间谍程序、游戏木马、黑客程序等网络病毒的频频爆发,使国内外反病毒领域开始意识到应该利用安全软件具有的防病毒机制,主动防御各种病毒的生成和运行,给整个系统提供超前的安全防护。因而可以理解,“主动防御”就是全程监视进程的行为,一但发现“违规”行为,就通知用户,或者直接终止进程。利用好了这个,或者说玩转它就可以基本做到百毒不侵了。
“主动防御”型杀毒软件的一般流程:通过挂接系统建立进程的API,杀毒软件就在一个进程建立前对进程的代码进行扫描,如果发现SGDT,SIDT,自定位指令(一般正常软件不会有这些指令),就提示,如果用户放行,就让进程继续运行;接下来监视进程调API的情况,如果发现以读写方式打开一个EXE文件,可能进程的线程想感染PE文件,就发出警告;如果收发数据违反了规则,发出提示;如果进程调用了CreateRemoteThread(),则发出警告(因为CreateRemoteThread()是一个非常危险的API,正常进程很少用到,反倒是被病毒木马用得最多)。所以说对于学会主动防御的高级设置不可忽略。
下面截取部分主动防御的图,每张图都尽显主动防御的完美,其高级设置涉及到的9个系统关键位置的自定义编辑,如果你学会了的话,那么即使没来得及升级您杀毒软件的病毒库,照样让新病毒木马的变种显露原形。
KV2008总体来说很优秀,安装简单,升级实时,扫描速度很快,不过有误报的现象(这个是不可避免的),发现病毒或者木马,即使windows下不能删除也可以重启后利用bootscan扫描病毒木马的藏身地,让病毒和木马没有运行的机会就被咔嚓了。我喜欢有bootscan技术的杀毒软件,更喜欢扫描速度自定义和其强大的主动防御功能。真的没得说,一个字“服”,尤其是其中集成的进程查看器的功能更让我喜欢,这个功能真的可以和强大的冰刃或syscheck媲美,有了它即使身边没有冰刃和syscheck也一样对付病毒和木马,而且主动防御高级模块中对系统9处位置做了保护。这9处位置即:系统启动、系统自动运行、windows安全设置、IE设置、IE插件、Shell Hook、映像劫持(关键)、系统文件关联、广谱扩展,确保了系统的安全,设置映像劫持修改询问就再也不会发生像AV终结者一样的病毒屏蔽著名的杀毒软件和带关键字的网页的事情了。
个人认为,“相信=相信安全”。
(责任编辑:郭旭)
