无毒防毒有毒杀毒:打造系统御毒金钟罩
从小就被俺家的父母教导“做什么事情都得安全第一”,事实的确如此,如今的 IT 业中这一观
点同样深入人心。
俺接触电脑已有多年,从一个“鸟蛋”已经成长为了如今的“反病毒高手”(自封的)。俺第
一次使用的杀毒软件就是江民公司出品的,当时仅仅知道一个叫 CIH 的病毒且听说 KV 对其有
特效就买了它。如今多年下来,已经对其有了浓厚的感情,对其每一代产品都有比较深入的见
解。
好,切入正题……
多年前,盛行一时的引导区病毒及像 CIH 这类仅仅通过文件、软驱、光驱感染的病毒如今
已不多见(当然还是不能对他们掉以轻心),所以这里暂且不说他们。
防毒篇:防患于未然 给系统打补丁
“反病毒”的话题一定要从防病毒开始,谁愿意自己中毒了然后慢慢去杀掉。
目前绝大多数蠕虫、后门等病毒都是利用系统漏洞入侵用户系统的,像“冲击波”“震荡波”“极
速波”全部是利用系统漏洞感染用户电脑然后又开始新一轮疯狂传播的,这些可恶的东西别看
体积小,一旦多起来势不可挡,甚至造成全球网络瘫痪。所以补漏成了当前的头等大事。
如何给系统打补丁呢,最好的方式是通过 Windows Update 这个东东,每个 Windows 系统
中都有,目前微软公司会在每个月的第二个星期二发布安全更新,简体中文版的一般会相对晚
一天发布。
当然利用其他软件也能做到这一步,像 KV2005 的安全中心就有简单的漏洞提示功能,现
在的 KV2006 已经具备了完善的漏洞扫描功能,能全方位扫描并弥补系统的安全隐患。
这里给大家一些基本建议:首先得放弃使用 Win9X、ME 系统,这类系统因为先天不足,
所以无论怎么补都是非常不安全不稳定的。对于 Win2000 系统,首先必须确保自己已经安装
了 Service Pack 4(SP4),然后再安装后续发布的安全更新;对于 XP 系统,SP2 是理所当然
的,目前在 SP2 发布后的安全更新总容量也已经累积到了差不多 50MB 的大小,所以大家最好
一边泡咖啡一边补漏,可不能性急啊;对于 Windows 2003 系统,个人用户用得不多,企业用
户使用得比较多了,更应该注意系统的安全,打上 SP1 吧。
补漏不仅仅是系统,应用软件本身也会有漏洞,像 Office、反病毒软件本身都会存在漏洞,
所以大家也要常更新这类软件。这里当然包括更新反病毒软件的病毒库。这里提醒大家的是,
江民公司从很早以前的每周更新一次已经晋升为每日更新(包括双休日),遇到紧急病毒会随
时更新,最大限度地保障用户的利益。
还有就是,关掉自己不需要的服务,可以一定限度的增强系统安全性。比如就单机用户来
说,像 Service、Messenger 等这类服务都是不需要的,应该立马斩断它。关闭这些服务通常在“控
制面板—管理工具—服务”中进行,当然也可以修改注册表。这类操作具有一定危险性,应当
有高人指导,呵呵。还有一点,就是建议大家把系统“自动播放”这项功能观点,现在很多病毒
都利用这个人性化功能来启动自己,真是够狠的。
大家可以经常去江民网站查看安全动态新闻:
杀毒篇:兵来将挡 水来土掩
如果不慎中毒了,就得使出看家本领了。严格意义上来说,纯 DOS 下面杀毒是最彻底的,
一切不能在 Windows 系统下清除的病毒全部可以在 DOS 下面杀掉,KV 的 DOS 杀毒软件就我
来看是做得最棒的,不但具有超强杀毒能力,更可贵的是使用了图形界面,而且能够加载鼠标
进行操作,方便了用户。当然 KV 的 DOS 杀毒程序早就开始支持在纯 DOS 下查杀 NTFS 分区
格式了。但是基于这个视窗时代,已经有很多人对 DOS 一窍不通了,所以如何在 Windows 下
清除病毒才是这里的重点。
一些感染其他文件的病毒,在 Windows 下清除确实有些难度,不过事在人为。要想在
Windows 下清除这些病毒最好将系统启动到“安全模式”中,进入安全模式后,系统加载的程序
比较少,清除起来相对简单一些。这时我们要做得就是先把内存中的病毒先解决掉,否则病毒
会重复感染文件,杀毒将会没完没了。从很早以前的 KV3000 开始,KV 就具备了清除内存中
病毒的能力,到现在来看,KV 的内存杀毒做得相当完善,非常优秀,所以清除这些病毒简直
就是小菜一碟儿。
再来说说臭名昭著的“灰鸽子后门”,这个东西在各大安全论坛上是闹到翻天覆地,它采用
了 Hook 编程技术,将自己挂接到其他进程中(这也是很多人会说在内存中查出几十个灰鸽子
的原因,实际上真正的病毒体就只有那么 3、4 个而已),导致无法从内存中将其干掉,若要
强行将其从内存中剥离出来,势必导致崩溃。所以必须借助一些手段——从注册表下手。通常
“ 灰 鸽 子 后 门 ” 将 自 己 注 册 成 为 服 务 , 启 动 项 位 于
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下,一般来说删除它的服务,
重新启动计算机就能使用 KV 轻松将其解决掉。这里介绍一个小软件 HijackThis,本来是用来
反浏览器劫持的,不过现在基本上都被用来清除病毒,有了它做起事来就方便多了。
可惜的是现在的“灰鸽子”可是飞得越来越高了,很多都开始利用 Rootkit 技术了。
说道 Rootkit,它也是一种编程技术,用来隐藏自身的。本身不具备危险,但是一旦被滥用
就糟了。像上面说到的利用此技术的“灰鸽子”,我们是看不到它的,在进程中看不到,在资源
管理器中也看不到。怎么办呢?送你把剑——冰刃 IceSword,它是一个网名叫做 pjf 的顶尖高
手写的,这个东西能看见几乎所有的隐藏东西。下面以一个简单的 Rootkit 病毒为例。
一个病毒实例:
如何知道自己是中了此病毒,很简单,就是用 IceSword 的进程查看,如果发现有
的存在,且此进程又属于隐藏进程,那么你多半就是中了这个病毒(注意,在 IceSword 中隐藏
进程是以红色显示的)
清除方法:
1、欣赏一下病毒的隐藏进程,你可以看看 Windows 的任务管理器中是否有此进程的存在。没
有吧,再看看 IceSword 里面,怎么样,是否显原形了。不要试图去结束它,没用的,病毒会反
复 运 行 ( 如 图 所 示 )
。
2、打开注册表编辑器或者直接使用 IceSword 附带的注册表编辑工具,展开并找到这两个键然
后将它们删除(如图所示,注意这里只列举了其中一个注册表键值):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Externtelecom]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]
3、重新启动计算机,然后找到并删除以下文件:
%Windir%\
%Windir%\System32\
%Windir%代表:
对于 9X、ME、XP、2003 系统为 windows 目录
对于 2000 系统为 winnt 目录
——上面提到的这些工具全部都可以到我的个人空间下载: (各软件的所有权归软件撰写者
所有)
经验告之,对于后门、木马这类病毒,一般都是大家在浏览一些含有病毒的网页时种下的,自
己的浏览器存在漏洞才会让病毒得逞。当然在网上下载的很多东西也会包含病毒,比如许多破
解、黑客工具这些,所以平时大家要多注意。
介绍江民杀毒软件 KV2006 的四大领先技术
接着,我就自己对 KV 的认识而言来说说 KV 的一些比较先进的技术。希望能够帮助大家能
更好地使用 KV 系列杀毒软件来防御病毒。
1、KV 的杀毒引擎是很优秀的,能够脱掉很多壳并能解开很多压缩包格式直接查杀,病毒再
怎么伪装都无法藏匿自己。
2、KV 从 2005 版本开始,就引入了一个叫做“木马一扫光”的组件,相比以前版本及其他杀毒
软件的注册表监控技术来说要全面、强大得多。这个功能,对付那些未知木马、后门等特别有
效,能够根据病毒的行为进行阻断。“木马一扫光”时刻监视着注册表的敏感区域,比如“启动
组”“文件关联”等地方,自动判断是否阻止还是询问用户如何操作。一年多下来这个功能不知道
帮助过多少用户免于新病毒的威胁。通常来说自己不比手动设置,默认的已经是比较理想的了。
下面是关于它的截图:
3、江民公司凭借多年的反病毒经验,研发了一个非常强大的“未知病毒检测工具”,以概率的
形式判断未知病毒的可能性,在 25%以上概率的文件都得引起重视。准确率是相当高的。这个
工具使用也非常简单,运行后只需要点击“扫描”按钮即可。对于扫出的可疑文件,可以右键点
击它选择“结束进程”“删除文件”等,非常方便,利用好了,还可以帮助解决许多难缠的病毒。
注意到没,这个工具有个“样本库”的功能,我们能直接将新病毒样本添加进去,通过这个“未
知病毒检测”工具直接查杀了,不需要等到下一次 KV 的升级,很方便。利用这个功能我们还可
以做许多事情,比如自己添加“流氓软件”样本查杀。实际上这就是一个非常方便的 DIY 杀毒、
反间谍软件。
4、KV2006 的一个重头戏——BootScan 功能。这个功能很实用,它的作用和 DOS 杀毒非常
相似,能够轻易解决在 Windows 环境下无法清除的病毒。这个功能只需要到 KV2006 的参数设
置中设置一下,然后重新启动计算机即可实现,无须人为干涉。前面说的“灰鸽子后门”“Rootkit
类后门”全部可以通过它轻松解决。因为不是依靠 DOS 杀毒的引擎,所以脱壳及解包能力都比
KVDOS 强,扫描速度很自然的比 DOS 下快。要是哪一天微软彻底抛弃了 DOS,相信这项技
术肯定会成为 KV 最闪亮的光点。
——KV 系列杀毒软件还有许多优点,技术先进,这些还必须从实际慢慢体会。
还是那句话,病毒也只是程序,并不可怕,可怕的是我们自己没有一种安全的信念!
