动项，

这里可以看到所有不是系统所加载的服务，如果是陌生的服务。一下就给咔嚓掉。
    新的版本在此下载http://www.kztechs.com/sreng/sreng2.zip

    这次，KV2008未知病毒检测工具做的很到位，可以把系统内部隐藏的 *.dll 文件以及 *.exe 等文件一起截获出来，可直接把可疑的进程处理掉，


这样就省去了在KV2007中再来编辑添加黑白名单文件的时间了。

文件监视可以全部打开。无论单核还是多核系统下，都能稳定运行。

这次的亮点，移动存储设备上密码。要不然，无法阻止病毒后台自动运行。另外，未知的病毒也可以使用自己熟悉的安全软件来处理。
    在KV2008中，更强悍的是 KV目录以及目录下的任何文件都不可更改，包括新建、复制、删除，都无法进行。KV的进程无法关闭，KV所监视的任何设置都无法根改，可以更进一步地来避免病毒的感染并有效处理病毒。
    话说回来，KV处理病毒再厉害也没办法阻挡病毒的到来，所以尽早安装防火墙为妙，推荐使用江民反黑客防火墙。做的很到位。

caobin

“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”，明明安装了杀软并且开启了实时监控，还是惨遭毒手。出现这样的情况并非杀毒软件无能，而是传统的技术是依靠特征码对病毒进行识别的，如果病毒未被杀毒软件公司收录入库，我们就始终无法查杀，病毒还是一样逍遥法外。
　　而江民杀毒软件的用户却无缘与国宝大熊猫相会，谁是“罪魁祸首”？答案是：主动防御。何为主动防御？相信我不用再啰嗦，因为07年被炒得最热的当属主动防御。主动防御的方面很广，但其核心技术是靠病毒行为对病毒进行拦截和判断的，无论病毒怎么改变但其执行的恶意行为不会变，只要执行恶意行为就难逃主动防御的法眼，就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了，作为江民的用户，多少觉得有些遗憾，因为这样著名的病毒与我们无缘啊～
　　其实KV系列很早就有了主防，但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来，08版增强了主动防御的易用性和智能性，相比其他杀软，KV2008的主动防御是广义的，我们可以看到其防御保护非常全面，主动防御在江民这里有了新的诠释：即主动去阻止一切安全隐患（包括未知病毒行为、系统漏洞等）。
我们可以看到KV2008的主动防御可以设置安全强度，这给我们日常的工作以及安全性带来的很大的便利性，不必为不懂怎么设置而头疼，只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作，你可以勾选“服务器模式”，这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
　　下面以最新的“磁碟机”变种为例看一下主动防御的效果，该病毒号称目前可以干掉所有的杀软（病毒重置SSTD，向杀软发大量送消息以关闭杀软，经过测试，在未处理前卡巴、微点、江民等等许多杀软都被关闭了，但是江民率先对此问题做出了解决方案，笔者立即对KV208进行升级），会感染可执行文件，中毒之后非常难以清除：

面对新的威胁江民、针对新病毒采用新的技术，江民率先做出了响应，我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉，每一步都被KV2008的主动防御给拦截了，没有给磁碟机任何的机会，之后我们上报了此病毒，在此病毒入库后我们又对系统进行全面检查，扫描后并未发现有任何感染的迹象，看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。
使用KV2008默认的主动防御规则即可以防御绝大多数病毒，但并非全部，我们还可以自定义规则，不过定义规则涉及到专业的知识，所以不推荐给普通用户使用，不过如果你想增强主动防御的安全性和严厉性，可以安装主动防御规则增强版，可以在江民论坛上找到。
主动防御使用原则与技巧：把经常使用的程序加入白名单，这样即可减少主动防御的拦截提示，减少对我们日常学习工作的影响，当你遇到主动防御的拦截提示时，不要因害怕而不知所措，主动防御上已经有非常人性化的信息提示我们该如何操作，我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序，我们就点“允许”，如果是我们不认识的程序或者不是我们触发的行为，我们就点“禁止”。

caobin

U盘病毒的肆虐相信大家都已领教过，稍一大意就会有中毒的危险。每次同学、同事的U盘在你的爱机上插来插去总是让我们“提心吊胆”，总不能因为病毒的原因就把USB端口给禁用了吧？用其它U盘病毒免疫工具总有一定的局限性（例如：要禁用自动播放功能，比如说当你需要使用自动播放功能时呢？而且有的工具生成的Autorun.inf歧义文件夹现在病毒已经很轻易可以删除，有举的朋友可以用冰刃删除试试），怎么办呢？

江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？



    如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～