无招胜有招 终截者杀软有金钟罩

caobin

近年来病毒纷纷使用了各种免杀反病毒技术，如加壳、修改特征码、内核驱动等，来达到逃避杀毒软件查杀的目的。进而在侵入用户电脑后就可为所欲为：关闭杀毒软件、窃取用户私密信息、破坏系统……

　　我们评判一款杀毒软件的好与坏，不仅仅是依靠其强大的“病毒库”，还有一些非常重要的指标，如：自我保护。杀毒软件本来是保护用户电脑安全的，但如果遇到威胁时它自己先被灭掉了，那么谁来保证我们的隐私安全、保护我们的电脑安全呢？无招：其超强的自我保护能力（静态，相对扫描杀毒来说），有招：扫描查杀、主动防御、实时监控等（动态），此所谓无招胜有招。看来面对病毒对杀软的破坏，选择一款自我保护能力强的杀软是非常重要的参考因素之一。

　　网上用NOD32的较多，好评不断（我也用NOD32，嘿嘿），那就拿它来开刀吧。在任务管理器中结束NOD32的两个进程：egui.exe被轻松结束掉（汗~~这是怎么回事啊，我这是英文的汉化版，难道和我的版本有关？），另一进程ekrn.exe（NOD32的反病毒核心进程）在被关闭后马上会重新启动（第一次被结束时，黑[吓]得我一滚，以为大家吹得叮当响的NOD32是杆蜡枪呢。还好它立马又“活”过来了）。

再用传说中的“IceSword冰刃”试试，结束进程后NOD32仍会重新加载。呵呵~~看来NOD32还是对得住各位网友滴！

江民KV2008据说其自我保护的“金钟罩”十分厉害，在任务管理器中果然是没法删除的（要是在任务管理器中都被干掉了，那江民还有的混?）。后面又在冰刃、狙剑、Wsyscheck等相关管理工具中尝试关闭，江民依然不为所动。且KV2008还会禁止修改或删除其安装文件夹下的文件，看来江民的“金钟罩”功夫果然了得啊！


终截者抗病毒。测这款软件是因为比较喜欢其密码锁功能，偶常玩网游，所以帐号密码得看紧点。任务管理器中结束，如图：

其实用这款软件的另一原因就是，现在有些网友不是常碰到有关杀毒、病毒等字样的软件或程序都打不开或打开后会自动关闭——这其实是某些病毒采用窗口标题判断这样一种方式，来关闭杀毒软件。而这个软件的另一个好处就是对于采用此类方式与杀软抗衡的病毒，可以进行人性化设置其标题（可以改成个任意你喜欢的标题哦）启动后再灭掉那些小样！呵呵~~这原理其实与IceSword的随机生成标题类似——应该也算是个金钟小罩吧，哈哈~~。

　　别扯多了，下面继续在IceSword选中其进程右键，结束进程，终截者的两个进程就消失了，看来IceSword在系统中的级别要比终截者更底层啊，轻易就灭了终截者（何止是终截者如此啊，接着往下看吧）。

　　后面又测试了几款2008版的同类软件，瑞星2008、卡巴斯基7.0、Macfee（企业版）、超级巡警v4.0等，在任务管理器中结束他们都是白费力，但用冰刃则可干掉他们。让人奇怪的是金山2008杀毒套装的进程，用任务管理器就被灭掉了，还真是想不太明白！虽说江民的“金钟罩”是挺厉害，但也并不是冰刃灭不掉它，只要在冰刃中设置选中“禁止进线程创建”，则江民不再现矣~~但还是得佩服下江民的厉害！呵呵~~

　　大家不要误会啊，这里并不是要说怎么可以灭掉杀毒软件，而是想通过结束其进程的难易程度，来表示其“金钟罩”功夫的强弱（当然这里只是测试其中的一个方面）！其后续步骤才得以进行，。有句话是叫：龙生九子，九子各不同（就想到这个词，汗~~），想必大家对杀软的“金钟罩”功夫到底怎样，肯定有不同意见吧！（不废话么，龙生九个崽都没一个相同的，大家肯定有不同的高见咯，俺们可是龙的传人呐，嘿嘿~~）

军装男

在５２硬件论坛看到了相同的文章，江民的宣传贴。

caobin

计算机新病毒呈现的能够关闭杀毒软件的普遍特征，已经让杀毒软件自我保护功能显得十分重要。从“熊猫烧香”开始，到“磁碟机”病毒，杀毒软件的自我保护技术一次又一次地被提起和反复强调。

    近日，网上出现一篇作者不详的《无招胜有招 杀软金钟罩》的文章，作者很详细地对市面上几款主流的国内外杀毒软件自我保护技术进行了详细的测试，我看了以后，把作者的测试结果总结为四大类别。

   第一类杀毒软件基本不具备自我保护技术，在系统任务管理器中即可被关闭的杀毒软件，如金山毒霸2008;
   第二类是具有初步的自我保护技术，在系统任务管理器中无法关闭其进程，但使用专业进程管理工具软件（如“冰刃”）中则进程被关闭，包括：瑞星2008、卡巴斯基7.0、Macfee（企业版）、超级巡警v4.0等;
   第三类是具有一定的专业自我保护技术，在任务管理器中无法关闭进程，但在专业进程管理工具软件（如“冰刃”）中，进程被关闭后又自动重建的杀毒软件，此类软件包括NOD32。
   第四类即是无论在任务管理器，还是在任一款专业进程管理工具中（包括“冰刃”、“狙剑”、“Wsyscheck”），进程都无法被关闭的杀毒软件，此类软件目前只有江民杀毒软件KV2008一款。

    笔者对该文的所有测试都重新测试了一遍，基本上和文中所说相符，可见作者也是花了一番功夫的。然而，文章中有一段描述让我很不明白，作者认为“虽说江民的‘金钟罩’是挺厉害，但也并不是‘冰刃’灭不掉它，只要在冰刃中设置选中‘禁止进线程创建’，则江民不再现矣~~但还是得佩服下江民的厉害！呵呵~~ ”。然而我将“冰刃”选中“禁止进线程创建”，重复多次选择结束江民杀毒软件进程“KVmonXP.KXP”,该进程丝毫不为所动。事后想了一下，江民KV2008并非是使用进程关闭后自动重建的技术保护进程的，所以说使用“冰刃”的“禁止进线程创建”对KV2008并不起作用，显然是作者想当然以为江民也使用了进线程重建的保护方法了，这也是整篇文章中最严重的一处败笔吧。

    总的来说，《无招胜有招 杀软金钟罩》一文把平时被大家忽略的杀毒软件自我保护功能全面地总结了一遍，这在目前涌现出大量能够关闭杀毒软件的病毒情况下，显得十分重要，也不失为电脑用户选择杀毒软件时参考的重要依据之一吧。

合欢树

江民的宣传帖？现在江民也爱到处打广告吗？堕落了啊。。。

caobin

转载自 江民官方论坛 据国家计算机病毒应急处理中心调查，我国信息网络安全事件发生比例连续3年呈上升趋势，今年达到65.7%，较去年上升11.7%。计算机病毒感染比例在前两年基本持平的情况下，今年达到历年来最高的91.4%。

    当计算机用户配置了大量的安全硬件和软件，还是发现自己仍处于安全威胁之中后，用户会开始迷惑，究竟什么样的产品才可以保障自己的计算机安全呢？每个人到底应该为计算机安全要付出多少成本呢？在日趋恶劣的计算机网络环境下，计算机用户配置一款集病毒查杀、防御于一身的安全软件变得尤为重要。

    据我理解，国内首款真正具备主动防御功能的杀毒软件KV2007早在2006年面世，用户反映其在已知病毒的查杀和未知病毒的防御方面均很优秀，于是 “主动防御”技术开始被众多安全厂商重视，直至2007年网络上才开始流传杀毒软件步入主动防御时代。2007年，以技术领先的江民公司精心打造了凝聚众多计算机反病毒专家及爱好者智慧与心血结晶的江民KV2008，以其“杀毒效果好、能够防范未知病毒、自身强壮度高、查杀速度快”等优势在《电脑报》2007年度杀毒软件横评中荣获最高成绩4A佳绩。

    江民杀毒软件KV2008获得如此好的成绩，她在病毒防御等方面究竟有哪些高招呢？其具备超强的自我保护功能，病毒、木马想通过结束进程等对待其他杀毒软件一样的手段对她无效；具备完善的立体防护系统，文件监视、邮件监视、网页监视、即时通信监视、脚本监视均反应迅速，可以全面抑制已知病毒的攻击；各种常用软件的嵌入式保护可将已知病毒清除在萌芽期；相应的资源占用与扫描的极速狂奔无不给用户以安逸的享受。

    然而，新病毒、木马的快速衍生还需要一套完整的主动防御体系的呵护，计算机用户方可真正高枕无忧。江民杀毒软件的主动防御体系由木马一扫光、网页防木马墙、系统监控、隐私保护、漏洞检查、未知病毒扫描工具、系统诊断工具及该公司的病毒预警、未知病毒分析系统构成，可谓应有尽有。有了这些利剑，阻止病毒、木马的恶意攻击就变得易如反掌了，同时也较好地弥补了传统杀毒软件采用“特征码查杀”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范。如附图中KV2008的各种人性化的提示弹出时，选择禁止或结束进程，就可以轻易将病毒拒之门外。当然了，KV2008的主动防御也可以“服务器”模式自动实现对未知威胁的拦截和清除，用户可以不关注防御的具体细节。


鉴于KV2008的良好的易用性，本文不再过多的描述，其主动防御使用起来极其简单，只需轻轻一点即可拒绝病毒袭扰！例如：令局域网用户深恶痛疾的ARP病毒、AV终结者及大名鼎鼎的威金病毒等，在KV2008面前无需病毒库，利用其主动防御组件即可轻松防御！如下图所示情况下选择禁止或结束进程即可阻止病毒文件进行下一步操作。为了演示需要，下图是在选择“允许”后之截图，网友们平常操作仅需一点即可，当然也见不到这么多提示了，呵呵

故而，笔者向各位网友推荐江民杀毒软件KV2008，她可以为您的计算机提供全面的安全呵护，因为她不但可以轻松查杀已知病毒，还可以轻松拒绝未知病毒的侵扰！但愿所有的计算机用户能够拥有洁净的互联时空、能够安全舒逸的享受计算机带来的无尽乐趣！

caobin

KV网络版软件系统采用B/S结构、多级控制中心、自由分组、远程安装、自动报警及日志系统、完善的用户注册系统、主机搜索功能、客户端迁移功能、以及其他强大的管理功能，简单远程部署功能、按需设置客户端权限等。
    控制中心：通过IE方式登录网络版控制中心，使管理更加方便，不用局限于必须在服务器上进行对全网的操作，可以在网内的任何一台计算机上打开控制中心对全网的客户端进去策略设置、文件下发、全网查杀毒、全网升级病毒库、查看全网的杀毒及病毒防护日志，极大的减少了网络管理员的工作量。

客户端：杀毒软件扫描引擎采用的是国际领先的驱动级深层杀毒、病毒主动防御、比特动态过滤引擎技术，可全面清除木马、后门、流氓软件、网络蠕虫等三十余万种病毒。病毒主动防御和实时监控防杀相结合，组成了电脑病毒立体防御体系，为企业学校日常办公、上网、下载、邮件收发、即时通讯等提供了全面的安全保护。江民网络版病毒库可根据设置随时自动升级到最新日期。


前不久，我发现一台没装杀软的电脑出现了系统变慢并且有些文件打不开，一些重要文件被破坏的现象，难道电脑中了病毒了吗？同事们带着疑惑的眼神看着我的操作，电脑里的文件还能恢复往昔吗？我不失时机地边准备针对电脑进行全面的病毒清查，看是否电脑中了病毒，边给他们讲解病毒预防知识。首先我给这台电脑装上江民杀软，并将病毒库日期升级到了最新。

针对某个可疑文件或者可能有害的程序，首先进行查毒：点击右键，选择“江民杀毒”检查看是否是病毒。


经过江民杀软检查发现是木马病毒的一种，点击确定，江民进行相应的处理。重启电脑后清除存在的病毒，轻松搞定电脑里的一个木马病毒，然后再重启电脑进入安全模式，启动你的杀毒软件扫描一遍就可以了，病毒将会被江民杀软清除得更彻底。


    针对一些可疑性文件，江民使我如虎添翼也使我无后顾之忧，选择可疑性文件U67GV5HN，右击鼠标选择江民杀毒，很快的就发现了病毒



发现电脑存在有2007年的十大病毒之一，病毒名称：Exploit.JS.Real ；中文名：Real脚本病毒；病毒长度：可变；类型：网页脚本；危害等级：★★★；“Real蛀虫”变种e是漏洞攻击病毒家族的最新成员之一，采用javascript脚本语言编写，并且代码经过加密处理。“Real蛀虫”变种e是一个利用“Real Player媒体播放器”漏洞进行传播其它病毒的网页脚本病毒。“Real蛀虫”变种e一般内嵌在正常网页中，如果用户计算机没有升级修补“Real?Player媒体播放器”相应的漏洞补丁，那么当用户使用浏览器访问带有“Real蛀虫”变种e的恶意网页时，就会在当前用户计算机的后台连接骇客指定远程服务器站点“http://web.wzxyq.com/mm/”，下载恶意程序“mm.exe”并自动调用运行。其中所下载的恶意程序可能是网游木马、流氓广告、病毒后门等，会给被感染计算机用户带来一定的损失。
电脑在重启后清除病毒。看到经过江民的一系列查毒杀毒和系统修复，电脑又恢复了往日的平静，文件又被找到了，那份喜悦无可言表，纷纷夸赞我的技术。我高兴的说，其实真正的功臣是江民杀毒软件，我只不过如伯乐相马选择了一款适合办公的杀毒软件罢了。几经验证之后，我的同事们真正认识了江民，他们用了江民后，感觉上网安全多了。
    在我的带动下，大多数同事家中也安装上了江民2008版，同时我不失时机地建议同事们要养成好的上网习惯才能远离病毒烦恼。即在课余时间多去相关安全论坛学习一些电脑病毒的防治知识，既得到了学习，又能应用与生活。现在学校上网基本是很正常了。在熊猫烧香肆虐的日子里，同样用别种杀软的同事中毒了，在AV终结者横行的日子里，用NOD32的同事倒下了，而我们一些配置相对较低的电脑却稳定运行着，因为我们选择了不同的杀软。
    我想，事实胜于雄辩，通过一段时间对病毒的查杀能够培养出一个稳定的用户群体，也是一个杀毒软件最大的成功，江民杀软就做到了这点，所以，我还会选择江民。

caobin

“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”，明明安装了杀软并且开启了实时监控，还是惨遭毒手。出现这样的情况并非杀毒软件无能，而是传统的技术是依靠特征码对病毒进行识别的，如果病毒未被杀毒软件公司收录入库，我们就始终无法查杀，病毒还是一样逍遥法外。
　　而江民杀毒软件的用户却无缘与国宝大熊猫相会，谁是“罪魁祸首”？答案是：主动防御。何为主动防御？相信我不用再啰嗦，因为07年被炒得最热的当属主动防御。主动防御的方面很广，但其核心技术是靠病毒行为对病毒进行拦截和判断的，无论病毒怎么改变但其执行的恶意行为不会变，只要执行恶意行为就难逃主动防御的法眼，就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了，作为江民的用户，多少觉得有些遗憾，因为这样著名的病毒与我们无缘啊～
　　其实KV系列很早就有了主防，但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来，08版增强了主动防御的易用性和智能性，相比其他杀软，KV2008的主动防御是广义的，我们可以看到其防御保护非常全面，主动防御在江民这里有了新的诠释：即主动去阻止一切安全隐患（包括未知病毒行为、系统漏洞等）。

我们可以看到KV2008的主动防御可以设置安全强度，这给我们日常的工作以及安全性带来的很大的便利性，不必为不懂怎么设置而头疼，只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作，你可以勾选“服务器模式”，这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
　　下面以最新的“磁碟机”变种为例看一下主动防御的效果，该病毒号称目前可以干掉所有的杀软（病毒重置SSTD，向杀软发大量送消息以关闭杀软，经过测试，在未处理前卡巴、微点、江民等等许多杀软都被关闭了，但是江民率先对此问题做出了解决方案，笔者立即对KV208进行升级），会感染可执行文件，中毒之后非常难以清除：


面对新的威胁江民、针对新病毒采用新的技术，江民率先做出了响应，我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉，每一步都被KV2008的主动防御给拦截了，没有给磁碟机任何的机会，之后我们上报了此病毒，在此病毒入库后我们又对系统进行全面检查，扫描后并未发现有任何感染的迹象，看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。

使用KV2008默认的主动防御规则即可以防御绝大多数病毒，但并非全部，我们还可以自定义规则，不过定义规则涉及到专业的知识，所以不推荐给普通用户使用，不过如果你想增强主动防御的安全性和严厉性，可以安装主动防御规则增强版，可以在江民论坛上找到。
主动防御使用原则与技巧：把经常使用的程序加入白名单，这样即可减少主动防御的拦截提示，减少对我们日常学习工作的影响，当你遇到主动防御的拦截提示时，不要因害怕而不知所措，主动防御上已经有非常人性化的信息提示我们该如何操作，我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序，我们就点“允许”，如果是我们不认识的程序或者不是我们触发的行为，我们就点“禁止”。

caobin

如果你在使用KV2008，对于如何进入其设置主程序，你该知道总共有三个方式：
    1.右键点击桌面"杀毒软件"图标－》点设置
    2.打开杀毒软件界面－》工具－》设置
    3.右点任务栏的红K－》设置都可以进入KV2008设置功能的界面。
    程序启动界面如下:（常规）

安装程序默认是将这些都打勾的，这样会导致系统开机要杀毒等，会造成机子运行速度降低。这里推荐只勾选进入屏幕保护时扫描病毒、开机时自动开启监控、允许Bootscan在系统启动前扫描病毒在系统启动前扫描病毒这三个选项。
    进入屏幕保护时扫描病毒作用是当系统空闲时系统就会利用屏幕保护杀毒程序来进行查杀病毒。
    开机时自动开启监控作用是在机子启动系统读取桌面管理程序之前启动江民实时监控程序。
    允许Bootscan在系统启动前扫描病毒作用是在系统读取用户管理文件之后第一个所启动的病毒扫描选项，使用这个可以解决一些需要重启删除的病毒。
谈谈江民的图标显示的设置问题，点击显示进入如下界面：


如果您有不想要的图标或功能都都取消上面的对勾,同时可以重新勾选对勾来恢复设置如果还是不行请建议您尝试在论坛上找答案。
    点击“扫描选项”

这里一般选择默认设置，如果您感觉江民杀毒的提示音不好听您可以点击声音1和声音2进行声音上的个性化设置。注意设置个性化声音最好为WAV格式的要不可能会出问题哦^_^ 。
    点击“扫描目标”

这里软件默认是不勾选解压检查压缩包和电子邮件（*.zip,*.rar….）中的病毒这样可以提高扫描速度。为了系统安全这里建议您将其勾上。

caobin

打开软件主界面点开设置 然后点击“定时扫描”

这里软件默认是勾选每天（即每天的12：30杀毒软件按照预先设置的方按进行杀毒）；如果您是勾选每周（即每周的周日的12：30杀毒软件按照预先设置的方按进行杀毒）；如果您是勾选每月（即每个月的1日的周日的12：30杀毒软件按照预先设置的方按进行杀毒）；这里推荐大家设置不扫描 避免影响大家的正常工作。补充建议：您可以选择夜间无人使用计算机时（或周末空闲时），进行杀毒这样也是可以了，这样的定期杀毒对计算机的安全有很大的提高。
点击“分类扫描”

这里程序默认的是全不打勾，为了计算机使用安全建议大家全部打勾增强杀毒软件性能。
   
    点击“不扫描文件夹

这里程序默认的是空的（即不添加任何文件或文件夹）大家如果有病毒文件需要保留的可以自行添加文件夹路径这样杀毒软件就会避开该文件夹从而保存了您的病毒文件。这里建议不做添加，以免病毒对您帐号信息进行窃取，保证计算机无毒工作是个非常好的选择。

    点击“扫描报告”

这里是设置如何保存进时间段的病毒扫描报告文件，如果您想保存为纯文本格式那么可以打开杀毒软件界面－》查看－》扫描报告 进行查阅。推荐大家将允许自动反馈使用上匿名信息（不涉及用户隐私）给勾上这样能最大程度的保护用户的隐私资料。

caobin

打开杀软主界面 点击设置 然后点击“监视”

这里程序默认的是只将文件监视、邮件监视、脚本监视、网页监视勾选上，这里推荐大家是全部打勾，以增强杀毒软件性能。发现病毒的处理方式大家可以选择自动清除病毒，这样可以减少一些不必要的麻烦。

    点击“监视参数”

这里程序默认是没将解压检查压缩包文件和电子邮件打勾。不勾选此设置，对于安装多安全类软件的电脑和配置低一些的用户如果勾选后会造成假死，拖累系统资源的现象。如果您需要保存包含有病毒代码的TXT文档您可以将监视全部文件下的但排除这些类型的文件（如.txt）勾上并在输入框中输入*.txt即可。

    点击“分类监视”

这里与上文的分类扫描相类似此处就不再描述。

    点击“不监视文件夹”

这儿的不监视文件夹即不监视某个文件夹内部的文件改动，但是有对内部文件进行文件扫描。这里与上文扫描选项中的不扫描文件夹相类似这里就不再叙述。

    点击“网页监视”

如果您使用的是ADSL ( 2M ) 浏览器是 IE 浏览器 那么您只要按如上图所示的设置就行，如果不是您可以将IE模式改为所有，如果网速低于2M建议您将快速模式改为流式检查，这里建议您最好将未知程序进行网络连接时询问，这样可以有效的避免木马等程序的非法访问网络。

    点击“邮件”

这里系统默认是不打勾的，如果您有使用电子邮件客户端，建议您将只勾选接收邮件监视即可，如果勾选监视发送邮件，那么在发送包含病毒附件的邮件上报时会遇到一定的困难！