作者：王为唯

   序：现在市面上的安全软件花样百出，单纯的杀毒软件已经不能吸引人的眼光，所以安全厂商们都是成套地销售。安全套装一般包含了反病毒组件、防火墙组件、反垃圾邮件组件以及其他一些附加组件。但就普通用户而言，用户最关心的仍然是在反病毒方面上能否成功清除病毒、能否抵御新病毒的入侵……

    2006年9月，江民公司发布了新品KV2007。从用户的角度上来说，最直观的改变就是增加了流氓软件清除组件、主动升级功能、网址过滤、反垃圾邮件、新的Bootscan组件、自我保护、行为监控以及其他一些细节变化（比如增强的脱壳解包能力等）。

    1.流氓软件清除组件：仅仅是CCTV就报道过多次的流氓软件相信大家已经熟悉得不能再熟悉了。流氓软件不属于病毒范畴，但却是在严重降低系统性能的情况下妨碍用户的正常操作、降低系统安全性，而且最主要的是用户在不知不觉间进行的安装，并且过后多是难以卸载它们。鉴于这个问题，江民KV2007集成了流氓软件清除功能。此功能使用简单，菜鸟都懂如何操作，如图-1。

此主题相关图片如下：

    2.主动升级功能：不是定时升级。这个新增加的功能是指用户的电脑和因特网相连的情况下自动探测江民升级服务器上是否有更新的程序，发现更新信息立即自动升级无需用户干预。

    3.网址过滤：这是KV2007增强的功能。用户可以自己在软件中添加恶意网址列表禁止浏览器访问，同时也可以作为父母控制控制功能，禁止小孩浏览不该浏览的网页。比如，在网址过滤的黑名单中加入pluto1313.bokee.com（我的博客），那么当你浏览我的博客时就会有这么一个提示（注意这只是本文的一个演示，我的博客并非恶意网站，所以尽请放心），如图-2

此主题相关图片如下：


    4.反垃圾邮件：垃圾邮件Junk Mail，包括了广告邮件、病毒邮件等，垃圾邮件在占用网络资源的同时也影响用户工作效率。和其他安全厂商的一样，这个功能是为本地邮件客户端程序开发的。

    5.新的Bootscan组件：DOS下杀毒怎样？我可以很直接地回答你，DOS下杀毒是目前最彻底的方式（Windows因为操作系统本身机制问题，很多病毒都无法轻松解决）。但是，这种磁盘操作系统依赖于命令行方式，用户不能像在Windows下面通过鼠标点击那样简单操作，给用户带来了极大不便，所以DOS下杀毒是很麻烦的。从KV2006开始，江民公司引入已取得诱人成绩的Bootscan技术，这之后，其他一些安全厂商在它们的新版中也加入了这个功能。KV2007增强了Bootscan的查杀能力，而且最大限度地改善了查杀界面，更友好更直观。Bootscan这个组件属于Native程序（和Windows的磁盘检测程序是一类的），其启动基本上是先于病毒启动的，所以清除病毒非常有效，又免去了用户在DOS下的不知所措。

    6.自我保护：国内的安全软件有个通病，就是在有着高效防护能力的情况下却无法保护自己本身，很容易就被病毒所破坏或结束了。KV2007增加了自我保护功能，可以最大限度地保护自身不被病毒结束，而且承载了之前版本的特殊后缀KXP，防止被其他病毒感染。安全软件自我保护相当重要，软件本身被结束或被破坏了就谈不上安全了。可以认为，KV2007的自我保护和国内同行业软件相比是比较优秀的。

    7.行为监控：我不说它是主动防御，主动防御这个面太广了。实际上主动防御应该是指在反病毒软件尚不能通过特征码查杀的情况下防御病毒的入侵行为或者病毒即使入侵了也形成不了破坏的方法（在KV2007中系统监控、木马/注册表监视、隐私保护这些加起来才称得上主动防御）。行为监视，就是KV2007在一些不明程序一旦露出一些特别的行为之前（比如监听键盘以获得用户敲击键盘的信息）提示用户采取适合的防范措施。这个功能是KV2007的最大亮点。由于很多用户不知道这是怎么一回事而导致这个亮点无法发光，所以这是本文的重点。

    很多人似乎从2006年开始都有这么一个观点：怎么现在病毒越来越猖狂了。

    的确，由于利益的驱使，一些黑客，不，应该说是那些唯利是图的人（因为真正的黑客是不会为经济利益而施行破坏行为的）。这些人整天坐在电脑前不停地编写木马、后门程序，让那些肉鸡们自动送上自己的私密信息（包括银行账号、游戏账号等），或者给某些动机不良者亲手开辟一条捷径直接控制用户的电脑。但是这些“新”病毒中又有多少是真正的“新”呢，大部分都是那些一知半解的人做的免杀（包括对“旧”病毒加壳、加花等等，总之就是保持病毒原有行为的前提下躲避反病毒软件依赖特征码查杀的方法），所以现在很多新病毒其实都是一个“妈”生的。

    这些变种病毒们发疯似的蜂拥而至，单纯地依靠反病毒软件特征码的查杀已经是件很艰难的事情，安全厂商们不断地更新着自己的病毒特征库，有的甚至一天更新几次，但仍然有太多的病毒查不到。这就需要网民们想想病毒编写者们有多少、安全厂商又有多少、安全厂商们能够得到病毒样本的途径又有多少这个问题了。

    让我们值得欣慰的是，国内的安全软件业意识到了这一点，正在逐步地改善这种不良状态。其中，主要就是加强了各自杀软的脱壳引擎，希望通过更先进的脱壳引擎查杀那些通过加壳手段来躲避反病毒软件查杀的病毒。KV自形成以来的引擎就很优秀，脱壳解包的能力也很让人满意的，尤其在KV2007版更是加强了这个功能，且目前仍然通过在线智能升级的方法进一步提高引擎的能力。但是，躲避反病毒软件查杀的方法又何止这一种，因此说，单纯依靠引擎来解决这个问题也是杯水车薪。所以，KV在加强了自己的注册表监控能力的同时，新增了一个系统监控功能（病毒也是程序，自有其行为，这个功能就是阻断病毒的行为）。

    上面我们说到，程序的执行是有行为的，正常的程序也是如此。怎样才能使KV2007的行为监控组件（包括系统监控和注册表监控）不阻碍正常程序的运行呢？

    KV2007的行为监控组件是依靠规则来判断的，如果某个程序有试图跨越规则限制的企图，那么KV就会阻止并提示用户。其实就是这么一个很简单的道理，大家不要把它想得太复杂。

    用户的软件环境是千奇百变的，程序也是多种多样。因此，为了尽量减少KV对用户正常操作的影响，默认的行为监控规则不是很多（虽然能阻止很大一部分病毒的入侵，但是还不是我所期望的程度）。还好，KV能够很方便地自定义这些规则。DIY是很有趣的，大家不妨自己动手增加适合自己的规则，充分发挥KV的这个亮点。如何才是最高级、最有效的自定义规则，这是我们都要弄懂的。

    要自定义规则，必须先了解病毒入侵的方式。我们以最普遍的EXE格式的病毒来说，它们通常都是先释放一些文件到特定的目录，然后再执行它们（比如让它们插入到其他正常的进程中等等），继而添加一些注册表的键值使其能够在下次系统启动的时候自动运行这些不速之客。而且，有些病毒还会终止反病毒软件、甚至破坏系统的安全模式让用户无法清除它们。

    当然，规则的自定义是件很容易的事情，而自定义哪些内容就不那么容易了。规则定义需要用户的经验，这不是一篇两篇文章能说清的。所以，我自己写了一个规则的安装程序——KV2007主动防御规则和大家分享，这个安装包经过更新，能够最大限度地保证在不影响用户正常操作的前提下阻止病毒的入侵行为。安装方式简单，一直点“下一步”即可成功。关于这个规则的下载地址以及具体使用要求请到江民社区查看：http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=464992

    当然，还是有很多用户喜欢自己写规则，毕竟自己的东西更亲切。那么我们就认识一下如何自己添加规则：
——注意，下面的操作需要一定的基础，所以菜鸟们还是用我写的主动防御规则吧，这是一个友情提示。从木马/注册表监视的规则开始，依次打开KV2007的设置------木马一扫光------高级设置，即可进入软件的规则自定义设置窗口，如图-3： 
此主题相关图片如下：

图中左下方的几个按钮，“修改处理方式”代表修改左边主规则的处理形式和激发条件，包括“禁止、询问、允许”；“添加新类型”代表新建立一个新的主规则；“删除该类型”代表删除选定的主规则。注意，所谓的主规则，就是一个分组的形式，真正需要用到的是右边的内容。

    我们在右边的面板上点一下，界面有所变换，同时点击“添加注册表项”，即可自定义需要添加的注册表键值，如图-4： 
此主题相关图片如下：

    注册表规则的自定义很简单，不多说。
    当有程序试图操作被规则所保护的注册表键值的时候就会弹出类似这么一个提示框：如图-5

此主题相关图片如下：

    图中，1代表可疑程序的路径，2代表规则的名称，3代表可疑行为的类型，4代表具体的注册表键值
接着要说的就是KV2007新增系统监控的规则自定义了。依次打开KV2007设置------系统监控------设置即可进入规则自定义窗口。如图这是进入规则自定义窗口之前的一个界面：如图-6

此主题相关图片如下：

    我们注意到“检查Windows系统文件的完整性”这个选项，解释一下，KV会事先对系统目录做一个统计，如果之后发现这个目录类的文件有变动就会提示用户，并供用户选择“接受”和“以后再说”。“接受”代表更新统计信息下次不再提示，“以后再说”就是不更新过段时间再次提示。这个方便有经验的用户判断是否有可疑程序进入了系统目录中，KV会保存一份LOG日志文档方便用户查阅。LOG的路径在“我的文档\江民杀毒软件”中。“白名单”的目的就是放行白名单中的程序，即使程序的动作是规则所不允许的；黑名单则相反。KV会事先加入一个白名单，包含目前电脑中所有可能的程序，不建议用户去删除它们，因为它们通常是正常程序，这样可以极大地减少用户的误操作。
    进入规则自定义窗口：如图-7

此主题相关图片如下：

    在自定义规则前，我建议用户在本窗口的“选项”那里把“阻止IE浏览器运行不明程序”开启，这个可以最大限度地减少用户因浏览恶意网页而中毒的情况。它的原理就是禁止IE在不知情的情况下运行IE缓存中的可执行文件。
    我们点击“自定义”开始编写规则，目前KV支持如下行为的监控：
    访问或创建文件：包括访问特定文件、创建特定文件、直接访问系统内存（内置规则已有）。KV可通过这个阻止访问特定的文件，创建特定的文件等，这些操作都是后台的，前台的行为因为已经将Windows外壳程序Explorer.exe加入了白名单，所以极大地减少了对正常软件的这些行为的误判。
创建进程或线程：包括创建可疑进程、创建远程线程（内置规则已有）、加载指定模块文件。病毒可能会利用一些正常的系统程序进行破坏，同时会插入到其他进程中达到隐藏自己的目的（在任务管理器中你看不到病毒程序，看到的只是病毒利用的其他程序），KV的这个功能即可阻断这种不良行为。
创建注册表项：简化了的注册表监控
    应用程序访问网络：包括自动访问外部网站、自动发送不明邮件、发送指定数据。木马盗号者们就是能够自动往黑客们的网站或邮箱中发送用户的私密信息哦。
消息监听：包括键盘消息（内置规则已有）、窗口消息、所有消息。木马常用此类方式，监听消息可以获取用户隐私。如图-8：

此主题相关图片如下：

    下面给出一个系统监控的提示窗口，某程序试图释放一个可疑的驱动文件：如图-9

此主题相关图片如下：

图中，1代表可疑程序的路径，2代表这个可疑程序做了一个什么可疑行为。



    好了，接着要说的是系统监控下面的几个附加组件，它们分别是：
    进程查看器：查找隐藏进程，对隐藏进程以红色高亮显示，并且拥有超强的结束进程的能力，一些不能通过常规方法结束的进程均可以通过它轻松结束。
    查找被病毒隐藏的文件：即使你显示了隐藏文件和文件夹也看不到的东西可以利用这个模块查找，属于AntiRootkit范畴。
    查找被隐藏的注册表项：同上，只是变成了看不到的注册表项。
    上面三个都是AntiRootkit工具，所谓的Rootkit是一种编程技术，用特殊方式隐藏自己。常规软件100%不会这么做，所以用KV的这三个东西若找到了什么可以毫不犹豫的把它们干掉。

             如图标记处是开启这三个组件的途径 

此主题相关图片如下：
 
    上面图-10，我只说了KV2007的冰山一角，其他更多强大的功能需要用户自己体验。主动防御大势所趋，用好它可以保证用户的系统安全。

    最后，要说一些题外话。从2006年开始，病毒的主要传播途径已经转向了对网站的挂马方式，恶意网站会利用用户系统的漏洞下载并激活病毒，所以打上系统补丁是必做的事情。如何打补丁，可以用Windows自带的Windows Update或者KV2007的漏洞修补程序。现在的病毒通过U盘传播也是一种主流方式了，所以建议用户关闭系统的“自动播放”功能。若打开U盘或移动硬盘的时候切勿双击打开，应采取“右键——打开”的方式；当然，从2006年开始，感染型的病毒又死灰复燃了。从最初的“威金”到臭名远扬的“熊猫烧香”都是如此，所以对不明程序要小心为好，尤其是那些图标怪异的文件。