2023年11月13日發(作者:安全稿件)卡巴斯基KIS2009(KIS8)使用簡介---(致新手)BY-Wangjay1980 [添加HIPS新手進階]
1.如何合理安裝卡巴8?
卡巴的安裝裝有兩種方式:默認安裝和自定義安裝。
默認安裝:將安裝所有卡巴的功能組件,路徑為“系統默認”,處理模式為“自動”,“家長控制”功能狀態為關閉。
自定義安裝:可以自選卡巴的功能組件,自定安裝路徑,自選處理模式(自動或交互)
我建議大家采用“自定義安裝”方式,可以根據自己的需要,靈活定制卡巴。
我自己一般都會取消我不需要的“Email and IM(郵件和即時通訊監控)”“Anti-Spam(反垃圾郵件)”“Anti-Phishing(反釣魚)”“Parental Control(家長控制)”這四個組件。
安裝本來是最簡單的地方,但是也往往是大家最容易忽視的地方,我看到很多卡巴使用者,也許是沒注意,也許是比較懶,直接選“默認安裝”,結果是許多自己根本用不著功能都裝上了,這其實是一種浪費。所以,從現在開始定制適合你自己的卡巴吧。
注意:安裝完畢重啟后,首次進入系統會稍慢一些,這個是正常的,以后就會恢復正常。
2.如何合理設置卡巴8?
卡巴8的設置其實大部分都與卡巴7類似,不同的地方,主要是卡巴8的新功能導致的,另外就是設置都要根據自己的情況,沒有什么最好的設置,只有最適合自己的設置。
我主要介紹一下各項設置的實際意義,和我的推薦,至于具體如何設置,你自己決定。(部分非關鍵內容省略)
A.反病毒設置----文件和內存監控 (Files and Memory)
文件類型(File types):
掃描所有文件:掃描一切文件,優點是不會有遺漏,缺點是會耗費更多的資源。
按文件內容掃描(推薦):根據文件的內在來掃描,優點是不會被文件外表迷惑,缺點:還沒想到。
按擴展名掃描:你可以自己查看卡巴給出的擴展名列表,就是根據那個列表的擴展名來掃描,優點是耗費最小的資源,缺點是可能會漏掉某些特殊的文件
保護范圍(Protection scope):
所有硬盤(推薦):我自己一般只保護我的系統盤,縮小范圍有助于提高效率:)
網絡驅動器:這個應該是針對局域網共享的,可以不選
移動磁盤(推薦):什么U盤,移動硬盤等
掃描方式(Scan methods)
特征碼:這個是默認必須,沒得選擇。
啟發式:這個是可選的,開啟后有三檔“低,中,高”。從“關閉—低—中—高”的資源占用是“最低—低—中—高”。建議關閉。
掃描優化(Scan optimization)
掃描新建或改變的文件(推薦):就是對已掃描過并且沒有改變的文件不再掃描,提供監控效率。
掃描壓縮文件(Scan of compound files)
掃描壓縮包:壓縮
軟件壓縮后的包,默認關閉就好
掃描安裝包:打包工具打包后的安裝包,默認關閉就好
掃描OLE對象:這個我也說不清楚,自己百度一下,默認關閉就好
掃描模式(Scan mode)
靈活模式(推薦):多種模式并行
在讀寫時:在程序進行讀寫操作時進行掃描
在讀時:在程序進行讀取時進行掃描
在運行時:在程序運行時進行掃描
掃描技術(Scan technologies)
iSwift掃描技術(推薦),建立在NTFS分區格式下的掃描技術,
iChecker掃描技術(推薦),建立在FAT分區格式下的掃描技術
這兩種掃描技術會對已掃描過的文件進行標記,在文件未改變之前,不對文件進行重復掃描,從而大大提高掃描效率
暫停任務(Pau task)
這個沒什么好說的,很難用的上
B.反病毒設置---網絡監控設置(Web Traffic)
阻止危險的IE腳本文件(推薦):什么是腳本?自己百度一下吧。
掃描HTTP通信(推薦):只要你上網,就離不開HTTP通信,必掃!
根據危險的網址庫分析(推薦):卡巴8新加的功能,其實就是惡意網址屏蔽。
信任網址:你可以自己添加信任的網址,那么這個網址將不會被監控。建議不要用。因為任何網址都可能被掛馬。
掃描方式(Scan methods)
啟發式:默認設置為“中”,這個主要是影響你用IE下載東西的速度,尤其是快下完的時候。主要看你自己的感受,看看什么程度你能接受。我自己是關閉的。
掃描優化(Scan optimization)
限制緩沖區掃描時間:就是你打算用多長的時間來掃描你的緩沖區,推薦設置為1,如果你不介意多花點時間來掃,那就往高設置。
C.系統安全設置---程序過濾設置(Application Filtering)
程序分組(Applications)
信任組:信任組的程序擁有所有權利,它的活動不受控制,不會有任何提示。包括微軟自身程序,卡巴斯基,有數字簽名的程序,白名單庫中的程序。這些程序將會被自動添加到信任組。當然,還有一些卡巴沒有識別的正常程序是要我們自己添加到信任組的。所以,使用卡巴8的朋友,你們安裝好卡巴8后的一個首要任務就是把自己常用的軟件都運行一下,把那些卡巴沒有識別的被分在受限組的程序添加到信任組。這樣就可以避免一些不必要的提示。(支持鼠標拖放程序,十分方便)
低受限組:低受限組的程序擁有部分權利,一些重要的操作都會提示你,卡巴會給出很多信息(如程序的來源,位置,版本,作者,危險指數等)來輔助你進行判斷。對不明程序,阻止即可。如果你信任組的工作做好了,那么這里就很簡單了。建議直接禁止本組程序聯網。
高受限組:高受限組的程序幾乎只有“讀”的權利,被分到這個組
的程序卡巴會直接提示你是“允許運行”“限制運行”“阻止運行”,對不明程序,阻止即可。建議直接禁止本組程序聯網。
不信任組:一般來說,被分在這個組的程序基本肯定是病毒了,卡巴會自動阻止其運行。
系統資源(Resources)
這里是卡巴HIPS進行監控的文件(FD)和注冊表(RD)資源設置界面。注冊表監控卡巴做的已經很全面了,一般不需要自己添加。文件保護方面,默認的規則顯然是不夠全面的,它只保護系統的一些關鍵文件和系統目錄下EXE,DLL,SYS文件。大家可以根據自己的情況進行添加。例如增加保護文件的類型,如TMP,INF,PIF,COM等,增加保護的范圍,對其它盤文件的保護,如D,E,F等非系統盤。
設備(Devices)
這里主要是對USBD.系統安全設置---防火墻設置(Firewall)
其實這里沒有什么需要設置的,默認就行。卡巴8的防火墻改變了理念,與卡巴7的防火墻是不同的,我們就簡單了解一下卡巴8的防火墻
(1)卡巴8沒有了模式選擇,卡巴7有三種模式“低安全”“學習模式”“高安全”,卡巴8放棄了這一做法,因為卡巴8采用了“All in one”的整合為一的保護模式,它把防火墻和HIPS控制統一了起來。一個程序是否可以訪問網絡,是要首先通過HIPS的分組判斷,不同組別的程序擁有不同的訪問權利。一個被判斷為“好”的程序,那么它訪問網絡將是不受限制的。一個被判斷為 "壞" 的程序,將被阻止訪問網絡。
(2)卡巴8將網絡分為三個區域“信任網絡”“本地網絡”“公共網絡”,并且預置了一些訪問規則,不同的區域有不同的規則,如果有需要,你可以自行添加自己需要的規則
(3)卡巴8防火墻附加了三個很有用的功能。
是否允許主動FTP模式:想了解什么是主動FTP?請百度一下:)
無法提示時自動阻止所有網絡連接:就是卡巴遇到無法彈出提示窗口的時候(界面被關閉)會自動中斷網絡,保護用戶的安全。
系統完全關閉前不退出防火墻:這個也是為了防止某些利用關機來做文章的病毒的。
E.系統安全設置---主動防御(PDM)
主動防御卡巴6,7就已經有了,應該說卡巴6,7的主動防御擔負了更多的東西。到了卡巴8,由于HIPS的引入,原有的一些主動防御的功能被整合到了HIPS中,其實這樣整合后才更為合理了。更加明確了主動防御與HIPS的不同,應該說分工更明確了。卡巴8的主動防御提供了8種檢測方式,推薦全選。
其中前三種:“木馬檢測(Trojans detection)”“蠕蟲檢測(Worms detection)”“P2P蠕蟲檢測(P2P worms detection)”這個無疑是最為直接的明確的行為檢測,無需解釋。
第四個是:“鍵盤記錄檢測
”,盜號木馬常用的手法。注意:某些大型游戲(極品飛車,實況足球等)會被提示鍵盤記錄,如果你運行某個游戲時卡巴提示,請添加到排除。
第五個是:“隱藏驅動檢測”大多的病毒木馬都會用一些非常規的手段建立驅動。注意:極個別安全軟件或工具也可能會被卡巴提示這個,還有極個別有反外掛保護的網游也會有這個提示,當然這樣的正常程序很少。
第六個是:“系統內核修改”這個我至今沒遇見過…(安裝的會遇到這個提示,一般重啟一下系統就好了)
第七個是:“隱藏對象檢測”這個也是比較常見的一個,木馬病毒都喜歡隱藏自身。
第八個是:“隱藏進程檢測”木馬病毒為了不讓用戶發現自己,讓自己在任務管理器里消失,不過這個方式好像用的少了。
最下面有一項:對有數字簽名和在白名單的程序的危險活動不提示,這項一定要選上,可以減少不必要的提示。
網上安全和內容過濾沒什么可說的。。。
F.掃描設置---右鍵掃描設置(Scan)
右鍵掃描設置相對比較固定,大概的設置如下:
文件類型---選“所有文件”
掃描優化---這里兩項都不選
掃描壓縮混合文件---五項全選,附加選項,不選
啟發式---開到最大
漏洞掃描---不選
Rootkit掃描—不選
掃描技術---兩個都不選
模式---手動
G. 掃描設置---全盤掃描(Full Scan)
這里的設置要注意的就是最好要設置掃描時長限制和解包大小限制,為什么要強調這個呢?主要是因為很多使用卡巴的朋友會遇到卡巴掃描某些文件時,花的時間太長了,資源占用太大,其實你們稍加注意,就會發現,這些文件基本都是上百M甚至上G大小的壓縮包或安裝包,或是鏡像文件(ISO文件等)例如掃描紅警的安裝包(200多M),XP系統的ISO文件(500多M),實況10的安裝包(3G多),卡巴引擎的拖殼解包能力很強,所以你如果要掃描這些大型壓縮文件,必然會導致掃描慢,資源占用大的問題。而且這樣的文件是完全沒必要去掃描的。解決方法:一 是不掃描這些文件,直接排除(排除例外里添加)。二 是設置掃描時長限制和解包大小限制,掃描時長設置為“15秒”解包大小限制在“50M”,也就是掃描單個文件超過15秒或是包大小超過50M的就跳過。(我自己的全盤掃描其實是只掃描系統盤的,而不是默認的所有硬盤,其他盤的東西對我來說沒有掃描的必要。由于系統盤基本沒有存在這樣大型文件的可能,所以很省心。)
全盤掃描建議設置如下:
文件類型---選“所有文件”
掃描優化---兩個都選吧,時間限制“15秒”
掃描壓縮文混合文件—選前三項就可以啦,附加選項:解包不超
過“50M”
啟發式---開到最大
漏洞掃描---選上
Rootkit掃描---兩個都選
掃描技術---兩個都選
模式---自己定
快速掃描自己來吧,沒什么好說的。。。
更新設置自己來吧,沒什么好說的。。。
H .其余的設置
(1)威脅和例外(Threats and exclusion)—威脅里的所有項目都選上,需要注意的是這里卡巴8多了“殼偵測”這是一個新的檢測方式,對一些使用特殊的加殼方式病毒木馬進行檢測,誤報率很低。排除里可以對特定的文件或文件夾進行排除操作,并可以選擇排除的組件。例如對某個文件或文件夾不進行文件監控,或者不進行程序過濾,或者不進行主動防御等,單選多選都可以。信任程序只針對EXE文件有效。
(2)網絡(Network)---默認就好。端口監控---選監控指定的端口。掃描加密連接---需要就選。顯示網絡數據包分析器---需要就選。
(3)通知(Notifications)---默認就好。想聽殺豬聲就取消使用WINDOWS默認方案
(4)報告(Reports)---這個看自己需要了,建議選上記錄“非關鍵事件”“文件系統事件”“注冊表事件”方便查看每個程序他們到底都什么。
(5)反饋(Feedback)---這個自愿了,建議選上,只有好處,沒有壞處。
(6)外觀(Appearance)---全選得了。
3.卡巴8的工作流程是怎樣的?
當一個新程序運行后:
卡巴首先對程序進行分析------然后對程序進行分組------最后根據不同組別的不同權限決定程序的行為.
根據這個工作流程我們可以看出,卡巴8會在一個新程序運行時對程序進行安全分析,這個也是導致你首次運行某個程序時,會有停頓的感覺。并且,如果你運行的程序越大(如安裝包等),分析的時間就越長。這個是正常的,當你以后再次運行就不會出現此問題了。
信任組的程序:整個過程不會出現任何提示
受限組的程序:一般會出現權限提示,由你決定它的行為,并會記錄它的所有活動。
非信任組程序:直接阻止其運行。
4.卡巴8如何對一個首次運行的程序進行分析和分組?
流程如下:
(1)檢查數字簽名,有→信任組
(2)如果沒有,檢查白名單,有→信任組
(3)如果沒有,檢查病毒庫,有→非信任組(當然這時文件監控就會發現)
(4)如果沒有,通過啟發式計算危險指數,0-49之間→低受限組,50-99→高受限組,100→非信任組。
(5)通過以上檢查結果,將程序分配到指定的分組
設備和藍牙設備的保護設置界面,就是你可以控制這些設備能否連接你的電腦。
卡巴8HIPS新手進階規則設置:
目的:增加保護范圍,進一步提升卡巴8的防御能力。了解如何添加資源,如何設置規則
。
特點:添加新的簡單的FD規則,既提升安全性,又基本不增加新手困惑。
1.添加新的FD資源,即添加需要進行控制的文件和文件夾。
(1)首先添加針對“系統文件”項的FD資源,如圖操作即可。(當然你也可以如(2)一樣,新建個項,把資源添加到新建項里。)
(2)然后添加針對“禁止高危文件”項的FD資源,如圖操作即可。(“禁止高危文件”是新建項,新建項的名字自己決定)
2.設置受限組規則,即設置受限組程序對新加資源的訪問規則。(以低受限組為例,高受限組相同)
首先設置針對“系統文件”項新加資源的訪問規則,如圖操作即可。
然后設置針對“禁止高危文件”項新加資源的訪問規則,如圖操作即可。
注意:這是個十分簡單的FD規則,它的保護范圍和細致程度還不夠,只是一些重點保護。但是即便是這樣簡單的規則,也可以大幅提升卡巴的防御能力,對新手來說還是不錯的。我覺得新手不要只是簡單的如此設置就了事,而應該學習一下“添加資源,設置規則”的流程,舉一反三,多多實踐,徹底理解了,以后就可以自行設置屬于自己的FD規則,保護想要保護的文件,阻止想要阻止的文件。(以上文件路徑是根據XP系統定義的,VISTA系統如有不同,請自行修改)
