作甚@ZUOSHEN.COM

仍然PDM的话题。以往文章请点击这里，这里和这里。

Invader和Invader(loader)

1）这什么东西？

从卡巴斯基6开始反病毒和互联网安全套装都装备了主动防御模块，它可以通过分析一个程序的行为来探测可疑的动作。Invader，是指对一个进程试图向另一个进程进行代码注入，那么它就是个Invader。它和PDM的程序行为分析中的”入侵到进程”选项相对应。Invader(loader)尽管和Invader名字差不多，但是它们的行为是不同的。它是试图将一个模块插入到另一个进程中（DLL注入）。这个和程序行为分析中的”Windows挂钩”选项相对应。

当这样的行为出现时，你会收到这样的弹出窗口提示：

Invader：

你可以做出的选择包括：

终止：阻止注入动作，有这个想法的进程会被终止^^

阻止：阻止注入动作，有这个想法的进程还继续运行

跳过：允许注入动作

添加到信任区域：将该程序添加到信任区域，以后就不会再对这个程序进行”invader”探测了

Invader(loader):

你可以做出的选择包括：

终止：阻止注入动作，有这个想法的进程会被终止^^

允许：允许注入动作

阻止：阻止注入动作，有这个想法的进程还继续运行

添加到信任区域：将该程序添加到信任区域，以后就不会再对这个程序进行”invader(loader)”探测了

2)那么我应该做些什么？

有Invader和Invader(loader)行为的程序是非常有限的，所以可以非常容易的识别出它。所以你可以通过搜索论坛或是搜索引擎来获得这个进程的详细信息。如果你发现这个程序是安全的，你可以添加它到信任区域中。

如果你怀疑它并不是安全的，你可以发送样本到newvirus@kaspersky.com或根据这个帖子的指导直接从卡巴斯基程序内进行上报。

3）几乎所有我用的应用程序都会导致这个提示出现

如果这种情况出现，肯定是哪儿有问题=。=比如程序冲突或是有有害程序存在。

以下是已知会导致这种情况出现的应用程序：

Spyware Doctor
Comodo Firewall

Windows美化程序比如Windows Blinds

遇到此类情况你可以禁用PDM中的选项或是卸载导致该问题出现的程序。在一些情况下这并不会造成你的安全性降低（比如COMODO防火墙也有注入行为监控）。

如果你实在搞不清楚，可以到支持论坛开个新帖求助。

PS:最后补充个大家可能会常见的出现Invader提示的时候，就是使用各种词典类程序，启动后或是试图取词时…呵呵…允许即可。

以往相关文章请点这里和这里。

这次说的这部分其实并不属于主动防御的部分，而是卡巴的自我保护部分的提示，不过也合在这里说吧。

从6系列开始，卡巴斯基反病毒和互联网套装都包括了自我保护功能。这个功能会阻止其他程序的以下企图：

-进入AVP进程，或者代码插入

-终止AVP进程

-删除/改变卡巴斯基反病毒的文件，目录和注册表键值

当一个程序试图进入一个正在运行的avp进程，或是试图终止它们，你会看到一个如下图的弹出窗口提示：

像弹出提示中显示的那样，因为这个动作已经被卡巴斯基自动阻止了，所以你不需要做任何事。很多普通的Windows程序都会让卡巴斯基显示如此提示，比如任务管理器，它们并不危险所以当你看到这样的提示后不必惊慌，无视即可。

如果你感觉这个信息很吵- -|||，你可以点击弹出窗口右上角的箭头，然后选择”禁用此提示”。

继续卡巴斯基主动防御的话题。上次的请点击这里查看。今天继续说卡巴斯基的PDM中常见的提示～

Integrity violations 程序完整性问题

1）我为什么会看到这样的提示？

如果你在卡巴斯基的PDM中打开了程序完整性控制功能（一般的卡巴斯基设置中都不建议你打开这项，因为有点烦…默认的设置也是不打开的），你肯定会遇到这样的提示。程序完整性控制监控一系列”关键的”程序。如果恶意软件修改了这些程序的话，会严重威胁你的系统安全。这个组件会在改变这些程序发生改变时弹出提示窗口，或是在这些程序试图调用一个新的或是经修改的组件时提示你。这时程序完整性控制会弹出类似这样的弹出窗口：

2）这时我应该做什么？

首先当所有调用的模块都是新的或是修改过的时候，这样的提示会频繁出现。如果你点击”详细”（Details），你会看到另一个窗口。进入模块选项卡你会看到关于这个模块的信息，比如路径，版本，厂商和描述。如果你还是不确定是否要信任它，你可以用搜索引擎搜索下获得更多信息。当你作出判断后就选择”允许”还是”阻止”吧，允许就是让这个程序调用这个模块，阻止则阻止它调用这个模块。

当你确信你的电脑是干净的（比如刚装完系统什么都没干或者像我一样觉得应该是干净的=。=），你可以勾选弹出窗口下方那个”Apply to all”(中文版估计是应用到所有），这样的话这个应用程序这次调用的所有模块都会按这次做出的决定来放行或是阻止，省时间。但前提一定是，你确定你的电脑干净…另外，如果这个模块有多个应用程序使用（比如windows/systems32目录下的通常都有多个应用程序在使用），你可以添加它们到共享DLL列表中（Shared DLL list,共享动态链接库列表，中文大家自己对照下，大概是是这样），这样当另一个关键应用程序也调用这个模块的时候，你就不会再收到弹出提示了。

当应用程序更新或是刚刚执行Windows Update后，你可能又会收到你曾经允许的模块的弹出提示，这是正常的，因为在程序更新或是Windows更新后这个模块被更改了。

3）我一不小心把一个模块给阻止了。

如果你阻止了一个模块，你会在每次应用程序调用这个模块时收到一条弹出提示。这个弹出窗口显示了哪个关键程序调用了哪个模块被你喀嚓掉了….(下图显示的iexlorer.exe，Microsoft Internet Explorer）。

把它重新放出来的方法是：

打开设置，点击左侧列表中的主动防御选项，点击程序完整性控制。这时显示的窗口包括了监控的应用程序列表，当你发现你正在找的那个程序，选择它并选择”Details 细节“。接下来显示的窗口会显示你曾经做出过决定的模块的总览。寻找那个被不小心阻止了的模块（你可以在文件名旁边的”动作”项找到被阻止的），选择它，点击”编辑”然后将其中的动作从”阻止”改到”允许”。然后点击”完成”完成设置。（点击图片看动画演示）

4）这对我来说太复杂了…

程序完整性保护是为那些对电脑有更好的了解的用户设计的组件。如果这些弹出窗口打扰了你或是你无法处理它导致的弹出窗口，你可以禁用程序完整性保护，位置在设置-主动防御，你不会因此而损失太多的安全保护。

费尔一直以来都是采用共享软件们都在使用的中国共享软件注册中心发送注册码的购买方式，今天去费尔网站上转转，发现费尔自己的淘宝店铺开张了，这对于习惯于在淘宝上购物的朋友来说，绝对是个好消息。

费尔的淘宝店铺只发送注册码，没有光盘，也不需要物流，所以直接购买注册码，然后在费尔的网站上下载程序输入注册码即可。

杀毒软件这类产品一般都提供试用，一个月到几个月不等，而且也非常需要试用，因为由于各位朋友的机器都不尽相同，别人用着爽没准在你那里就有问题。所以…先试用吧。费尔提供超长的90天试用，我想足够大家对费尔有个比较完整的体验的。

F-Secure Anti-Virus Client Security（好长的名字），是一个互联网安全套装，其中包括了反病毒，防火墙，HIPS的全面的安全解决方案。刚刚发现7.11已经放出了，四处找找没有发现新版本的更新报告，不知道更新了哪些内容。考虑到大多数情况下是新的比旧的好（特别是杀毒软件什么的…)，建议大家更新。

F-Secure AVCS如果你没有用过，搜搜网上的大部分评论，可能都是说它进程超多内存占用很大等等的意见，但如果你自己体验一下的话，会发现虽然它进程多，但并不会太影响你的系统运行速度（和其他杀软比），作为多引擎的杀毒软件我觉得已经相当优秀了；而且它是个相当安静的产品，尽管在第一次更新时候可能会更新较长时间（FS的更新服务器看起来有点慢…)，但是它的更新过程并不会造成任何CPU占用的飙升或是暂时的硬盘频繁读写等等，一切都是静悄悄的进行。如果你不注意病毒库时间的话，你会以为它一直都没有更新…这点是我最喜欢的。

同时它的HIPS部分DeepGuard也算是这样的套装中比较强大易用的，每个弹出窗口都有比较清晰明白的提示，绝对通俗易懂。其他的，还是大家自己体会吧。

它的卸载部分也挺个性，按各个组件分别卸载=。=所以如果要卸载的话，先卸Internet Shield那部分，最后卸反病毒那部分，反过来是卸不掉的：）

感兴趣的话下载试试看吧（试的前提：内存512M的不用试了，估计不会是太好的体验；1G以上内存的电脑会用的很舒服）：

http://download.f-secure.com/webclub/fscs711_signed.exe

XX可以自己在网上搜下，原来版本的估计还能用…

FSCS适合哪些人呢？因为它很安静且易用而且也包含了防火墙和一个简单的HIPS，所以如果你是喜欢一步到位不想ABCD搭配着用的朋友，装它就可以满足你绝大部分安全软件的需要了，如果你是搭配爱好者，比如有自己正在用的防火墙或者HIPS并且并不想更换，装FSCS就有些浪费，还是选一个单纯的反病毒软件作为防火墙和HIPS的搭档吧。

卡巴斯基用户众多，众多了这就什么人都有了…无奈卡巴斯基属于典型的没考虑中国消费者心理，以为真是考虑的越周密，安全性越高越好。可惜很多用户不买账，那PDM（主动防御模块）就成了挨板砖不是最多也是相当多的功能了，最后还连带影响了卡巴斯基本身，成了所谓”误报王者”。真是这么回事么？

不管承认不承认，这年头仅仅依靠特征码来对付病毒木马各种有害程序越来越赶不上趟…针对各个杀软的免杀也是嗷嗷多。现在不是有专门的工具做卡巴的免杀么…就算卡巴斯基的反应速度惊人，但是还是会有那么一点点滞后。怎么办呢？那就让用户也参与进来，作为防毒的一个环节吧。利用PDM，用户可以通过PDM那基于程序行为的提示，来自行判断这个行为究竟来自正常程序并且放行，还是来自有害程序应该阻止。很显然卡巴斯基过分高估了用户的水平了，设置中也出现了不少让叔叔阿姨哥哥姐姐弟弟妹妹们迷糊的选项，结果呢？可能玩个游戏卡巴斯基都会跳出来告诉你这东西是Keylogger（键盘击键记录程序），是否放行之类…用户说，”这TMD绝对是误报～这游戏我没装卡巴时候就开始玩，瞎说～”完了，”误报”了…类似的事情可能还会在启动QQ时候发生…所以这就成了无尽的”误报”。

误报，一般来说，是指将正常的文件报成病毒木马什么的…作为PDM，它只不过是基于程序的行为作出判断，所以并不意味着它提示的东西就是有害的，还可能是正常的程序也具有这个行为罢了。如何区分呢？最简单的方式是看到PDM针对某个程序作出提示后，用搜索引擎们搜索一下这个文件名就会很轻易找到这个究竟是正常程序，还是有可能是有害程序…或者，多问问人，而不是简单的允许…一路允许点着也累而且也没起到保护的作用。

下面说说PDM的常见提示（主要翻译自http://forum.kaspersky.com/index.php?showtopic=36390，其实常看官方论坛是个很好的习惯^^):

Win.MSSQL.worm.Helkern
1)啥是Win.MSSQL.worm.Helkern？

Helkern是个蠕虫程序，利用微软SQL Server 2000的漏洞进行攻击，更多信息可以参考这里和这里。

2）谁在攻击我？为什么？我与人无怨无仇

基本上大多是刚用防火墙（不包括Windows那虚幻的墙…）的朋友，查看防火墙日志的时候都会有类似的问题…为啥攻击我？其实这些攻击都是由被有害程序控制的受害者电脑自动发出的，目的是找到其他具有漏洞的电脑进行攻击感染然后再变成另一台可以继续攻击其他电脑的僵尸…这个过程是全自动而且随机的。所以…随机的，不要想太多…

3)我应该做什么来保护自己？

首先，KIS的入侵探测系统（Intrusion Detection System,IDS）会阻止它，所以你是安全的。当IDS阻挡了这样的一次攻击后，你会看到一个这样的提示（一般在桌面右下角）：

即使没有IDS的保护，也只有部分PC会被攻击，也就是那些运行SQL Server 2000并且没有打上修正这个漏洞的补丁的电脑们～所以经常查看并及时更新补丁是非常重要的。

4）如何去掉这个提示？

如果你觉得这个提示很烦人，你可以很简单地关闭它：将鼠标移至这个提示窗口右上角的小三角那里，点击”禁用这个提示”（我是按字面翻译的，中文版的卡巴斯基可能略有区别，不过位置肯定还是那儿～呵呵。）

Keylogger

1）什么是Keylogger，为什么会出现这个提示？

从卡巴斯基的6.0.1.411开始（就是MP1开始），KAV/KIS 6可以通过一个程序的行为来探测Keylogger（键盘击键记录程序）了。所以你会看到KIS/KAV的关于当前程序的弹出窗口提示，比如这样的：

这些并不是误报，KAV是基于行为（比如抓取当前击键，过滤击键等等）来探测Keylogger，真正的Keylogger也会显示这样的提示。

2）我如何分辨这个程序是否是合法的？

如果你并确定当前弹出提示中显示的程序是否是正常的，你可以用搜索引擎（比如Google,Yahoo,Ask等等）来搜索它的名字或是从论坛中搜索。

当你知道这个程序是可信的（比如ICQ，Skype等等），你可以将它添加到Trust Zone(中文版叫啥来着？可信区域好像…）中，在弹出提示窗口的右下角有添加的链接（点击看动画）。

如果你没有发现任何关于它的准确信息，或如果它确实是个Keylogger程序，你可以在卡巴斯基官方论坛的Virus ralated issues版块发个帖子让大家帮你看看：）

3)在某些Keylogger弹出提示中，”终止”选项不可用

这说明卡巴斯基发现这个Keylogger是以驱动形式存在的，驱动是无法马上终止的，所以只有”允许”选项可用。处理类似的东西，我们通常需要重启…

4)Kernel Mode Memory Patch（这个在中文版的卡巴中怎么说的？核心模式内存补丁?知道的朋友请告诉我）

如果一个Keylogger的弹出窗口蹦出来，提示的Keylogger名字是Kernel Mode Memory Patch，并且你正在使用HIPS类软件（host intrusion prevention system，主机入侵阻止系统）比如System Safety Monitor或是Process Guard，那么你是安全的，可以将提示的那个程序添加到可信区域中，因为这种行为在HIPS程序中是很常见的。

5）在升级到卡巴斯基7后”Keylogger”行为增多

卡巴斯基7系列的互联网安全套装和反病毒增加了对抗击键程序的额外保护。其中一个是新增了探测程序利用DirectX DirectInput事件来进行击键记录。很遗憾的是，大量合法程序也使用这个事件，大多数是游戏和媒体播放器，尽管他们并不像击键记录程序一样记录你的击键动作。如果你知道这个程序是安全的（比如一个来自像EA这样大公司的游戏，或是一个视频播放器，比如WinDVD或是PowerDVD），那么你可以添加它到可信区域中。

待续…

本文主要翻译自http://www.kaspersky.com/support/kis6mp1/error?qid=193239309

以下内容适合：

• Kaspersky Anti-Virus 7.0 (所有版本)
• Kaspersky Internet Security 7.0 (所有版本)
• Kaspersky Anti-Virus 6.0 (所有版本)
• Kaspersky Internet Security 6.0 (所有版本)
• Kaspersky Anti-Virus 6.0 for Windows Workstations (所有版本)

我看了一下这篇文章的内容，讨论的并不是我们通常意义上的”冲突”问题，比如同时安了俩东西之后由于他们两个之间合不来导致系统运行缓慢蓝屏重启系统崩溃之类的事情，而是针对以下几种情况提供的解决方案：

• 收发不正常（如果你用各种邮件客户端的话，比如OE，Foxmail之类）
• 网页浏览不正常（不能下载什么的…)
• 互联网连接立即中断或者在连接上后不久就中断

为什么出现这些情况呢？卡巴斯基6.0/7.0版本通过重定向所有的互联网连接和Email通讯来扫描它们是否带有病毒，然后再与服务器建立连接。所以，如果你在用第三方的防火墙，一定要给AVP.EXE服务设置正确的规则。

• 如果你安装的防火墙具有学习模式，启用之。当AVP.EXE服务试图建立连接时，防火墙应该会提醒用户，这时允许AVP.EXE服务所有的网络行为即可。
• 如果你安装的防火墙没有学习模式，那么手动为AVP.EXE进程创建允许它使用以下系统端口的规则：

• AVP.EXE进程端口: 1110
• 一般HTTP端口: 80, 81, 82, 83, 1080, 7900, 8080, 8088, 3128, 11523
• 标准SMTP port: 25
• 标准POP3标准: 110
• 标准NNTP端口: 119
• 标准IMAP端口: 143

呵呵…暂时离开了4天～今天开始恢复更新啦～看到这几天还有评论真是很高兴啊～

继续费尔托斯特～

给大家推荐费尔的原因有这么几个，一是从性价比不错～现在的费尔是69元，提供终身版本升级和病毒库升级服务，也就是一次投入（69元啊苍天呐给电脑安全方面稍微投入点钱吧…)就完事～二是能力不错，就我自己的使用以及在费尔的合作论坛上网友的反馈来看，都是蛮不错的（你试试不就知道了…)，也具有流行的主动防御功能（费尔的叫动态防御）～三是元旦以来费尔正式开始一天N次更新，至少让我感觉安全感有很大的提升，毕竟病毒库的升级频率是影响杀软对新病毒做出反应的很重要的因素（别指望谁能杀遍未知病毒～呵呵）～我比较喜欢低调的软件～而且费尔还是个共享软件～呵呵。

阅读全文»