|
如何用好卡巴斯基主动防御功能
用好卡巴的主动防御
卡巴6有个主动防御,用不好会带来麻烦,用得好的话还是能够派上大用场的。
先大概看看卡巴主动防御的模块。
这里要说明的是程序完整性保护要关掉,它在大多数电脑上会导致卡巴狂占CPU(有可能是经常HASH文件的结果),除非你对你的电脑非常有自信,否则最好不要打开它。
还有程序活动性分析,这个模块是很多兼容性问题的来源,如果出现兼容性问题可以把这个模块关掉,或者把有兼容性问题的程序(比如讯雷主程序)加入信任区域不控制其活动性。
程序活动分析:
上面是我的设置。
“运行IE浏览器参数”可以勾掉,因为虽然有木马通过此方法穿墙,但是例子不多,反而误报却很多。“隐藏进程”的周期可以适当缩小。顺便说一说,卡巴的隐藏进程功能还是非常出色的,几乎所有Rootkit都会被找到(连可以躲过早期IceSword的Futo都逃不了哦)。“Windows钩子”最好阻止掉,键盘嗅探型木马会用到,但很少有正常程序会用(一般是鼠标、键盘辅助程序,但不多)。顺便说一下,卡巴主动防御比较令我郁闷的是,它居然没有对抗GetKeyState和GetAsyncKeyState这种白痴键盘嗅探方法的防御,现在解决的方法就是密码复杂点,大小写混合。
这里特别要提一下“侵入到进程”,DLL注入木马等会用到,但是还是有正常程序会用的,比如珊瑚虫QQ(CoralQQ.exe)、金山词霸(XDICT.exe),最好把它们统统加到信任区域(设置->信任区域)让卡巴不控制它们的活动性。
再提一下金山词霸,金山词霸2006以前的版本在使用屏幕取词的时候不单单会侵入到其他进程,还会导致其他的进程数据执行(Data Execution,溢出利用程序的特点),所以如果要用它的话,还要把危险行为的钩去掉。
注册表防护:
先以HOSTS File为例:HOSTSFile这个文件就是本地域名解析,正常程序不会用到。
双击HOSTS File后,选择“规则”,请配置卡巴修改“阻止”,删除“阻止”。
System Startup(系统启动项):如果你的系统极少有程序变动的话也可以考虑如上修改,这样可以让大多数木马失去作用。
Internet Security和System Security,网络安全与系统安全,这两个正常程序几乎不会用到,可以大胆地全部阻止。
Internet Plugins(IE插件),这两个是流氓软件、广告程序的目标,阻止掉。不过也有一些正常程序会用到,比如讯雷有个LanguageSetter.exe,每次启动时都会重新创建那个“用讯雷下载”菜单。可以把特例加进信任区域(不会很多的)。
Internet Settings(IE设置),建议保留默认。
System Services(系统服务,也可算作自启动一种)这项在安装新软件时和使用一些与系统比较紧密的软件(比如IceSword、FileMon、RegMon等)会用到。建议这项保留默认设置,由用户根据情况决定。
再提一点,最好把Internet Explorer和X:\Windows\System32\msiexec.exe加入信任区域不控制注册表。前者是因为有些IE插件(如GoogleToolbar)和IE自己会修改IE设置。后者是因为现在很多软件是通过Windows Installer安装,在安装这些正常程序时没必要控制它们(你可能会想到捆绑的流氓软件,不必担心,大多数情况下流氓软件都是独立的EXE,仍然会被监视到)。
Office防护:
这个就没什么好说的,防宏病毒的。先把操作改成终止吧。
卡巴监控了几个宏病毒使用频率极高的行为,其中也只有和ActiveX相关的行为正常宏代码可能会用到,可以酌情勾掉。
|
|