2023年11月13日發(作者:應收賬款論文)卡巴斯基 KIS2009(KIS8)使用簡介---(致新手)BY-Wangjay1980 [添加 HIPS 新手進階] 1.如何合理安裝卡巴 8? 卡巴的安裝裝有兩種方式:默認安裝和自定義安裝。 默認安裝:將安裝所有卡巴的功能組件,路徑為“系統默認” ,處理模式為“自動”“家長控 , 制”功能狀態為關閉。 自定義安裝:可以自選卡巴的功能組件,自定安裝路徑,自選處理模式(自動或交互)
我建議大家采用“自定義安裝”方式,可以根據自己的需要,靈活定制卡巴。 我自己一般都會取消我不需要的“Email and IM(郵件和即時通訊監控)“Anti-Spam(反垃 ” 圾郵件)“Anti-Phishing(反釣魚)“Parental Control(家長控制) ” ” ”這四個組件。 安裝本來是最簡單的地方,但是也往往是大家最容易忽視的地方,我看到很多卡巴使用者, 也許是沒注意,也許是比較懶,直接選“默認安裝” ,結果是許多自己根本用不著功能都裝上 了,這其實是一種浪費。所以,從現在開始定制適合你自己的卡巴吧。
注意:安裝完畢重啟后,首次進入系統會稍慢一些,這個是正常的,以后就會恢復正常。
2.如何合理設置卡巴 8? 卡巴 8 的設置其實大部分都與卡巴 7 類似, 不同的地方, 主要是卡巴 8 的新功能導致的,另外 就是設置都要根據自己的情況,沒有什么最好的設置,只有最適合自己的設置。 我主要介紹一下各項設置的實際意義,和我的推薦,至于具體如何設置,你自己決定。 (部分 非關鍵內容省略) A.反病毒設置----文件和內存監控 (Files and Memory) 文件類型(File types) : 掃描所有文件:掃描一切文件,優點是不會有遺漏,缺點是會耗費更多的資源。 按文件內容掃描(推薦) :根據文件的內在來掃描,優點是不會被文件外表迷惑,缺點:還沒 想到。 按擴展名掃描: 你可以自己查看卡巴給出的擴展名列表, 就是根據那個列表的擴展名來掃描, 優點是耗費最小的資源,缺點是可能會漏掉某些特殊的文件 保護范圍(Protection scope): 所有硬盤(推薦) :我自己一般只保護我的系統盤,縮小范圍有助于提高效率: ) 網絡驅動器:這個應該是針對局域網共享的,可以不選 移動磁盤(推薦) :什么 U 盤,移動硬盤等
x0c掃描方式(Scan methods) 特征碼:這個是默認必須,沒得選擇。 啟發式:這個是可選的,開啟后有三檔“低,中,高” 。從“關閉—低—中—高”的資源占用 是“最低—低—中—高” 。建議關閉。 掃描優化(Scan optimization) 掃描新建或改變的文件(推薦) :就是對已掃描過并且沒有改變的文件不再掃描,提供監控效 率。 掃描壓縮文件(Scan of compound files) 掃描壓縮包:壓縮軟件壓
縮后的包,默認關閉就好 掃描安裝包:打包工具打包后的安裝包,默認關閉就好 掃描 OLE 對象:這個我也說不清楚,自己百度一下,默認關閉就好
掃描模式(Scan mode) 靈活模式(推薦) :多種模式并行 在讀寫時:在程序進行讀寫操作時進行掃描 在讀時:在程序進行讀取時進行掃描 在運行時:在程序運行時進行掃描 掃描技術(Scan technologies) iSwift 掃描技術(推薦) ,建立在 NTFS 分區格式下的掃描技術, iChecker 掃描技術(推薦) ,建立在 FAT 分區格式下的掃描技術 這兩種掃描技術會對已掃描過的文件進行標記, 在文件未改變之前, 不對文件進行重復掃描, 從而大大提高掃描效率 暫停任務(Pau task) 這個沒什么好說的,很難用的上 B.反病毒設置---網絡監控設置(Web Traffic) 阻止危險的 IE 腳本文件(推薦) :什么是腳本?自己百度一下吧。 掃描 HTTP 通信(推薦) :只要你上網,就離不開 HTTP 通信,必掃! 根據危險的網址庫分析(推薦) :卡巴 8 新加的功能,其實就是惡意網址屏蔽。 信任網址:你可以自己添加信任的網址,那么這個網址將不會被監控。建議不要用。因為任 何網址都可能被掛馬。
掃描方式(Scan methods) 啟發式:默認設置為“中” ,這個主要是影響你用 IE 下載東西的速度,尤其是快下完的時候。 主要看你自己的感受,看看什么程度你能接受。我自己是關閉的。 掃描優化(Scan optimization) 限制緩沖區掃描時間:就是你打算用多長的時間來掃描你的緩沖區,推薦設置為 1,如果你 不介意多花點時間來掃,那就往高設置。
C.系統安全設置---程序過濾設置(Application Filtering)
x0c程序分組(Applications) 信任組:信任組的程序擁有所有權利,它的活動不受控制,不會有任何提示。包括微軟自身 程序,卡巴斯基,有數字簽名的程序,白名單庫中的程序。這些程序將會被自動添加到信任 組。當然,還有一些卡巴沒有識別的正常程序是要我們自己添加到信任組的。所以,使用卡 巴 8 的朋友,你們安裝好卡巴 8 后的一個首要任務就是把自己常用的軟件都運行一下,把那 些卡巴沒有識別的被分在受限組的程序添加到信任組。這樣就可以避免一些不必要的提示。 (支持鼠標拖放程序,十分方便) 低受限組:低受限組的程序擁有部分權利,一些重要的操作都會提示你,卡巴會給出很多信 息(如程序的來源,位置,版本,作者,危險指數等)來輔助你進行判斷。對不明程序,阻 止即可。如果你信任組的工作做好了,那么這里就很簡單了。建議直接禁止本組程序聯網。 高受限組:高受限組的程序幾乎只有“讀”的權利,被分到這個組的程序
卡巴會直接提示你 是“允許運行” “限制運行” “阻止運行” ,對不明程序,阻止即可。建議直接禁止本組程序聯 網。 不信任組:一般來說,被分在這個組的程序基本肯定是病毒了,卡巴會自動阻止其運行。 系統資源(Resources) 這里是卡巴 HIPS 進行監控的文件(FD)和注冊表(RD)資源設置界面。注冊表監控卡巴做的 已經很全面了,一般不需要自己添加。文件保護方面,默認的規則顯然是不夠全面的,它只 保護系統的一些關鍵文件和系統目錄下 EXE,DLL,SYS 文件。大家可以根據自己的情況進行 添加。例如增加保護文件的類型,如 TMP,INF,PIF,COM 等,增加保護的范圍,對其它盤文 件的保護,如 D,E,F 等非系統盤。 設備(Devices)
這里主要是對 USBD.系統安全設置---防火墻設置(Firewall) 其實這里沒有什么需要設置的,默認就行。卡巴 8 的防火墻改變了理念,與卡巴 7 的防火墻 是不同的,我們就簡單了解一下卡巴 8 的防火墻 (1)卡巴 8 沒有了模式選擇,卡巴 7 有三種模式“低安全” “學習模式” “高安全” ,卡巴 8 放棄了這一做法,因為卡巴 8 采用了“All in one”的整合為一的保護模式,它把防火墻和 HIPS 控制統一了起來。一個程序是否可以訪問網絡,是要首先通過 HIPS 的分組判斷,不同 組別的程序擁有不同的訪問權利。一個被判斷為“好”的程序,那么它訪問網絡將是不受限 制的。一個被判斷為 "壞" 的程序,將被阻止訪問網絡。 (2)卡巴 8 將網絡分為三個區域“信任網絡” “本地網絡” “公共網絡” ,并且預置了一些訪 問規則,不同的區域有不同的規則,如果有需要,你可以自行添加自己需要的規則 (3)卡巴 8 防火墻附加了三個很有用的功能。
x0c是否允許主動 FTP 模式:想了解什么是主動 FTP?請百度一下: ) 無法提示時自動阻止所有網絡連接:就是卡巴遇到無法彈出提示窗口的時候(界面被關閉) 會自動中斷網絡,保護用戶的安全。 系統完全關閉前不退出防火墻:這個也是為了防止某些利用關機來做文章的病毒的。 E.系統安全設置---主動防御(PDM) 主動防御卡巴 6,7 就已經有了,應該說卡巴 6,7 的主動防御擔負了更多的東西。到了卡巴 8,由于 HIPS 的引入,原有的一些主動防御的功能被整合到了 HIPS 中,其實這樣整合后才更 為合理了。更加明確了主動防御與 HIPS 的不同,應該說分工更明確了。卡巴 8 的主動防御提 供了 8 種檢測方式,推薦全選。 其中前三種: “木馬檢測(Trojans detection)“蠕蟲檢測(Worms detection)“P2P 蠕蟲 ” ” 檢測(P2P worms detection) ”這個無疑是最為直接的明確的行為檢測,無需解釋。 第四
個是: “鍵盤記錄檢測” ,盜號木馬常用的手法。注意:某些大型游戲(極品飛車,實況 足球等)會被提示鍵盤記錄,如果你運行某個游戲時卡巴提示,請添加到排除。 第五個是: “隱藏驅動檢測”大多的病毒木馬都會用一些非常規的手段建立驅動。注意:極個 別安全軟件或工具也可能會被卡巴提示這個,還有極個別有反外掛保護的網游也會有這個提 示,當然這樣的正常程序很少。 第六個是: “系統內核修改”這個我至今沒遇見過?(安裝 的會遇到這個提示,一般 重啟一下系統就好了) 第七個是: “隱藏對象檢測”這個也是比較常見的一個,木馬病毒都喜歡隱藏自身。 第八個是: “隱藏進程檢測”木馬病毒為了不讓用戶發現自己,讓自己在任務管理器里消失, 不過這個方式好像用的少了。 最下面有一項:對有數字簽名和在白名單的程序的危險活動不提示,這項一定要選上,可以 減少不必要的提示。 網上安全和內容過濾沒什么可說的。。 。 F.掃描設置---右鍵掃描設置(Scan)
右鍵掃描設置相對比較固定,大概的設置如下: 文件類型---選“所有文件” 掃描優化---這里兩項都不選 掃描壓縮混合文件---五項全選,附加選項,不選 啟發式---開到最大 漏洞掃描---不選 Rootkit 掃描—不選 掃描技術---兩個都不選 模式---手動
x0cG. 掃描設置---全盤掃描(Full Scan) 這里的設置要注意的就是最好要設置掃描時長限制和解包大小限制,為什么要強調這個呢? 主要是因為很多使用卡巴的朋友會遇到卡巴掃描某些文件時,花的時間太長了,資源占用太 大,其實你們稍加注意,就會發現,這些文件基本都是上百 M 甚至上 G 大小的壓縮包或安裝 包, 或是鏡像文件 (ISO 文件等) 例如掃描紅警的安裝包 (200 多 M) 系統的 ISO 文件 ,XP (500 多 M),實況 10 的安裝包(3G 多) ,卡巴引擎的拖殼解包能力很強,所以你如果要掃描這些大 型壓縮文件,必然會導致掃描慢,資源占用大的問題。而且這樣的文件是完全沒必要去掃描 的。解決方法:一 是不掃描這些文件,直接排除(排除例外里添加) 。二 是設置掃描時長限 制和解包大小限制,掃描時長設置為“15 秒”解包大小限制在“50M”,也就是掃描單個文件 超過 15 秒或是包大小超過 50M 的就跳過。 (我自己的全盤掃描其實是只掃描系統盤的,而不 是默認的所有硬盤,其他盤的東西對我來說沒有掃描的必要。由于系統盤基本沒有存在這樣 大型文件的可能,所以很省心。 )
全盤掃描建議設置如下: 文件類型---選“所有文件” 掃描優化---兩個都選吧,時間限制“15 秒” 掃描壓縮文混合文件—選前三
項就可以啦,附加選項:解包不超過“50M” 啟發式---開到最大 漏洞掃描---選上 Rootkit 掃描---兩個都選 掃描技術---兩個都選 模式---自己定 快速掃描自己來吧,沒什么好說的。。 。 更新設置自己來吧,沒什么好說的。。 。 H .其余的設置 (1)威脅和例外(Threats and exclusion)—威脅里的所有項目都選上,需要注意的是這 里卡巴 8 多了“殼偵測”這是一個新的檢測方式,對一些使用特殊的加殼方式病毒木馬進行 檢測,誤報率很低。排除里可以對特定的文件或文件夾進行排除操作,并可以選擇排除的組 件。例如對某個文件或文件夾不進行文件監控,或者不進行程序過濾,或者不進行主動防御 等,單選多選都可以。信任程序只針對 EXE 文件有效。
(2)網絡(Network)---默認就好。端口監控---選監控指定的端口。掃描加密連接---需要 就選。顯示網絡數據包分析器---需要就選。 (3)通知(Notifications)---默認就好。想聽殺豬聲就取消使用 WINDOWS 默認方案
x0c(4)報告(Reports)---這個看自己需要了,建議選上記錄“非關鍵事件” “文件系統事件” “注冊表事件”方便查看每個程序他們到底都什么。 (5)反饋(Feedback)---這個自愿了,建議選上,只有好處,沒有壞處。 (6)外觀(Appearance)---全選得了。
3.卡巴 8 的工作流程是怎樣的? 當一個新程序運行后: 卡巴首先對程序進行分析------然后對程序進行分組------最后根據不同組別的不同權限決 定程序的行為. 根據這個工作流程我們可以看出,卡巴 8 會在一個新程序運行時對程序進行安全分析,這個 也是導致你首次運行某個程序時,會有停頓的感覺。并且,如果你運行的程序越大(如安裝 包等) ,分析的時間就越長。這個是正常的,當你以后再次運行就不會出現此問題了。 信任組的程序:整個過程不會出現任何提示 受限組的程序:一般會出現權限提示,由你決定它的行為,并會記錄它的所有活動。 非信任組程序:直接阻止其運行。
4.卡巴 8 如何對一個首次運行的程序進行分析和分組? 流程如下: (1)檢查數字簽名,有→信任組 (2)如果沒有,檢查白名單,有→信任組 (3)如果沒有,檢查病毒庫,有→非信任組(當然這時文件監控就會發現) (4)如果沒有,通過啟發式計算危險指數,0-49 之間→低受限組,50-99→高受限組,100 →非信任組。 (5)通過以上檢查結果,將程序分配到指定的分組 設備和藍牙設備的保護設置界面,就是你可以控制這些設備能否連接你的電腦。 卡巴 8HIPS 新手進階規則設置: 目的:增加保護范圍,進一步提升卡巴 8 的防御能力。了解如何添加資源,如何
設置規則。 特點:添加新的簡單的 FD 規則,既提升安全性,又基本不增加新手困惑。 1.添加新的 FD 資源,即添加需要進行控制的文件和文件夾。 (1)首先添加針對“系統文件”項的 FD 資源,如圖操作即可。 (當然你也可以如(2)一樣, 新建個項,把資源添加到新建項里。 )
x0c(2)然后添加針對“禁止高危文件”項的 FD 資源,如圖操作即可。“禁止高危文件”是新 ( 建項,新建項的名字自己決定)
2.設置受限組規則,即設置受限組程序對新加資源的訪問規則。 (以低受限組為例,高受限組 相同) 首先設置針對“系統文件”項新加資源的訪問規則,如圖操作即可。
然后設置針對“禁止高危文件”項新加資源的訪問規則,如圖操作即可。
注意:這是個十分簡單的 FD 規則,它的保護范圍和細致程度還不夠,只是一些重點保護。但 是即便是這樣簡單的規則,也可以大幅提升卡巴的防御能力,對新手來說還是不錯的。我覺 得新手不要只是簡單的如此設置就了事,而應該學習一下“添加資源,設置規則”的流程, 舉一反三,多多實踐,徹底理解了,以后就可以自行設置屬于自己的 FD 規則,保護想要保護 的文件,阻止想要阻止的文件。 (以上文件路徑是根據 XP 系統定義的,VISTA 系統如有不同, 請自行修改)
x0c
