KIS
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(2)
继续卡巴斯基主动防御的话题。上次的请点击这里查看。今天继续说卡巴斯基的PDM中常见的提示~
Integrity violations 程序完整性问题
1)我为什么会看到这样的提示?
如果你在卡巴斯基的PDM中打开了程序完整性控制功能(一般的卡巴斯基设置中都不建议你打开这项,因为有点烦…默认的设置也是不打开的),你肯定会遇到这样的提示。程序完整性控制监控一系列”关键的”程序。如果恶意软件修改了这些程序的话,会严重威胁你的系统安全。这个组件会在改变这些程序发生改变时弹出提示窗口,或是在这些程序试图调用一个新的或是经修改的组件时提示你。这时程序完整性控制会弹出类似这样的弹出窗口:
2)这时我应该做什么?
首先当所有调用的模块都是新的或是修改过的时候,这样的提示会频繁出现。如果你点击”详细”(Details),你会看到另一个窗口。进入模块选项卡你会看到关于这个模块的信息,比如路径,版本,厂商和描述。如果你还是不确定是否要信任它,你可以用搜索引擎搜索下获得更多信息。当你作出判断后就选择”允许”还是”阻止”吧,允许就是让这个程序调用这个模块,阻止则阻止它调用这个模块。
当你确信你的电脑是干净的(比如刚装完系统什么都没干或者像我一样觉得应该是干净的=。=),你可以勾选弹出窗口下方那个”Apply to all”(中文版估计是应用到所有),这样的话这个应用程序这次调用的所有模块都会按这次做出的决定来放行或是阻止,省时间。但前提一定是,你确定你的电脑干净…另外,如果这个模块有多个应用程序使用(比如windows/systems32目录下的通常都有多个应用程序在使用),你可以添加它们到共享DLL列表中(Shared DLL list,共享动态链接库列表,中文大家自己对照下,大概是是这样),这样当另一个关键应用程序也调用这个模块的时候,你就不会再收到弹出提示了。
当应用程序更新或是刚刚执行Windows Update后,你可能又会收到你曾经允许的模块的弹出提示,这是正常的,因为在程序更新或是Windows更新后这个模块被更改了。
3)我一不小心把一个模块给阻止了。
如果你阻止了一个模块,你会在每次应用程序调用这个模块时收到一条弹出提示。这个弹出窗口显示了哪个关键程序调用了哪个模块被你喀嚓掉了….(下图显示的iexlorer.exe,Microsoft Internet Explorer)。
把它重新放出来的方法是:
打开设置,点击左侧列表中的主动防御选项,点击程序完整性控制。这时显示的窗口包括了监控的应用程序列表,当你发现你正在找的那个程序,选择它并选择”Details 细节“。接下来显示的窗口会显示你曾经做出过决定的模块的总览。寻找那个被不小心阻止了的模块(你可以在文件名旁边的”动作”项找到被阻止的),选择它,点击”编辑”然后将其中的动作从”阻止”改到”允许”。然后点击”完成”完成设置。(点击图片看动画演示)
4)这对我来说太复杂了…
程序完整性保护是为那些对电脑有更好的了解的用户设计的组件。如果这些弹出窗口打扰了你或是你无法处理它导致的弹出窗口,你可以禁用程序完整性保护,位置在设置-主动防御,你不会因此而损失太多的安全保护。
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(1)
卡巴斯基用户众多,众多了这就什么人都有了…无奈卡巴斯基属于典型的没考虑中国消费者心理,以为真是考虑的越周密,安全性越高越好。可惜很多用户不买账,那PDM(主动防御模块)就成了挨板砖不是最多也是相当多的功能了,最后还连带影响了卡巴斯基本身,成了所谓”误报王者”。真是这么回事么?
不管承认不承认,这年头仅仅依靠特征码来对付病毒木马各种有害程序越来越赶不上趟…针对各个杀软的免杀也是嗷嗷多。现在不是有专门的工具做卡巴的免杀么…就算卡巴斯基的反应速度惊人,但是还是会有那么一点点滞后。怎么办呢?那就让用户也参与进来,作为防毒的一个环节吧。利用PDM,用户可以通过PDM那基于程序行为的提示,来自行判断这个行为究竟来自正常程序并且放行,还是来自有害程序应该阻止。很显然卡巴斯基过分高估了用户的水平了,设置中也出现了不少让叔叔阿姨哥哥姐姐弟弟妹妹们迷糊的选项,结果呢?可能玩个游戏卡巴斯基都会跳出来告诉你这东西是Keylogger(键盘击键记录程序),是否放行之类…用户说,”这TMD绝对是误报~这游戏我没装卡巴时候就开始玩,瞎说~”完了,”误报”了…类似的事情可能还会在启动QQ时候发生…所以这就成了无尽的”误报”。
误报,一般来说,是指将正常的文件报成病毒木马什么的…作为PDM,它只不过是基于程序的行为作出判断,所以并不意味着它提示的东西就是有害的,还可能是正常的程序也具有这个行为罢了。如何区分呢?最简单的方式是看到PDM针对某个程序作出提示后,用搜索引擎们搜索一下这个文件名就会很轻易找到这个究竟是正常程序,还是有可能是有害程序…或者,多问问人,而不是简单的允许…一路允许点着也累而且也没起到保护的作用。
下面说说PDM的常见提示(主要翻译自http://forum.kaspersky.com/index.php?showtopic=36390,其实常看官方论坛是个很好的习惯^^):
Win.MSSQL.worm.Helkern
1)啥是Win.MSSQL.worm.Helkern?
Helkern是个蠕虫程序,利用微软SQL Server 2000的漏洞进行攻击,更多信息可以参考这里和这里。
2)谁在攻击我?为什么?我与人无怨无仇
基本上大多是刚用防火墙(不包括Windows那虚幻的墙…)的朋友,查看防火墙日志的时候都会有类似的问题…为啥攻击我?其实这些攻击都是由被有害程序控制的受害者电脑自动发出的,目的是找到其他具有漏洞的电脑进行攻击感染然后再变成另一台可以继续攻击其他电脑的僵尸…这个过程是全自动而且随机的。所以…随机的,不要想太多…
3)我应该做什么来保护自己?
首先,KIS的入侵探测系统(Intrusion Detection System,IDS)会阻止它,所以你是安全的。当IDS阻挡了这样的一次攻击后,你会看到一个这样的提示(一般在桌面右下角):
即使没有IDS的保护,也只有部分PC会被攻击,也就是那些运行SQL Server 2000并且没有打上修正这个漏洞的补丁的电脑们~所以经常查看并及时更新补丁是非常重要的。
4)如何去掉这个提示?
如果你觉得这个提示很烦人,你可以很简单地关闭它:将鼠标移至这个提示窗口右上角的小三角那里,点击”禁用这个提示”(我是按字面翻译的,中文版的卡巴斯基可能略有区别,不过位置肯定还是那儿~呵呵。)
Keylogger
1)什么是Keylogger,为什么会出现这个提示?
从卡巴斯基的6.0.1.411开始(就是MP1开始),KAV/KIS 6可以通过一个程序的行为来探测Keylogger(键盘击键记录程序)了。所以你会看到KIS/KAV的关于当前程序的弹出窗口提示,比如这样的:
这些并不是误报,KAV是基于行为(比如抓取当前击键,过滤击键等等)来探测Keylogger,真正的Keylogger也会显示这样的提示。
2)我如何分辨这个程序是否是合法的?
如果你并确定当前弹出提示中显示的程序是否是正常的,你可以用搜索引擎(比如Google,Yahoo,Ask等等)来搜索它的名字或是从论坛中搜索。
当你知道这个程序是可信的(比如ICQ,Skype等等),你可以将它添加到Trust Zone(中文版叫啥来着?可信区域好像…)中,在弹出提示窗口的右下角有添加的链接(点击看动画)。
如果你没有发现任何关于它的准确信息,或如果它确实是个Keylogger程序,你可以在卡巴斯基官方论坛的Virus ralated issues版块发个帖子让大家帮你看看:)
3)在某些Keylogger弹出提示中,”终止”选项不可用
这说明卡巴斯基发现这个Keylogger是以驱动形式存在的,驱动是无法马上终止的,所以只有”允许”选项可用。处理类似的东西,我们通常需要重启…
4)Kernel Mode Memory Patch(这个在中文版的卡巴中怎么说的?核心模式内存补丁?知道的朋友请告诉我)
如果一个Keylogger的弹出窗口蹦出来,提示的Keylogger名字是Kernel Mode Memory Patch,并且你正在使用HIPS类软件(host intrusion prevention system,主机入侵阻止系统)比如System Safety Monitor或是Process Guard,那么你是安全的,可以将提示的那个程序添加到可信区域中,因为这种行为在HIPS程序中是很常见的。
5)在升级到卡巴斯基7后”Keylogger”行为增多
卡巴斯基7系列的互联网安全套装和反病毒增加了对抗击键程序的额外保护。其中一个是新增了探测程序利用DirectX DirectInput事件来进行击键记录。很遗憾的是,大量合法程序也使用这个事件,大多数是游戏和媒体播放器,尽管他们并不像击键记录程序一样记录你的击键动作。如果你知道这个程序是安全的(比如一个来自像EA这样大公司的游戏,或是一个视频播放器,比如WinDVD或是PowerDVD),那么你可以添加它到可信区域中。
待续…
如何让卡巴斯基与第三方防火墙好好相处
本文主要翻译自http://www.kaspersky.com/support/kis6mp1/error?qid=193239309
以下内容适合:
- Kaspersky Anti-Virus 7.0 (所有版本)
- Kaspersky Internet Security 7.0 (所有版本)
- Kaspersky Anti-Virus 6.0 (所有版本)
- Kaspersky Internet Security 6.0 (所有版本)
- Kaspersky Anti-Virus 6.0 for Windows Workstations (所有版本)
我看了一下这篇文章的内容,讨论的并不是我们通常意义上的”冲突”问题,比如同时安了俩东西之后由于他们两个之间合不来导致系统运行缓慢蓝屏重启系统崩溃之类的事情,而是针对以下几种情况提供的解决方案:
- 收发不正常(如果你用各种邮件客户端的话,比如OE,Foxmail之类)
- 网页浏览不正常(不能下载什么的…)
- 互联网连接立即中断或者在连接上后不久就中断
为什么出现这些情况呢?卡巴斯基6.0/7.0版本通过重定向所有的互联网连接和Email通讯来扫描它们是否带有病毒,然后再与服务器建立连接。所以,如果你在用第三方的防火墙,一定要给AVP.EXE服务设置正确的规则。
- 如果你安装的防火墙具有学习模式,启用之。当AVP.EXE服务试图建立连接时,防火墙应该会提醒用户,这时允许AVP.EXE服务所有的网络行为即可。
- 如果你安装的防火墙没有学习模式,那么手动为AVP.EXE进程创建允许它使用以下系统端口的规则:
- AVP.EXE进程端口: 1110
- 一般HTTP端口: 80, 81, 82, 83, 1080, 7900, 8080, 8088, 3128, 11523
- 标准SMTP port: 25
- 标准POP3标准: 110
- 标准NNTP端口: 119
- 标准IMAP端口: 143
卡巴斯基KIS与cFosSpeed 让反应封包不再被挡住
当你同时使用卡巴斯基互联网安全套装(6或7)和cFosSpeed(不知道这是什么?看这里或Google)的时候,会发现cFosSpeed会弹出气泡提示反应封包没有正确发送。而封包不能够正确发送的话cFosSpeed就无法进行它的”流量塑形”(并非是能提高你的实际带宽…而是通过优化交通,加强交通管理来提高这条路的效率…)。
cFosSpeed作为ADSL用户+各种P2P软件用户必装的软件(你没用?赶紧去试试…),但是由于它要发送ICMP包子到指定的地址,而这一般都会被各种防火墙挡掉,这个时候就要对防火墙进行一番设置了。
今儿说KIS的防火墙。
| 
|