作甚@ZUOSHEN.COM

这是本系列文章的最终篇，稍早前的文章可以点击下面的链接访问：

Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(1)

Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(2)

Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(3)

Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(4)

Trojan.generic和Trojan.cryptor

Trojan.generic

1）我为什么会收到这条提示？

Trojan.generic是一个你在日常使用中经常看到的提示，特别是在安装软件的过程中。

这个行为探测是非常简单的，如果一个程序在另一个地方创建了一份它的副本然后将之注册为一个自动启动项，那么它会被识别为Trojan.generic。

大量的有害程序通过这个方法来将它们”安装”到电脑上。一些应用程序也有这样的行为，其中大多数是程序安装文件和可执行文件是同一个文件时。当然卸载动作也会导致这个提示出现，因为有些时候需要创建一个临时的可执行文件来在下次系统启动时移除某些部分。

2）我应该做什么？

可用的选项包括：

隔离：该进程会被终止，此文件会被移动到隔离区中。之后，一个回滚弹出提示会出现（回滚=。=也许说”恢复”好些…），点击”回滚”，那个应用程序做出的更改会被恢复。

终止：该进程会被终止，但是进程对应的可执行文件会还在原地待着^^

允许：放行该动作。

添加到信任区域：将该可执行文件添加到信任区域，下次这个提示就不会出现了。

一些分辨出现这个提示是否是正常的技巧：

如果出现这个提示的时候你正在安装/卸载应用程序，或者点击了软件中的”开机自动启动”（很多程序都有这个选项吧，大家应该很常见），那么十有八九这个提示是由这些动作导致的，你可以认为这个程序是安全的（当然，凡事皆有例外…)。点击”详细”链接，点击里面的”历史”选项卡会显示这个程序目前做出的其他动作以供你判断分析。

如果你确定这个程序是安全的，你可以将它添加到信任区域中，但如果那是个安装程序的话，你只会看到这个提示一到两次，所以选择”跳过”更合适些。

如果你不知道那个进程是什么，请从”历史”面板中找找，你可能会找到创建该进程的文件，并且它和安装的程序一致。如果你认为它是个有害程序，或者你不确定的话，将该文件隔离并按此帖指示上报分析。

Trojan.cryptor

1)我为什么会收到这条提示？

Trojan.cryptor是另一个常见的信息提示，但不如Trojan.generic那么容易重现。当一个程序试图加密某些数据时，该弹出窗口提示会出现。比如这样：

由于有有害程序会加密用户数据并勒索用户交钱才能提供解密密码，所以这个检测是非常重要的。

2）我应该做些什么？

可用的选项包括：

隔离：该进程会被终止，此文件会被移动到隔离区中。之后，一个回滚弹出提示会出现（回滚=。=也许说”恢复”好些…），点击”回滚”，那个应用程序做出的更改会被恢复。

终止：该进程会被终止，但是进程对应的可执行文件会还在原地待着^^

允许：放行该动作。

添加到信任区域：将该可执行文件添加到信任区域，下次这个提示就不会出现了。

在这里说个我们日常中常见的Trojan.cryptor提示，也是一个经常被当作所谓”误报”的提示：在我们首次启动QQ时（比如刚刚安装完成卡巴的时候），卡巴会对QQ报Trojan.cryptor，这说明QQ是有加密某些数据的动作，并非是说QQ就是”木马”，这点大家要注意哦～

这个行为机制非常复杂所以它的出现很难被重现（重现是分析问题的很关键步骤啊～呵呵）。也由于它的复杂，所以优化是可能的，比如在主动防御识别方式优化排除某些特定行为后曾经经常出现的某些弹出窗口不再出现。

不管是哪类的主动防御提示，如果你知道那个应用程序是可信的都可以添加到信任区域中来排除它，如果你不确定或是怀疑它是有害程序，可以按照此帖的指示上报分析。

截止到这里，全部内容结束了，以后还会写一些有关常用的杀软的使用方面的文章，希望大家多多关注哦。希望这些内容能够帮到你～

仍然PDM的话题。以往文章请点击这里，这里和这里。

Invader和Invader(loader)

1）这什么东西？

从卡巴斯基6开始反病毒和互联网安全套装都装备了主动防御模块，它可以通过分析一个程序的行为来探测可疑的动作。Invader，是指对一个进程试图向另一个进程进行代码注入，那么它就是个Invader。它和PDM的程序行为分析中的”入侵到进程”选项相对应。Invader(loader)尽管和Invader名字差不多，但是它们的行为是不同的。它是试图将一个模块插入到另一个进程中（DLL注入）。这个和程序行为分析中的”Windows挂钩”选项相对应。

当这样的行为出现时，你会收到这样的弹出窗口提示：

Invader：

你可以做出的选择包括：

终止：阻止注入动作，有这个想法的进程会被终止^^

阻止：阻止注入动作，有这个想法的进程还继续运行

跳过：允许注入动作

添加到信任区域：将该程序添加到信任区域，以后就不会再对这个程序进行”invader”探测了

Invader(loader):

你可以做出的选择包括：

终止：阻止注入动作，有这个想法的进程会被终止^^

允许：允许注入动作

阻止：阻止注入动作，有这个想法的进程还继续运行

添加到信任区域：将该程序添加到信任区域，以后就不会再对这个程序进行”invader(loader)”探测了

2)那么我应该做些什么？

有Invader和Invader(loader)行为的程序是非常有限的，所以可以非常容易的识别出它。所以你可以通过搜索论坛或是搜索引擎来获得这个进程的详细信息。如果你发现这个程序是安全的，你可以添加它到信任区域中。

如果你怀疑它并不是安全的，你可以发送样本到newvirus@kaspersky.com或根据这个帖子的指导直接从卡巴斯基程序内进行上报。

3）几乎所有我用的应用程序都会导致这个提示出现

如果这种情况出现，肯定是哪儿有问题=。=比如程序冲突或是有有害程序存在。

以下是已知会导致这种情况出现的应用程序：

Spyware Doctor
Comodo Firewall

Windows美化程序比如Windows Blinds

遇到此类情况你可以禁用PDM中的选项或是卸载导致该问题出现的程序。在一些情况下这并不会造成你的安全性降低（比如COMODO防火墙也有注入行为监控）。

如果你实在搞不清楚，可以到支持论坛开个新帖求助。

PS:最后补充个大家可能会常见的出现Invader提示的时候，就是使用各种词典类程序，启动后或是试图取词时…呵呵…允许即可。

以往相关文章请点这里和这里。

这次说的这部分其实并不属于主动防御的部分，而是卡巴的自我保护部分的提示，不过也合在这里说吧。

从6系列开始，卡巴斯基反病毒和互联网套装都包括了自我保护功能。这个功能会阻止其他程序的以下企图：

-进入AVP进程，或者代码插入

-终止AVP进程

-删除/改变卡巴斯基反病毒的文件，目录和注册表键值

当一个程序试图进入一个正在运行的avp进程，或是试图终止它们，你会看到一个如下图的弹出窗口提示：

像弹出提示中显示的那样，因为这个动作已经被卡巴斯基自动阻止了，所以你不需要做任何事。很多普通的Windows程序都会让卡巴斯基显示如此提示，比如任务管理器，它们并不危险所以当你看到这样的提示后不必惊慌，无视即可。

如果你感觉这个信息很吵- -|||，你可以点击弹出窗口右上角的箭头，然后选择”禁用此提示”。

继续卡巴斯基主动防御的话题。上次的请点击这里查看。今天继续说卡巴斯基的PDM中常见的提示～

Integrity violations 程序完整性问题

1）我为什么会看到这样的提示？

如果你在卡巴斯基的PDM中打开了程序完整性控制功能（一般的卡巴斯基设置中都不建议你打开这项，因为有点烦…默认的设置也是不打开的），你肯定会遇到这样的提示。程序完整性控制监控一系列”关键的”程序。如果恶意软件修改了这些程序的话，会严重威胁你的系统安全。这个组件会在改变这些程序发生改变时弹出提示窗口，或是在这些程序试图调用一个新的或是经修改的组件时提示你。这时程序完整性控制会弹出类似这样的弹出窗口：

2）这时我应该做什么？

首先当所有调用的模块都是新的或是修改过的时候，这样的提示会频繁出现。如果你点击”详细”（Details），你会看到另一个窗口。进入模块选项卡你会看到关于这个模块的信息，比如路径，版本，厂商和描述。如果你还是不确定是否要信任它，你可以用搜索引擎搜索下获得更多信息。当你作出判断后就选择”允许”还是”阻止”吧，允许就是让这个程序调用这个模块，阻止则阻止它调用这个模块。

当你确信你的电脑是干净的（比如刚装完系统什么都没干或者像我一样觉得应该是干净的=。=），你可以勾选弹出窗口下方那个”Apply to all”(中文版估计是应用到所有），这样的话这个应用程序这次调用的所有模块都会按这次做出的决定来放行或是阻止，省时间。但前提一定是，你确定你的电脑干净…另外，如果这个模块有多个应用程序使用（比如windows/systems32目录下的通常都有多个应用程序在使用），你可以添加它们到共享DLL列表中（Shared DLL list,共享动态链接库列表，中文大家自己对照下，大概是是这样），这样当另一个关键应用程序也调用这个模块的时候，你就不会再收到弹出提示了。

当应用程序更新或是刚刚执行Windows Update后，你可能又会收到你曾经允许的模块的弹出提示，这是正常的，因为在程序更新或是Windows更新后这个模块被更改了。

3）我一不小心把一个模块给阻止了。

如果你阻止了一个模块，你会在每次应用程序调用这个模块时收到一条弹出提示。这个弹出窗口显示了哪个关键程序调用了哪个模块被你喀嚓掉了….(下图显示的iexlorer.exe，Microsoft Internet Explorer）。

把它重新放出来的方法是：

打开设置，点击左侧列表中的主动防御选项，点击程序完整性控制。这时显示的窗口包括了监控的应用程序列表，当你发现你正在找的那个程序，选择它并选择”Details 细节“。接下来显示的窗口会显示你曾经做出过决定的模块的总览。寻找那个被不小心阻止了的模块（你可以在文件名旁边的”动作”项找到被阻止的），选择它，点击”编辑”然后将其中的动作从”阻止”改到”允许”。然后点击”完成”完成设置。（点击图片看动画演示）

4）这对我来说太复杂了…

程序完整性保护是为那些对电脑有更好的了解的用户设计的组件。如果这些弹出窗口打扰了你或是你无法处理它导致的弹出窗口，你可以禁用程序完整性保护，位置在设置-主动防御，你不会因此而损失太多的安全保护。

卡巴斯基用户众多，众多了这就什么人都有了…无奈卡巴斯基属于典型的没考虑中国消费者心理，以为真是考虑的越周密，安全性越高越好。可惜很多用户不买账，那PDM（主动防御模块）就成了挨板砖不是最多也是相当多的功能了，最后还连带影响了卡巴斯基本身，成了所谓”误报王者”。真是这么回事么？

不管承认不承认，这年头仅仅依靠特征码来对付病毒木马各种有害程序越来越赶不上趟…针对各个杀软的免杀也是嗷嗷多。现在不是有专门的工具做卡巴的免杀么…就算卡巴斯基的反应速度惊人，但是还是会有那么一点点滞后。怎么办呢？那就让用户也参与进来，作为防毒的一个环节吧。利用PDM，用户可以通过PDM那基于程序行为的提示，来自行判断这个行为究竟来自正常程序并且放行，还是来自有害程序应该阻止。很显然卡巴斯基过分高估了用户的水平了，设置中也出现了不少让叔叔阿姨哥哥姐姐弟弟妹妹们迷糊的选项，结果呢？可能玩个游戏卡巴斯基都会跳出来告诉你这东西是Keylogger（键盘击键记录程序），是否放行之类…用户说，”这TMD绝对是误报～这游戏我没装卡巴时候就开始玩，瞎说～”完了，”误报”了…类似的事情可能还会在启动QQ时候发生…所以这就成了无尽的”误报”。

误报，一般来说，是指将正常的文件报成病毒木马什么的…作为PDM，它只不过是基于程序的行为作出判断，所以并不意味着它提示的东西就是有害的，还可能是正常的程序也具有这个行为罢了。如何区分呢？最简单的方式是看到PDM针对某个程序作出提示后，用搜索引擎们搜索一下这个文件名就会很轻易找到这个究竟是正常程序，还是有可能是有害程序…或者，多问问人，而不是简单的允许…一路允许点着也累而且也没起到保护的作用。

下面说说PDM的常见提示（主要翻译自http://forum.kaspersky.com/index.php?showtopic=36390，其实常看官方论坛是个很好的习惯^^):

Win.MSSQL.worm.Helkern
1)啥是Win.MSSQL.worm.Helkern？

Helkern是个蠕虫程序，利用微软SQL Server 2000的漏洞进行攻击，更多信息可以参考这里和这里。

2）谁在攻击我？为什么？我与人无怨无仇

基本上大多是刚用防火墙（不包括Windows那虚幻的墙…）的朋友，查看防火墙日志的时候都会有类似的问题…为啥攻击我？其实这些攻击都是由被有害程序控制的受害者电脑自动发出的，目的是找到其他具有漏洞的电脑进行攻击感染然后再变成另一台可以继续攻击其他电脑的僵尸…这个过程是全自动而且随机的。所以…随机的，不要想太多…

3)我应该做什么来保护自己？

首先，KIS的入侵探测系统（Intrusion Detection System,IDS）会阻止它，所以你是安全的。当IDS阻挡了这样的一次攻击后，你会看到一个这样的提示（一般在桌面右下角）：

即使没有IDS的保护，也只有部分PC会被攻击，也就是那些运行SQL Server 2000并且没有打上修正这个漏洞的补丁的电脑们～所以经常查看并及时更新补丁是非常重要的。

4）如何去掉这个提示？

如果你觉得这个提示很烦人，你可以很简单地关闭它：将鼠标移至这个提示窗口右上角的小三角那里，点击”禁用这个提示”（我是按字面翻译的，中文版的卡巴斯基可能略有区别，不过位置肯定还是那儿～呵呵。）

Keylogger

1）什么是Keylogger，为什么会出现这个提示？

从卡巴斯基的6.0.1.411开始（就是MP1开始），KAV/KIS 6可以通过一个程序的行为来探测Keylogger（键盘击键记录程序）了。所以你会看到KIS/KAV的关于当前程序的弹出窗口提示，比如这样的：

这些并不是误报，KAV是基于行为（比如抓取当前击键，过滤击键等等）来探测Keylogger，真正的Keylogger也会显示这样的提示。

2）我如何分辨这个程序是否是合法的？

如果你并确定当前弹出提示中显示的程序是否是正常的，你可以用搜索引擎（比如Google,Yahoo,Ask等等）来搜索它的名字或是从论坛中搜索。

当你知道这个程序是可信的（比如ICQ，Skype等等），你可以将它添加到Trust Zone(中文版叫啥来着？可信区域好像…）中，在弹出提示窗口的右下角有添加的链接（点击看动画）。

如果你没有发现任何关于它的准确信息，或如果它确实是个Keylogger程序，你可以在卡巴斯基官方论坛的Virus ralated issues版块发个帖子让大家帮你看看：）

3)在某些Keylogger弹出提示中，”终止”选项不可用

这说明卡巴斯基发现这个Keylogger是以驱动形式存在的，驱动是无法马上终止的，所以只有”允许”选项可用。处理类似的东西，我们通常需要重启…

4)Kernel Mode Memory Patch（这个在中文版的卡巴中怎么说的？核心模式内存补丁?知道的朋友请告诉我）

如果一个Keylogger的弹出窗口蹦出来，提示的Keylogger名字是Kernel Mode Memory Patch，并且你正在使用HIPS类软件（host intrusion prevention system，主机入侵阻止系统）比如System Safety Monitor或是Process Guard，那么你是安全的，可以将提示的那个程序添加到可信区域中，因为这种行为在HIPS程序中是很常见的。

5）在升级到卡巴斯基7后”Keylogger”行为增多

卡巴斯基7系列的互联网安全套装和反病毒增加了对抗击键程序的额外保护。其中一个是新增了探测程序利用DirectX DirectInput事件来进行击键记录。很遗憾的是，大量合法程序也使用这个事件，大多数是游戏和媒体播放器，尽管他们并不像击键记录程序一样记录你的击键动作。如果你知道这个程序是安全的（比如一个来自像EA这样大公司的游戏，或是一个视频播放器，比如WinDVD或是PowerDVD），那么你可以添加它到可信区域中。

待续…