多维防护 看KV2008强大安全防御能力

　　使用江民杀毒软件KV2008有一段时间了，对于新一版的KV与此前的版本有什么不同呢?下面就看看我的亲身体验吧!(注：本文以Windows XP SP2为测试平台)

　　一、初识江民杀毒软件2008

　　打开KV2008，界面首先映入眼帘的依然是那么简洁、清晰的界面，给人朴素大方的印象。

　　界面左边依然是那三个醒目的按钮：扫描目标、扫描结果、监控中心。点击“简洁目标”选项卡中的任意一个快捷方式都可以进行查杀病毒，旁边的几个选项也可以详细设置查杀目标以及方便用户的在线升级和软件设置。KV2008依然继承下KV2007的菜单栏风格，这样更加方便用户的已有习惯，使用户不会因升级杀毒软件而改变习性，从中可以感受到KV2008的人性化设计。

　　KV2008也同样继承了KV2007的所有优点，而且还加强了其“主动防御”功能。江民的“主动防御”可以实时监控系统中是否存在木马、保护IE，监视是否有可疑进程以及注册表，这样可以最大限度地保护系统免遭病毒、木马以及系统本身漏洞的威胁。

　　再看看系统资源占用方面。KV2008比以前的KV系列更加注重系统资源占用问题，运行中仅仅占用了10MB左右的物理内存，加上虚拟内存，也不过50MB。

<

　　而现在的内存价格已经跌到白菜价了，2GB的内存用户也不在少数，区区50MB内存的占用，就可以得到系统全面的保护，资源占用情况十分令人满意(注：目前是打开江民默认的系统防护的，包括文件监控、网页监控、邮件、脚本以及主动防御功能)。

　　二、体验江民2008的全新功能

　　毋庸置疑，江民的每次升级都会给用户带来更丰富、更人性化的服务。下面就着重介绍“江民安全助手”和“进程查看器”这两大新功能。

　　1.江民安全助手。在流氓软件横行的今天，有一款强力查杀流氓软件的工具是每台计算机必不可少的需求。KV2008的“系统安全”里集成了“江民安全助手”工具。

　　点击左方的“检测列表”按钮，软件就立即进行查杀。我自认为自己的系统非常干净，但是出乎我意外的是，江民的“江民安全助手”马上就查杀出来了一款流氓软件的残留项目。实在是令人佩服江民的恶意软件查杀功力!当然，在“江民安全助手”的左侧，还有其它的功能。我发现，在左下角有一个“系统修复”的按钮，这个可以在查杀病毒之后，如果病毒破坏了系统的关联(如杀毒之后无法打开exe文件)，就可以用这个功能进行修复。

　　修复方法十分简单，直接点击右侧的“修复”按钮即可。

　　2.进程查看器。江民2008中也集成了“进程查看器”功能。下面以十分猖獗的“上兴”木马病毒为例来说明KV2008的“进程查看器”强大的功能。众所周知，“上兴”木马采用Rootkit技术，使自身的运行级别提升到Ring0，从而使系统自带的“任务管理器”无法查看其进程，这也是为什么使用Rootkit技术的病毒十分难以查杀的原因。但江民的“进程查看器”可以完美越过Ring0级别的限制，从而让使用Rootkit的病毒无处藏身。

　　图5是使用IceSword来查看进程的截图，可以充分说明江民的“进程查看器”功能十分强大)。另外，江民的“进程查看器”还可以定位某个进程的网络连接状态、查看某个进程的模块信息、线程信息以及将该进程加入黑名单中以及其它一些功能.

　　这些都是系统自带的“任务管理器”所不能比拟的。由此可以看出，江民“进程查看器”的功能不容小视。

　　三、KV2008——反毒的利剑

　　现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标，也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样，没有实质的东西，当然这样的软件也不能称之为杀毒软件。通过实用，可以看出江民杀毒软件独自核心杀毒技术的有效性，而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。

　　1.利剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒，其破坏性不亚于当年的“冲击波”病毒，但是现在人们的防范意识逐渐提高，才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视，所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。

　　中了“魔波”病毒变种之后，病毒会在%systemroot%\system32目录中生成"wgareg.exe"病毒文件，并且会将自身加入系统服务中，使系统自带的“任务管理器”无法结束其进程。

<

　　经过在虚拟机上的病毒行为分析之后，传统查杀方法如下：右击“我的电脑”进入“计算机管理”中，选择“服务和应用程序”中的“服务”，选中病毒创建的服务"Windows Genuine Advantage Registration Service"，将其“启动类型”设置为“已禁用”，下次计算机启动的时候就不会加载该服务;再定位到%systemroot%\system32目录下，将"wgareg.exe"程序删除;最后进入注册表，将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg键值全部删除即可

　　虽然这样可以杀除“魔波”病毒，但是对于很多计算机用户来说，毕竟还不是很容易。KV2008完全考虑到了这一点，使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。

　　打开KV2008，在菜单栏中选择“系统安全”，选择“进程查看器”，再定位到"wgareg.exe"这个进程上，可以清楚地看到，江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。

　　这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程，选择“结束进程”即可将该进程结束，之后进入该病毒的文件夹中，将其删除即可彻底查杀该病毒。值得一提的是，江民的“进程查看器”不仅仅是简单的结束一个可疑的进程，它还会将这个可疑进程的服务给关闭掉(这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程，而江民却可以的原因)。再进入%systemroot%\system32文件夹下将病毒文件删除，最后清理注册表即可。

　　从这里可以看出，江民的杀毒能力堪称一流，即使是一款附带的“进程查看器”都有这样强大的功能，不难看出江民强悍的杀毒能力!

　　2.利剑斩木马。木马在这个时代是越来越猖獗，灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道，给信息安全带来了极大的隐患。它们所使用的技术也是不断更新，有的使用系统文件名漏洞来隐藏自身，有的是使用与其它程序进行捆绑来隐藏自身，还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段，江民杀毒软件都可以有效查杀这些木马!

　　这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。

　　如果中了最新的“上兴”木马之后，它会冒充iexplorer.exe和calc.exe进程(当然，对于不同的木马配置，这两个进程会有所改变)，并且使用Rootkit隐藏这两个进程，在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程

　　但是如果直接将其结束进程之后，并不会得到想要的结果，结束进程之后不一会儿它们的进程会再次启动。由此可以知道，“上兴”木马是使用双进程保护技术的，如果其中一个进程被结束了，而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护，导致江民的“进程查看器”无法将其结束。

　　但是和上面的“魔波”同样是系统服务，为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为，“上兴”木马是使用的进程插入技术，将自身插入到iexplorer.exe和calc.exe中，而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的，所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此，iexplorer.exe和calc.exe就会不断的被启动，并且相互保护对方的进程。

　　既然“上兴”使用的是系统服务来保护自身，那么就可以找出“上兴”的服务，从而对症下药。单击“开始”菜单，选择“运行”(快捷键是Win+R)，输入“msconfig.exe”(不含外边中文引号)，打开“系统配置实用程序”，之后切换到“服务”选项卡，再将“隐藏所有的Microsoft服务”复选框选中，就可以清楚的看到哪些服务不是系统服务了。

　　很明显，"Windows_Rejoice2007_45"是一个非常可疑的服务，之后再右击“我的电脑”选择“管理”，进入“服务”，再找到"Windows_Rejoice2007_45"服务，将其“启动类型”设置为“已禁用”

<

　　再打开KV2008，打开“任务查看器”，将iexplorer.exe和calc.exe结束，最后进入Windows目录，将病毒删除即可。

　　3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己，比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点，使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹，双击打开之后就会出现错误的提示，

　　这样我们就无法进入这个文件夹中清除病毒了。

　　但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒，清理起来非常简单。直接扫描后杀毒就可以清除了，：

　　请仔细看这幅图片的查杀路径，是D:\Lab\Virus.\wgareg.exe)。不仅如此，KV2008也可以直接查杀SYSTEM帐户控制的文件夹(通常情况下，这类文件夹是Administrator类型的帐户无法访问的)，比如系统还原文件夹。不得不说KV2008的查杀能力之强大!

　　四、如虎添翼——第二层防御

　　江民也同样推出了KV2008版防火墙。令人兴奋的是，江民防火墙是完全免费的，也就是说完全没有升级限制。而江民防火墙也具有相当强大的网络处理能力，抵御繁多的网络攻击，如同给KV2008添加了更强大的防御力。江民防火墙具有强大的网络监控能力。如果说某个程序第一次访问网络，那么江民防火墙就会弹出“江民防火墙应用程序服务网络审核通知”的对话框。

<

　　这个消息框可以让用户自行选择是否允许该程序访问网络，当然对于十分可疑的程序访问网络，也可以完全禁止。如今的木马大多都采用反弹连接技术，江民防火墙无疑可以抵御这种木马从本地访问网络。

　　江民防火墙拥有查看当前网络连接进程的功能，这一点对于用户来说是非常重要的。这样的功能，使用户可以很容易地分析哪些进程非法访问了网络。

<

　　如果某个进程是非法进程，并且不断地向外发送大量的数据包，那么就极有可能是木马或者其它可疑进程了。在江民的网络连接查看窗口中也可以结束用户认为可疑的进程，随时都可以阻断木马访问网络。

　　对于一个防火墙来说，它的IP规则才是最核心的部分。每一个网络数据包都必须经过防火墙的IP规则，如果被IP规则不允许通过的数据包都会被拦截下来，因此好的IP规则不仅可以更进一步的保护系统网络安全，而且还可以起到事半功倍的效果。下面我们就来为江民防火墙添加自定义网络规则。

　　在江民防火墙的界面上点击“设置管理”，进入防火墙设置界面。江民防火墙有多种选项，可以设置ARP启动功能，也可以设置IP规则，还有区域控制、参数设置，以及查看允许联网的程序。点击“IP规则”可以看到其中已经有很多设置好了的规则，

　　这些默认规则可以阻挡许多病毒的攻击。但是如果用户中了QQ木马，木马会自动向外发送邮件，那么这时候就需要我们自行添加规则了。单击“添加”，在“规则描述”中添加名称、说明，由于木马会自动向外发送数据包，所以在“网络条件”中选择“发送数据包”，至于IP地址嘛，对方当然是“任意地址”咯，“本地地址”可以不用管，在“协议”中选择“TCP”，由于木马发送邮件通常是25端口，因此在“本地端口”中选择“指定端口”再填入“25”即可，在“规则对象”中选择“所有程序访问网络时”，最后在“当所有条件满足时”中选择“拦截”即可阻挡木马向外发送邮件。

　　最后保存该规则将其的复选框选中就好了。

　　最后的话：以上依个人感兴趣的方面阐述了江民杀毒软件2008的相关功能，其都可以归于两个字——强大。

　　江民杀毒软件从十年前的KV300到现在的江民杀毒软件2008，其中经历了无数的磨练才有今天的辉煌。当我们按下“扫描”的时候，谁又能知道这一个小小的按钮集成了多少江民反病毒工程师的劳动结晶呢!

　　江民杀毒软件，愿你做用户电脑最坚强的保护神!

　　注：本文由江民授权转载