caobin

开始测试：哪里的马多？网页，可我的IE7补丁打齐了，让它来都来不了。找一0补丁的IE6，关闭先装好的KV08（预升级版），而且设置为开机不启动。再找一毒网进去，硬盘开始响了，马来了，估计放完了后再重启电脑，给它们充分的运行条件~~~
     重启后电脑无任何异常，速度也没慢什么，但一检查才发现真实暗流涌动哈，还是打开KV来检查（现在基本不用担心中毒后KV打不开，这点让人放心）。

     1、KV进程查看器显示了一个隐藏的QQgame和两个开始没有的calc。exe、wdfmgr。exe进程。再点“分析系统”按钮KV的进程查看器出现错误被关闭（这个好象不是病毒造成的，是预升级版的BUG）补充：这是病毒造成的，不是BUG

     2、KV未知病毒分析

3、系统诊断（省略病毒创建的一个浏览器加载项截图及因预升级版BUG导致无法扫描隐藏文件和注册表）



4、KV安全助手（不知为何，打开助手出现这个）


5、共享管理（我关了的，中毒后打开了，呵呵）
6、病毒创建的文件，系统、隐藏啥属性都有（懒的全截，省略若干）
7、用SRENG看看（冰刃成病人了），映象劫持一片，但其中有一项要仔细看，呵呵，还改了win。ini文件
接下来在设置里打开开机启动监控选项后重启电脑,KV开始报毒,注意提示里的"已经禁止存取此文件"~~打开系统盘后,KV文件监视不停发现病毒

因有rootkit系病毒,重启用bootscan扫一遍,进入桌面后用KV的未知工具扫描就只剩下10个可疑了,加入样本库杀完后病毒就在系统文件夹内剩几个配置类文件了,删除后再用KV的系统诊断把残留的注册表项修复(删除),用备份的注册表或手动删除(比较累)映象劫持就OK了~~
这个有什么用呢?把KV关掉再次进入那个毒网就知道了~~~~

病毒创建不了任何文件。。。。

     您觉得这个功能怎么样呢？如果结合可升级的黑名单，杀软的新方向~~~呵呵

后记:1、安全助手出现安装控件的提示应该是病毒造成的,因为无毒时不会出现。

     2、这是我第二次遇到破坏KV内置工具的病毒，说明了KV内置工具的强大和实用性，也给KV的技术人员提了个醒儿，病毒瞄上咱家里的了~~~
     3、建议将未知病毒扫描的用户处理结果加入“拒绝文件列表”中~~

caobin

我是2007年底开始使用江民KV2008杀毒软件，之前一直在使用KV2007，由于迎接奥运了，也该换个新的版本来使用了。


下面开始正文：   
    进入一个系统，首先就是启动文件，KV2008配合SREng可谓是双剑合璧，下面帖个图出来。图1

这里可以看到系统注册表项的所有启动项，

这里可以看到所有不是系统所加载的服务，如果是陌生的服务。一下就给咔嚓掉。
    新的版本在此下载http://www.kztechs.com/sreng/sreng2.zip

    这次，KV2008未知病毒检测工具做的很到位，可以把系统内部隐藏的 *.dll 文件以及 *.exe 等文件一起截获出来，可直接把可疑的进程处理掉，


这样就省去了在KV2007中再来编辑添加黑白名单文件的时间了。

文件监视可以全部打开。无论单核还是多核系统下，都能稳定运行。

这次的亮点，移动存储设备上密码。要不然，无法阻止病毒后台自动运行。另外，未知的病毒也可以使用自己熟悉的安全软件来处理。
    在KV2008中，更强悍的是 KV目录以及目录下的任何文件都不可更改，包括新建、复制、删除，都无法进行。KV的进程无法关闭，KV所监视的任何设置都无法根改，可以更进一步地来避免病毒的感染并有效处理病毒。
    话说回来，KV处理病毒再厉害也没办法阻挡病毒的到来，所以尽早安装防火墙为妙，推荐使用江民反黑客防火墙。做的很到位。

caobin

“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”，明明安装了杀软并且开启了实时监控，还是惨遭毒手。出现这样的情况并非杀毒软件无能，而是传统的技术是依靠特征码对病毒进行识别的，如果病毒未被杀毒软件公司收录入库，我们就始终无法查杀，病毒还是一样逍遥法外。
　　而江民杀毒软件的用户却无缘与国宝大熊猫相会，谁是“罪魁祸首”？答案是：主动防御。何为主动防御？相信我不用再啰嗦，因为07年被炒得最热的当属主动防御。主动防御的方面很广，但其核心技术是靠病毒行为对病毒进行拦截和判断的，无论病毒怎么改变但其执行的恶意行为不会变，只要执行恶意行为就难逃主动防御的法眼，就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了，作为江民的用户，多少觉得有些遗憾，因为这样著名的病毒与我们无缘啊～
　　其实KV系列很早就有了主防，但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来，08版增强了主动防御的易用性和智能性，相比其他杀软，KV2008的主动防御是广义的，我们可以看到其防御保护非常全面，主动防御在江民这里有了新的诠释：即主动去阻止一切安全隐患（包括未知病毒行为、系统漏洞等）。
我们可以看到KV2008的主动防御可以设置安全强度，这给我们日常的工作以及安全性带来的很大的便利性，不必为不懂怎么设置而头疼，只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作，你可以勾选“服务器模式”，这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
　　下面以最新的“磁碟机”变种为例看一下主动防御的效果，该病毒号称目前可以干掉所有的杀软（病毒重置SSTD，向杀软发大量送消息以关闭杀软，经过测试，在未处理前卡巴、微点、江民等等许多杀软都被关闭了，但是江民率先对此问题做出了解决方案，笔者立即对KV208进行升级），会感染可执行文件，中毒之后非常难以清除：

面对新的威胁江民、针对新病毒采用新的技术，江民率先做出了响应，我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉，每一步都被KV2008的主动防御给拦截了，没有给磁碟机任何的机会，之后我们上报了此病毒，在此病毒入库后我们又对系统进行全面检查，扫描后并未发现有任何感染的迹象，看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。
使用KV2008默认的主动防御规则即可以防御绝大多数病毒，但并非全部，我们还可以自定义规则，不过定义规则涉及到专业的知识，所以不推荐给普通用户使用，不过如果你想增强主动防御的安全性和严厉性，可以安装主动防御规则增强版，可以在江民论坛上找到。
主动防御使用原则与技巧：把经常使用的程序加入白名单，这样即可减少主动防御的拦截提示，减少对我们日常学习工作的影响，当你遇到主动防御的拦截提示时，不要因害怕而不知所措，主动防御上已经有非常人性化的信息提示我们该如何操作，我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序，我们就点“允许”，如果是我们不认识的程序或者不是我们触发的行为，我们就点“禁止”。

caobin

U盘病毒的肆虐相信大家都已领教过，稍一大意就会有中毒的危险。每次同学、同事的U盘在你的爱机上插来插去总是让我们“提心吊胆”，总不能因为病毒的原因就把USB端口给禁用了吧？用其它U盘病毒免疫工具总有一定的局限性（例如：要禁用自动播放功能，比如说当你需要使用自动播放功能时呢？而且有的工具生成的Autorun.inf歧义文件夹现在病毒已经很轻易可以删除，有举的朋友可以用冰刃删除试试），怎么办呢？

江民对毒病毒真的很有一套，“移动设备存储控制”功能主要是为对付U盘病毒设计的，当用户插入U盘时会首先进行拦截，只有当用户输入正确的口令才可以继续对U盘进行操作，这样就可以防止病毒侵入了，不仅如此，此功能还可以为你的电脑保密，为什么这么说呢？我们知道电脑上的文件很容易被小小的U盘带走，如果当你不在时，别人可以很轻易将你电脑上的资料（商业机秘，个人隐私）拿走，后果不堪设想，OK，现在有了KV2008，只要开启“移动存储控制功能”，并且设置一个口令，我们就可以为我们的移动存储设备加个锁，这样既可以防病毒又可以保护资料，何乐而不为呢？



    如何开启移动存储控制功能？不要着急，慢慢跟我来，我们打开江民杀毒软件主界面，单击“工具”－“设置”，在“江民设置程序”中选择“保护密码”，我们勾选“移动设备存储”选项，并且一定要注意勾选“修改密码/设置密码”选项否则不会生效，然后设置好访问U盘的密码，单击“确定”，重新启动计算机，大功告成～