由於KAV更新的很快,所以我也要有對應的更新設定說明出來
一些功能還有性能上的介紹由於之前那一篇有了,所以這次就不再做一次了
所以就把這篇當作是一個簡易的教學吧
主畫面
掃瞄
服務
更新:
如果更新發生錯誤,可以按Rollback (回覆)
檔案紀錄:
預設一個月會自動清理一次,如果發現KAV 變的很慢可以定期清理這些檔案
設定方式
Potentially dangeroug software 這項不建議開啟,如果開啟了會報一些駭客程式,遊戲外掛等
監控設定:
直接選擇最低級別,已換取最佳的性能
注意!這樣設定一定得做一次全機掃瞄,建立NADS (NTFS資料串流)
掃瞄完成此後KAV 只會掃瞄經過變更的檔案,大幅降低系統資源的佔用
網頁防護設定:
直接按"自訂",將Limit fragment buffering time 秒數改為"0"秒,如此可以加快開網頁的反應時間
掃瞄時的設定:
如果發現你的KAV 掃描速度很慢的話
可以試著把Concede resources to other application 取消,不要把系統資源分給其它應用程式
啟動掃瞄:
取消"Run on system start"以增進開機後的等待時間
更新設定:
設定為每小時更新一次,然後按自定進入下一個頁面
把服務器位置改成"日本"更新速度非常快,破100kb/s以上是基本速度
免疫防護設定:
由上到下分別為 "應用程式行為分析" , "應用程式行為控制" , "註冊表防護" , "Office文件防護"
應用程式行為分析
KAV 的行為判斷功能雖然只是一個附屬子程式
但功能非常強大,尤其是偵測Rootkit 的的能力非常強悍,幾乎沒有會被遺漏的Rootkit
KAV 的免疫防禦中的應用程式行為控制功能預設是不開啟的
因為一般人不太會操作這個子系統,我這裡稍為說一下簡單的設定跟排除方法
首先這個功能的原理很簡單,在電腦裡的任何操作都會受到KAV 的監控
不同於緝毒引擎的偵測方式,它是直接對程序的行為進行分析
目前使用這種發式的防毒軟體除了KAV 還有Panda , F-Secure 等
其中Panda 還用來當作它的進階型啟發式引擎
如此一來對於未知威脅的防禦比起最強啟發式的NOD32 還要強悍不少
但KAV 提供的行為分析,屬於比較困難缺乏智慧的這種類型
所以需要一點專業知識,跟自己排除一些不是"威脅"的程式行為
已下只是很簡單的例子,由於每個人電腦安裝的軟體不盡相同
所以會遇到的情況也不一樣,要是出現問題,依照下面的方式依樣畫葫蘆就可以了
排除的程式:
wuauclt.exe , msiexec.exe , iexplorer.exe
wuauclt.exe 為windows系統自動更新的程式, msiexec.exe 則是用來安裝副檔名為*.msi 的安裝檔
跟iexplorer.exe 一樣執行時會有修改註冊表的必要,由於這些都是信任的程式,所以可以排除註冊表監控
svchost.exe, services.exe , msnmsgr.exe , msmsgs.exe
svchost.exe 它會常常調用*.dll 檔案,有時會有傳送封包等的需求所以設為不受網路監控
services.exe 為系統服務管理原件,有時會修改註冊表,所以設為不受註冊表監控
msnmsgr.exe 跟msmsgs.exe 常會有很多連網動作,由於MSN是信任程式所以也設為不受網路監控
應用程式行為控制範例
這裡教大家用應用程式行為控制來讓小紅傘更新時永遠不會彈出廣告
加入avnotify.exe 然後把execute action (執行動作)設為block,
Content modification (修改內容) 設為block,run as child process (執行子程序) 設為block
把avnotify.dll 這個檔案加進來,設為block
設置完之後小紅傘更新就再也不會跳出廣告了
應用程式行為分析範例
拿木馬來舉例,假設現在有一隻木馬緝毒引擎本身偵測不到
我們執行它,藉由木馬本身的行為告訴我們它要做的是什麼事情
它可能會開啟某個port 對外傳送封包,或是連上其它網站下載病毒
行為模式就是木馬調用svchost.exe 傳送封包,或是調用iexplorer.exe 下載病毒
這時候發現了這樣的行為,KAV 它就會提示
圖中偵測到入侵,但是我試試看按SKIP (跳過)會如何?
結果它還是又繼續提示了一遍,這時我選擇terminate (中止)
提示該程序為木馬,再按一次終止後該木馬就停止運行了
有些情況下,KAV 會自動將威脅程序刪除
2007.3.22 新增 BitComet,eMule 規則
1.BitComet
最近有人回應BitComet規則的問題
雖然KIS 沒有內建規則,但是TCP/UDP 全部允許後還是可以正常使用
不過這樣子的話安全性就降低了
所以我提供一個可以使用BitComet 下載然後又很安全的規則
不過因為每個人的電腦放BitComet 的地方都不一樣
開的port都不同,所以需要手動修改一下規則檔
修改方法
首先用記事本打開ini 檔案
CODE:
App=D:\BitComet64\BitComet.exe把"D:\BitComet64\BitComet.exe" 改成你自己BitComet 的目錄然後打開自己的BitComet 在選項>網路連接>監控連接阜
這邊看你自己的是哪個PORT
然後在ini檔裡搜尋"8854"
把"8854"改成你BitComet 所監控的連接阜
改好後儲存
然後把該ini規則檔放在非中文路徑的目錄底下
然後進入駭客防護程式(AntiHacker) 的設定頁面
在下圖的右下角按匯入(記得先刪除之前自訂的規則!)
完成後按確定並套用規則!
之後你使用BT的時候不但下載速度不會降低
而且也不用擔心安全性方面的問題!
2.eMule
規則跟BT的一樣要修改一些地方
首先一樣要些改程式路徑
CODE:
App=D:\eMule0.47a-EastShare_v11-bin\eMule.exe把"D:\eMule0.47a-EastShare_v11-bin\eMule.exe" 改成你自己eMuel 的目錄
再來打開自己eMule 並進入>選項>連線>客戶端連接阜
看一下你自己的TCP/UDP 各是哪一個PORT
然後在ini檔內容中搜尋"4661",把所有的"4661"改成你自己的TCP連接阜
改好後再搜尋"4672",全部改成你自己的UDP連接阜
修改好後儲存ini 檔案
並放置在非中文路徑的目錄裡頭
一樣在這個地方匯入(如原先已設有eMule 規則請刪除後再匯入!)
emule_規則.rar
(2007-03-22 17:17:20, Size: 377 B , Downloads: 39)
BT_規則.rar
(2007-03-22 17:17:20, Size: 349 B , Downloads: 65)
我也來說兩句 查看全部評論 相關評論