打造系统御毒金钟罩

1、无毒防毒有毒杀毒：打造系统御毒金钟罩 从小就被俺家的父母教导“做什么情况都得安全第一”，事实的确如此，现在的IT业中这一观点同样深入人心。 俺接触电脑已有多年，从一个“鸟蛋”差不多成长为了现在的“反病毒高手”（自封的）。俺第一次使用的杀毒软件确实是江民公司出品的，当时仅仅明白一个叫CIH的病毒且听讲KV对其有特效就买了它。现在多年下来，差不多对其有了浓厚的感情，对其每一代产品都有比较深入的见解。 好，切入正题 多年前，盛行一时的引导区病毒及像CIH这类仅仅通过文件、软驱、光驱感染的病毒现在已不多见（因此依旧不能对他们掉以轻心），因此那个地点暂且不讲他们。防毒篇：防患于未然给系统打补丁 “反病毒

2、”的话题一定要从防病毒开始，谁情愿自己中毒了然后慢慢去杀掉。 目前绝大多数蠕虫、后门等病毒差不多上利用系统漏洞入侵用户系统的，像“冲击波”“震荡波”“极速波”全部是利用系统漏洞感染用户电脑然后又开始新一轮疯狂传播的，这些可恶的东西不看体积小，一旦多起来势不可挡，甚至造成全球网络瘫痪。因此补漏成了当前的头等大事。 如何给系统打补丁呢，最好的方式是通过WindowsUpdate那个东东，每个Windows系统中都有，目前微软公司会在每个月的第二个星期二公布安全更新，简体中文版的一般会相对晚一天公布。 因此利用其他软件也能做到这一步，像KV2005的安全中心就有简单的漏洞提示功能，现在的KV2006

3、差不多具备了完善的漏洞扫描功能，能全方位扫描并弥补系统的安全隐患。 那个地点给大伙儿一些差不多建议：首先得放弃使用Win9X、ME系统，这类系统因为先天不足，因此不管如何补差不多上特不不安全不稳定的。关于Win2000系统，首先必须确保自己差不多安装了ServicePack4（SP4），然后再安装后续公布的安全更新；关于XP系统，SP2是理所因此的，目前在SP2公布后的安全更新总容量也差不多累积到了差不多50MB的大小，因此大伙儿最好一边泡咖啡一边补漏，可不能性急啊；关于Windows2003系统，个人用户用得不多，企业用户使用得比较多了，更应该注意系统的安全，打上SP1吧。 补漏不仅仅是系统

4、，应用软件本身也会有漏洞，像Office、反病毒软件本身都会存在漏洞，因此大伙儿也要常更新这类软件。那个地点因此包括更新反病毒软件的病毒库。那个地点提醒大伙儿的是，江民公司从专门早往常的每周更新一次差不多晋升为每日更新（包括双休日），遇到紧急病毒会随时更新，最大限度地保障用户的利益。 还有确实是，关掉自己不需要的服务，能够一定限度的增强系统安全性。比如就单机用户来讲，像Service、Messenger等这类服务差不多上不需要的，应该立马斩断它。关闭这些服务通常在“操纵面板治理工具服务”中进行，因此也能够修改注册表。这类操作具有一定危险性，应当有高人指导，呵呵。还有一点，确实是建议大伙儿把系统

5、“自动播放”这项功能观点，现在专门多病毒都利用那个人性化功能来启动自己，真是够狠的。 大伙儿能够经常去江民网站查看安全动态新闻：杀毒篇：兵来将挡水来土掩 假如不慎中毒了，就得使出看家本领了。严格意义上来讲，纯DOS下面杀毒是最完全的，一切不能在Windows系统下清除的病毒全部能够在DOS下面杀掉，KV的DOS杀毒软件就我来看是做得最棒的，不但具有超强杀毒能力，更可贵的是使用了图形界面，而且能够加载鼠标进行操作，方便了用户。因此KV的DOS杀毒程序早就开始支持在纯DOS下查杀NTFS分区格式了。然而基于那个视窗时代，差不多有专门多人对DOS一窍不通了，因此如何在Windows下清除病毒才是那个

6、地点的重点。 一些感染其他文件的病毒，在Windows下清除确实有些难度，只是事在人为。要想在Windows下清除这些病毒最好将系统启动到“安全模式”中，进入安全模式后，系统加载的程序比较少，清除起来相对简单一些。这时我们要做得确实是先把内存中的病毒先解决掉，否则病毒会重复感染文件，杀毒将会没完没了。从专门早往常的KV3000开始，KV就具备了清除内存中病毒的能力，到现在来看，KV的内存杀毒做得相当完善，特不优秀，因此清除这些病毒简直确实是小菜一碟儿。 再来讲讲臭名昭著的“灰鸽子后门”，那个东西在各大安全论坛上是闹到翻天覆地，它采纳了Hook编程技术，将自己挂接到其他进程中（这也是专门多人会讲

7、在内存中查出几十个灰鸽子的缘故，实际上真正的病毒体就只有那么3、4个而已），导致无法从内存中将其干掉，若要强行将其从内存中剥离出来，势必导致崩溃。因此必须借助一些手段从注册表下手。通常“灰鸽子后门”将自己注册成为服务，启动项位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下，一般来讲删除它的服务，重新启动计算机就能使用KV轻松将其解决掉。那个地点介绍一个小软件HijackThis，本来是用来反扫瞄器劫持的，只是现在差不多上都被用来清除病毒，有了它做起事来就方便多了。 惋惜的是现在的“灰鸽子”但是飞得越来越高了，专门多都开始利用Rootkit

8、技术了。 讲道Rootkit，它也是一种编程技术，用来隐藏自身的。本身不具备危险，然而一旦被滥用就糟了。像上面讲到的利用此技术的“灰鸽子”，我们是看不到它的，在进程中看不到，在资源治理器中也看不到。如何办呢？送你把剑冰刃IceSword，它是一个网名叫做pjf的顶尖高手写的，那个东西能看见几乎所有的隐藏东西。下面以一个简单的Rootkit病毒为例。一个病毒实例：extel.exerdriv.sys 如何明白自己是中了此病毒，专门简单，确实是用IceSword的进程查看，假如发觉有extel.exe的存在，且此进程又属于隐藏进程，那么你多半确实是中了那个病毒（注意，在IceSword中隐藏进程是

9、以红色显示的） 清除方法：1、观赏一下病毒的隐藏进程，你能够看看Windows的任务治理器中是否有此进程的存在。没有吧，再看看IceSword里面，如何样，是否显原形了。不要试图去结束它，没用的，病毒会反复运行（如图所示）。2、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这两个键然后将它们删除（如图所示，注意那个地点只列举了其中一个注册表键值）：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesExterntelecomHKEY_LOCAL_MACHINESYSTEMCurrentControlSetService

10、srdriv3、重新启动计算机，然后找到并删除以下文件：%Windir%extel.exe%Windir%System32rdriv.sys%Windir%代表：关于9X、ME、XP、2003系统为windows目录关于2000系统为winnt目录上面提到的这些工具全部都能够到我的个人空间下载：（各软件的所有权归软件撰写者所有）经验告之，关于后门、木马这类病毒，一般差不多上大伙儿在扫瞄一些含有病毒的网页时种下的，自己的扫瞄器存在漏洞才会让病毒得逞。因此在网上下载的专门多东西也会包含病毒，比如许多破解、黑客工具这些，因此平常大伙儿要多注意。介绍江民杀毒软件KV2006的四大领先技术接着，我就自己

11、对KV的认识而言来讲讲KV的一些比较先进的技术。希望能够关心大伙儿能更好地使用KV系列杀毒软件来防备病毒。1、KV的杀毒引擎是专门优秀的，能够脱掉专门多壳并能解开专门多压缩包格式直接查杀，病毒再如何伪装都无法藏匿自己。2、KV从2005版本开始，就引入了一个叫做“木马一扫光”的组件，相比往常版本及其他杀毒软件的注册表监控技术来讲要全面、强大得多。那个功能，应付那些未知木马、后门等特不有效，能够依照病毒的行为进行阻断。“木马一扫光”时刻监视着注册表的敏感区域，比如“启动组”“文件关联”等地点，自动推断是否阻止依旧询问用户如何操作。一年多下来那个功能不明白关心过多少用户免于新病毒的威胁。通常来讲自

12、己不比手动设置，默认的差不多是比较理想的了。下面是关于它的截图：3、江民公司凭借多年的反病毒经验，研发了一个特不强大的“未知病毒检测工具”，以概率的形式推断未知病毒的可能性，在25%以上概率的文件都得引起重视。准确率是相当高的。那个工具使用也特不简单，运行后只需要点击“扫描”按钮即可。关于扫出的可疑文件，能够右键点击它选择“结束进程”“删除文件”等，特不方便，利用好了，还能够关心解决许多难缠的病毒。 注意到没，那个工具有个“样本库”的功能，我们能直接将新病毒样本添加到里面去，通过那个“未知病毒检测”工具直接查杀了，不需要等到下一次KV的升级，专门方便。利用那个功能我们还能够做许多情况，比如自己添加“流氓软件”样本查杀。实际上这确实是一个特不方便的DIY杀毒、反间谍软件。4、KV2006的一个重头戏BootScan功能。那个功能专门有用，它的作用和DOS杀毒特不相似，能够轻易解决在Windows环境下无法清除的病毒。那个功能只需要到KV2006的参数设置中设置一下，然后重新启动计算机即可实现，