Mar 10 2008
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(5)
这是本系列文章的最终篇,稍早前的文章可以点击下面的链接访问:
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(1)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(2)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(3)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(4)
Trojan.generic和Trojan.cryptor
Trojan.generic
1)我为什么会收到这条提示?
Trojan.generic是一个你在日常使用中经常看到的提示,特别是在安装软件的过程中。
这个行为探测是非常简单的,如果一个程序在另一个地方创建了一份它的副本然后将之注册为一个自动启动项,那么它会被识别为Trojan.generic。
大量的有害程序通过这个方法来将它们”安装”到电脑上。一些应用程序也有这样的行为,其中大多数是程序安装文件和可执行文件是同一个文件时。当然卸载动作也会导致这个提示出现,因为有些时候需要创建一个临时的可执行文件来在下次系统启动时移除某些部分。
2)我应该做什么?
可用的选项包括:
隔离:该进程会被终止,此文件会被移动到隔离区中。之后,一个回滚弹出提示会出现(回滚=。=也许说”恢复”好些…),点击”回滚”,那个应用程序做出的更改会被恢复。
终止:该进程会被终止,但是进程对应的可执行文件会还在原地待着^^
允许:放行该动作。
添加到信任区域:将该可执行文件添加到信任区域,下次这个提示就不会出现了。
一些分辨出现这个提示是否是正常的技巧:
如果出现这个提示的时候你正在安装/卸载应用程序,或者点击了软件中的”开机自动启动”(很多程序都有这个选项吧,大家应该很常见),那么十有八九这个提示是由这些动作导致的,你可以认为这个程序是安全的(当然,凡事皆有例外…)。点击”详细”链接,点击里面的”历史”选项卡会显示这个程序目前做出的其他动作以供你判断分析。
如果你确定这个程序是安全的,你可以将它添加到信任区域中,但如果那是个安装程序的话,你只会看到这个提示一到两次,所以选择”跳过”更合适些。
如果你不知道那个进程是什么,请从”历史”面板中找找,你可能会找到创建该进程的文件,并且它和安装的程序一致。如果你认为它是个有害程序,或者你不确定的话,将该文件隔离并按此帖指示上报分析。
Trojan.cryptor
1)我为什么会收到这条提示?
Trojan.cryptor是另一个常见的信息提示,但不如Trojan.generic那么容易重现。当一个程序试图加密某些数据时,该弹出窗口提示会出现。比如这样:
由于有有害程序会加密用户数据并勒索用户交钱才能提供解密密码,所以这个检测是非常重要的。
2)我应该做些什么?
可用的选项包括:
隔离:该进程会被终止,此文件会被移动到隔离区中。之后,一个回滚弹出提示会出现(回滚=。=也许说”恢复”好些…),点击”回滚”,那个应用程序做出的更改会被恢复。
终止:该进程会被终止,但是进程对应的可执行文件会还在原地待着^^
允许:放行该动作。
添加到信任区域:将该可执行文件添加到信任区域,下次这个提示就不会出现了。
在这里说个我们日常中常见的Trojan.cryptor提示,也是一个经常被当作所谓”误报”的提示:在我们首次启动QQ时(比如刚刚安装完成卡巴的时候),卡巴会对QQ报Trojan.cryptor,这说明QQ是有加密某些数据的动作,并非是说QQ就是”木马”,这点大家要注意哦~
这个行为机制非常复杂所以它的出现很难被重现(重现是分析问题的很关键步骤啊~呵呵)。也由于它的复杂,所以优化是可能的,比如在主动防御识别方式优化排除某些特定行为后曾经经常出现的某些弹出窗口不再出现。
不管是哪类的主动防御提示,如果你知道那个应用程序是可信的都可以添加到信任区域中来排除它,如果你不确定或是怀疑它是有害程序,可以按照此帖的指示上报分析。
截止到这里,全部内容结束了,以后还会写一些有关常用的杀软的使用方面的文章,希望大家多多关注哦。希望这些内容能够帮到你~
相关文章
| 
|