萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 發揮卡巴斯基主動防御之最強模式

發揮卡巴斯基主動防御之最強模式

  有很多朋友仍不太清楚主動防御的原理及使用方法,在卡巴報警時以為是誤報,下面我就分析講解卡巴斯基的防御,為大家開啟最強模式。

  1.應用程序活動分析器

  基本防護:主動防御會啟用應用程序活動分析,包含下列防護選項:

  危險行為(分析系統中的應用程序行為)
入侵到程序(入侵者)
Rootkit檢測
注冊表中可疑的值
可疑的系統活動

  啟用程序活動分析器包含以下9種防護:

  (1)危險行為:卡巴斯基分析安裝在您計算機中的應用程序活動,並以卡巴斯基實驗室所研發的規則清單為基礎,偵測危險或可疑的應用程序活動。這些活動包括:應用程序隱藏安裝或應用程序自我復制。

  (2)用參數啟動互聯網浏覽器:分析這種型式的活動,您可以偵測到企圖修改浏覽器設定的行為。這種活動的特色是會透過其它應用程序的某幾個指令(command prompt)來修改設定,例如當您點選廣告郵件(垃圾郵件)裡面的超級鏈接(URL)。

  (3)入侵到進程(入侵者):在某些應用程序加入額外的程序代碼或新增額外程序。這種活動被廣泛運用在木馬上。

  (4)Rootkit檢測:Rootkit被用來隱藏系統內的惡意程序和執行程序。卡巴斯基能夠分析操作系統中的隱藏程序。

  (5)Window 鉤子:這種活動企圖去讀取Windows對話框顯示的密碼文件和其它機密資料。假如它企圖攔截對話框和操作系統之間傳輸的資料,卡巴斯基會追蹤這個活動。

  (6)注冊表中的可疑值:系統登錄文件是儲存Windows操作系統和使用者設定的數據庫,包含安裝在計算機內的應用程序資料。當惡意程序企圖隱藏自己的行蹤、復制不正確的值到系統登錄文件(機碼),卡巴斯基會分析可疑的系統登錄文件。

  (7)可疑的系統活動:這個程序會分析Windows操作系統執行的動作,並偵測可疑行為,舉例來說,當可疑的活動開始執行,它可能會破壞系統完整性,包含在監控的應用程序裡修改一個或多個模塊設定。

  (8)Keylogger檢測:當您使用鍵盤輸入密碼或其它機密信息時,這種活動會企圖透過惡意程序來竊取。

  (9)Microsoft Windows任務管理器保護:當惡意程序試圖阻擋工作管理員的運作時,卡巴斯基保護工作管理員不被感染。

  這個功能就是監控你要運行的程序是不是有惡意行為。比如你運行珊瑚蟲版QQ卡巴報警說檢測到風險程序 該程序試圖注入到另外的進程或程序這種行為是典型的惡意程序 或者你運行別的什麼程序報警說有風險程序 。就是因為你打開了程序活動分析器的緣故。

  打個比方說,路上設有好多檢查站(卡巴殺毒軟件),對於走在路上的愛滋病患者(病毒)檢查站會報警,但對與普通人不會;但是對於限制級區域(各種進程模塊),不論是愛滋病患者還是普通人,在未經允許進入(注入模塊)時檢查站都會報警,此時不是因為病毒,而是因為“進入”這種行為。

  invader是“入侵者”的意思。卡巴報警是因為一些無毒的軟件運行時需要注入其它進程,這種行為是入侵行為,因為它未經允許,同時把這些軟件定義為風險軟件。

  只要你確定運行的程序無毒,就可以大膽的不去管它。類似你進入限制級區域,不管你的目的是什麼,檢查站都會報警,因為你進入這種行為是風險行為,同時檢查站把你定義為有風險的人(風險軟件)。

  風險(invader)軟件報警是卡巴特有的,這說明卡巴很嚴格,風險軟件不一定是病毒,幾乎100%的軟件不可能獨立運行,都需要其他程序的支持,注入行為不可避免。

  對程序不是太了解的話此功能可以先不用。等你有了一定的基礎可以再用。(我在使用)

  2.應用程序完整性控制

  卡巴斯基程序完整性控制是卡巴斯基彈出提示最多的,而且把系統正常的加載行為也列入可疑行為並提示用戶如何操作(允許還是拒絕)對於對系統不明白的人來說很難辨別。弄不好還會導致系統出現錯誤。我的實際操作發現這個功能打開的話如果操作不當容易造成死機。為什麼呢?因為你打開的程序要調用別的程序這時卡巴會提示你允許還是拒絕,如果你拒絕的話這樣就出現一個不停的試圖去調用一個不停的去阻止所以就會出現死機的情況。

  程序完整性控制的提示框都是某某程序試圖加載新建或修改的某某模塊,其中前面的某某程序是卡巴斯基規則庫制定好的系統模塊,也就是系統運行的一些必備程序(例如:explorer、Rundll32等等)而後面的那個被加載的程序則是前面的程序模塊運行時要加載開啟的程序模塊,卡巴斯基的程序完整性控制把系統正常的加載行為也列入可疑行為並提示用戶如何操作(允許還是拒絕)

  這個功能初次使用彈出非常頻繁,隨著規則的增多,彈出會不斷減少的,幾乎每運行一個程序卡巴斯基會彈出無數的提示,如果你確定沒有問題了,點允許煩了,把創建規則的鉤鉤上,卡巴斯基就不會頻繁彈出了,並且自動允許加載。另外大家一定要把自動添加微軟數字簽名的程序到列表的鉤鉤上

  好了,就說到這裡。我嫌麻煩沒用這個功能。

  對安全性要求比較高的並且對程序十分了解的可以打開。

  3.注冊表護衛

  顧名思義就是監控注冊表。哪個程序想修改注冊表時卡巴會提醒你允許還是拒絕。別的不再贅述。

  這個功能可以打開,以防有的惡意程序在你不知情的情況下修改你的注冊表。

copyright © 萬盛學電腦網 all rights reserved