多維防護 看KV2008強大安全防御能力

　　使用江民殺毒軟件KV2008有一段時間了，對於新一版的KV與此前的版本有什麼不同呢?下面就看看我的親身體驗吧!(注：本文以Windows XP SP2為測試平台)

　　一、初識江民殺毒軟件2008

　　打開KV2008，界面首先映入眼簾的依然是那麼簡潔、清晰的界面，給人樸素大方的印象。

　　界面左邊依然是那三個醒目的按鈕：掃描目標、掃描結果、監控中心。點擊“簡潔目標”選項卡中的任意一個快捷方式都可以進行查殺病毒，旁邊的幾個選項也可以詳細設置查殺目標以及方便用戶的在線升級和軟件設置。KV2008依然繼承下KV2007的菜單欄風格，這樣更加方便用戶的已有習慣，使用戶不會因升級殺毒軟件而改變習性，從中可以感受到KV2008的人性化設計。

　　KV2008也同樣繼承了KV2007的所有優點，而且還加強了其“主動防御”功能。江民的“主動防御”可以實時監控系統中是否存在木馬、保護IE，監視是否有可疑進程以及注冊表，這樣可以最大限度地保護系統免遭病毒、木馬以及系統本身漏洞的威脅。

　　再看看系統資源占用方面。KV2008比以前的KV系列更加注重系統資源占用問題，運行中僅僅占用了10MB左右的物理內存，加上虛擬內存，也不過50MB。

<

　　而現在的內存價格已經跌到白菜價了，2GB的內存用戶也不在少數，區區50MB內存的占用，就可以得到系統全面的保護，資源占用情況十分令人滿意(注：目前是打開江民默認的系統防護的，包括文件監控、網頁監控、郵件、腳本以及主動防御功能)。

　　二、體驗江民2008的全新功能

　　毋庸置疑，江民的每次升級都會給用戶帶來更豐富、更人性化的服務。下面就著重介紹“江民安全助手”和“進程查看器”這兩大新功能。

　　1.江民安全助手。在流氓軟件橫行的今天，有一款強力查殺流氓軟件的工具是每台計算機必不可少的需求。KV2008的“系統安全”裡集成了“江民安全助手”工具。

　　點擊左方的“檢測列表”按鈕，軟件就立即進行查殺。我自認為自己的系統非常干淨，但是出乎我意外的是，江民的“江民安全助手”馬上就查殺出來了一款流氓軟件的殘留項目。實在是令人佩服江民的惡意軟件查殺功力!當然，在“江民安全助手”的左側，還有其它的功能。我發現，在左下角有一個“系統修復”的按鈕，這個可以在查殺病毒之後，如果病毒破壞了系統的關聯(如殺毒之後無法打開exe文件)，就可以用這個功能進行修復。

　　修復方法十分簡單，直接點擊右側的“修復”按鈕即可。

　　2.進程查看器。江民2008中也集成了“進程查看器”功能。下面以十分猖獗的“上興”木馬病毒為例來說明KV2008的“進程查看器”強大的功能。眾所周知，“上興”木馬采用Rootkit技術，使自身的運行級別提升到Ring0，從而使系統自帶的“任務管理器”無法查看其進程，這也是為什麼使用Rootkit技術的病毒十分難以查殺的原因。但江民的“進程查看器”可以完美越過Ring0級別的限制，從而讓使用Rootkit的病毒無處藏身。

　　圖5是使用IceSword來查看進程的截圖，可以充分說明江民的“進程查看器”功能十分強大)。另外，江民的“進程查看器”還可以定位某個進程的網絡連接狀態、查看某個進程的模塊信息、線程信息以及將該進程加入黑名單中以及其它一些功能.

　　這些都是系統自帶的“任務管理器”所不能比擬的。由此可以看出，江民“進程查看器”的功能不容小視。

　　三、KV2008——反毒的利劍

　　現在進入KV2008的核心部分----病毒查殺。殺毒軟件的殺毒能力是一項評價殺毒軟件非常重要的指標，也是殺毒軟件的核心部分。殺毒能力不足的殺毒軟件就像一個只有空殼的人一樣，沒有實質的東西，當然這樣的軟件也不能稱之為殺毒軟件。通過實用，可以看出江民殺毒軟件獨自核心殺毒技術的有效性，而且它在多方面都勝過某些同類軟件。下面就以蠕蟲病毒“魔波”和木馬“上興”為例來闡述江民強大的反病毒能力。

　　1.利劍斬“魔波”。“魔波”是利用微軟的漏洞進行傳播的蠕蟲病毒，其破壞性不亞於當年的“沖擊波”病毒，但是現在人們的防范意識逐漸提高，才導致“魔波”沒有像當年的“沖擊波”那樣肆意擴散。但是“魔波”的攻擊力依然不容小視，所以現在就用KV2008以“魔波”為例來斬殺強悍病毒。

　　中了“魔波”病毒變種之後，病毒會在%systemroot%system32目錄中生成"wgareg.exe"病毒文件，並且會將自身加入系統服務中，使系統自帶的“任務管理器”無法結束其進程。

<

　　經過在虛擬機上的病毒行為分析之後，傳統查殺方法如下：右擊“我的電腦”進入“計算機管理”中，選擇“服務和應用程序”中的“服務”，選中病毒創建的服務"Windows Genuine Advantage Registration Service"，將其“啟動類型”設置為“已禁用”，下次計算機啟動的時候就不會加載該服務;再定位到%systemroot%system32目錄下，將"wgareg.exe"程序刪除;最後進入注冊表，將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswagreg鍵值全部刪除即可

　　雖然這樣可以殺除“魔波”病毒，但是對於很多計算機用戶來說，畢竟還不是很容易。KV2008完全考慮到了這一點，使用其自帶的“進程查看器”可以非常快捷、方便地查殺掉“魔波”病毒。

　　打開KV2008，在菜單欄中選擇“系統安全”，選擇“進程查看器”，再定位到"wgareg.exe"這個進程上，可以清楚地看到，江民的“進程查看器”將"wgareg.exe"這個進程的危險度標記為80%。

　　這樣可以明確的讓用戶判斷一個進程是正常進程還是可疑進程。右擊該進程，選擇“結束進程”即可將該進程結束，之後進入該病毒的文件夾中，將其刪除即可徹底查殺該病毒。值得一提的是，江民的“進程查看器”不僅僅是簡單的結束一個可疑的進程，它還會將這個可疑進程的服務給關閉掉(這就是為什麼系統自帶的“任務管理器”無法結束掉“魔波”進程，而江民卻可以的原因)。再進入%systemroot%system32文件夾下將病毒文件刪除，最後清理注冊表即可。

　　從這裡可以看出，江民的殺毒能力堪稱一流，即使是一款附帶的“進程查看器”都有這樣強大的功能，不難看出江民強悍的殺毒能力!

　　2.利劍斬木馬。木馬在這個時代是越來越猖獗，灰鴿子、上興、守望者、黑洞等等木馬軟件在網上橫行霸道，給信息安全帶來了極大的隱患。它們所使用的技術也是不斷更新，有的使用系統文件名漏洞來隱藏自身，有的是使用與其它程序進行捆綁來隱藏自身，還有的使用Rootkit技術或是采用NTFS流隱藏技術等等……但不管病毒使用怎樣的手段，江民殺毒軟件都可以有效查殺這些木馬!

　　這裡就以典型的“上興”木馬為例來介紹KV2008的反木馬能力。

　　如果中了最新的“上興”木馬之後，它會冒充iexplorer.exe和calc.exe進程(當然，對於不同的木馬配置，這兩個進程會有所改變)，並且使用Rootkit隱藏這兩個進程，在用戶系統自帶的“任務管理器”中是無法查出蛛絲馬跡的。打開KV2008中的“進程查看器”立即就可以看見這兩項進程

　　但是如果直接將其結束進程之後，並不會得到想要的結果，結束進程之後不一會兒它們的進程會再次啟動。由此可以知道，“上興”木馬是使用雙進程保護技術的，如果其中一個進程被結束了，而另一個進程就會立即檢測到並且馬上開啟這個進程。經過分析確認“上興”木馬是使用系統服務將兩個進程保護，導致江民的“進程查看器”無法將其結束。

　　但是和上面的“魔波”同樣是系統服務，為什麼這次江民的“進程查看器”在結束進程之後沒有自動關閉“上興”的服務呢?分析之後認為，“上興”木馬是使用的進程插入技術，將自身插入到iexplorer.exe和calc