Kaspersky AntiVirus 6.0 設定及免疫防護簡易教學

這是一篇稍微詳細一點的設定說明
由於KAV更新的很快,所以我也要有對應的更新設定說明出來
一些功能還有性能上的介紹由於之前那一篇有了,所以這次就不再做一次了
所以就把這篇當作是一個簡易的教學吧


主畫面



掃瞄



服務


更新:
如果更新發生錯誤,可以按Rollback(回覆)


檔案紀錄:
預設一個月會自動清理一次,如果發現KAV變的很慢可以定期清理這些檔案



設定方式
Potentially dangeroug software 這項不建議開啟,如果開啟了會報一些駭客程式,遊戲外掛等



監控設定:
直接選擇最低級別,已換取最佳的性能
注意!這樣設定一定得做一次全機掃瞄,建立NADS(NTFS資料串流)
掃瞄完成此後KAV只會掃瞄經過變更的檔案,大幅降低系統資源的佔用



網頁防護設定:
直接按"自訂",將Limit fragment buffering time秒數改為"0"秒,如此可以加快開網頁的反應時間



掃瞄時的設定:
如果發現你的kav掃描速度很慢的話
可以試著把Concede resources to other application取消,不要把系統資源分給其它應用程式



啟動掃瞄:
取消"Run on system start"以增進開機後的等待時間



更新設定:
設定為每小時更新一次,然後按自定進入下一個頁面


把服務器位置改成"日本"更新速度非常快,破100kb/s以上是基本速度



免疫防護設定:
由上到下分別為 "應用程式行為分析" , "應用程式行為控制" , "註冊表防護" , "Office文件防護"




應用程式行為分析
KAV的行為判斷功能雖然只是一個附屬子程式
但功能非常強大,尤其是偵測rootkit的的能力非常強悍,幾乎沒有會被遺漏的rootkit



KAV的免疫防禦中的應用程式行為控制功能預設是不開啟的
因為一般人不太會操作這個子系統,我這裡稍為說一下簡單的設定跟排除方法

首先這個功能的原理很簡單,在電腦裡的任何操作都會受到KAV的監控
不同於緝毒引擎的偵測方式,它是直接對程序的行為進行分析
目前使用這種發式的防毒軟體除了KAV還有Panda , F-Secure等

其中Panda還用來當作它的進階型啟發式引擎
如此一來對於未知威脅的防禦比起最強啟發式的NOD32還要強悍不少
但KAV提供的行為分析,屬於比較困難缺乏智慧的這種類型
所以需要一點專業知識,跟自己排除一些不是"威脅"的程式行為

已下只是很簡單的例子,由於每個人電腦安裝的軟體不盡相同
所以會遇到的情況也不一樣,要是出現問題,依照下面的方式依樣畫葫蘆就可以了


排除的程式:
wuauclt.exe , msiexec.exe , iexplorer.exe
wuauclt.exe 為windows系統自動更新的程式, msiexec.exe 則是用來安裝副檔名為*.msi 的安裝
跟iexplorer.exe 一樣執行時會有修改註冊表的必要,由於這些都是信任的程式,所以可以排除註冊表監控


svchost.exe, services.exe , msnmsgr.exe , msmsgs.exe
svchost.exe 它會常常調用*.dll 檔案,有時會有傳送封包等的需求所以設為不受網路監控
services.exe 為系統服務管理原件,有時會修改註冊表,所以設為不受註冊表監控
msnmsgr.exe 跟msmsgs.exe 常會有很多連網動作,由於MSN是信程式所以也設為不受網路監控



應用程式行為控制範例
這裡教大家用應用程式行為控制來讓小紅傘更新時永遠不會彈出廣告
加入avnotify.exe 然後把execute action (執行動作)設為block,
Content modification(修改內容) 設為block,run as child process(執行子程序) 設為block


把avnotify.dll 這個檔案加進來,設為block
設置完之後小紅傘更新就再也不會跳出廣告了



應用程式行為分析範例
拿木馬來舉例,假設現在有一隻木馬緝毒引擎本身偵測不到
我們執行它,藉由木馬本身的行為告訴我們它要做的是什麼事情
它可能會開啟某個port對外傳送封包,或是連上其它網站下載病毒
行為模式就是木馬調用svchost.exe 傳送封包,或是調用iexplorer.exe 下載病毒
這時候發現了這樣的行為,KAV它就會提示

圖中偵測到入侵,但是我試試看按SKIP(跳過)會如何?


結果它還是又繼續提示了一遍,這時我選擇terminate(中止)


提示該程序為木馬,再按一次終止後該木馬就停止運行了
有些情況下,KAV會自動將威脅程序刪除