我眼中的杀软、360和KV2008

gouying0907

我眼中的杀软、360和KV2008

我从06年6月开始用KV06(好兆头啊，太顺了，呵呵)，经历KV07至KV08，我对KV系列的评价就是：可以信任，比KV好的杀软有，不止一个，但KV也值得信任。这就够了，不需最强，我已熟悉他的每个设置，每个功能，KV在我手里能物尽其用，实际效果至今无须重装系统，电脑里隐私无忧，但从不求从此无毒，因为没有哪个杀软能保证~~~~所以，从无换杀软的念头。

   杀软虽然只装了一个，安全论坛却逛了无数，时间久了，感想也多了，简单点：

   一、关于安全组合

各个坛子都有，有炫的，有问的，有荐的，什么A+B、A+C、B+D。。。。等等无穷排列组合（指杀软组合，非墙、杀组合）。我的看法是：如果一个杀软要靠另一款杀软配合才能保护系统安全，那他在现在的网络环境下就是不合格的杀软。而且这个1+1<2的。没有绝对安全，省省吧，把研究组合的时间用来学习、工作、泡MM、打星际多好。但如果你只是把研究组合当娱乐那就当我没说哈。

  二、关于杀软占用资源的争论

这个争论经常看到，甲说A死垃圾，装了拖我机子。。乙说你才垃圾，不会用表乱说，我设置好了跑的得得的。都没说错，A的错。我的看法是：没哪个杀软适合任何机子的，卡不卡装了才知道，你的不卡不代表别人用了也不卡，反之亦然。设置有影响，但不是决定性因素。当然，有的杀软用起来卡的人少些，如NOD32，但也绝非每台机子装了都会流畅。没有绝对适合。

   三、关于杀软好坏的标准

现在人最关心这个了，我觉得这个标准恐怕是世界上最难定的标准之一了，因为杀软是个性化的东西，每个人的需要、习惯、水平甚至脾气（呵呵，不要笑，杀软需要对个人脾气的）都不同，心目中的标准都不同，无法细化操作。唯一具有极强操作性的标准就是病毒包扫描检测，所以才有赶考般的VB100，但病毒包检测就那么重要吗？通过VB100的就真的是众望所归的不二之选吗？我倒是认为VB100的重要性将逐年下降至可有可无。我的标准是：

1、前提：自我保护，不卡，看着顺眼，英文的不要，日本韩国的不要，官方声明和在口水战中说的话不对我脾气的不要。

2、认的出：这一条才关系到病毒包检测率，当然引擎越强越好，脱壳能力越强越好，毒库越大越好。这里唯一无法标准化的就是启发报毒了，你可以当他是主动防御，也可以当他是常规报毒，但对于普通用户来说，只会把他当常规报毒，一如害怕主动防御提示一样，当然就有误报在里面，所以有些高检出率是以增加误报率为代价的，如何选择，相信每个人都有不同的标准。

3、杀的死：检出了还有杀不死的？对！杀不死和认不出对许多人来说无本质区别。杀的死还分删除和清除，清除能力强也是衡量杀软的指标之一

4、防的住：认不出的东西下来了，能不能智能判断或帮助用户判断是否恶意程序？这东西现在流行，当然看谁全面和人机交互好。

所以检出率真的那么重要吗？举个例子来说明衡量杀软好坏的标准真的很个人化：有一朋友的电脑中毒了，弹网页，卡机，他原来用的是我帮他装的KV07中天破解的那种（他就喜欢不花钱的，呵呵），但后来无法升级了就一直没升直至中毒，中毒后他先找了另一朋友，装上卡巴能查出毒，但杀不死。我去后还是卸卡巴上KV，当时中天关闭，我也没带光盘和U盘，懒得费事，试着用KV的未知工具配合系统监控把毒清了。还遇到过KV和卡巴都能扫出但都无法杀除最后用KV的BOOTSCAN杀掉的情况。这也是我喜欢KV的原因之一，其他许多杀软杀不掉就是杀不掉，没办法想，扫的出杀不掉如果不借助第三方工具或杀软就是死翘翘，而KV虽然也不是一定能怎样，但至少有办法想。

检出率真的那么重要吗？比如脱壳能力，病毒加了壳认不出了，但运行了还是会被识别杀掉的。当然运行了有些就杀不掉了，但过扫描就是过杀软吗？没有绝对标准。每个人根据自己的能力按照自己的标准选择适合自己的杀软，以自己电脑最终的安全为标准，不要认为自己选的杀软就高人一等。至于我，如果无法兼得，我选择高防御，不要高检出。

  最后说说KV08

KV08的引擎不是最好，毒库不是最大，升级不是最及时，主动防御不是最强，优点就是防护的比较全面，虽然各项指标都不拔尖，但对于大多数用户来说我觉得足够了。我电脑里除了KV08以外无任何安全软件，墙也用的系统自带的，设置里所有项目都是打开的（除了服务器模式和严厉模式），用电脑的习惯也是“自由式”，除了不乱装东西外（到不是怕中毒，是对软件要求高），U盘随便插，网站随便进（有时论坛里发的毒网挨个进去试），说实话，倒也不是KV有多强，如果你补丁打齐了，加上KV的网页防马墙（不过搞不清这个墙在其中起了多大的作用），你想通过网页中个毒不是那么容易的，习惯IE的朋友建议用IE7，安全性不是IE6能比的。

至于KV的兼容性和BUG我到是极少遇到，从06到08都很顺，机子也很快，我觉得这个和机子的配置是没有多大关系的，开始08出来时我还是512的内存，用着挺好，后来加到1G，感觉也差不多，帮朋友装的KV也都没什么问题，但都有一个共同之处，就是我帮朋友装其他杀软我用他们的原系统，如果装KV我就帮他们装新系统，我的系统碟是拿深圳市政府的原版光盘直接对刻的，非常纯净，装后不用任何优化软件，而且装好后还要警告他们，不要自己偷着装360那个垃圾啊，如果装了电脑以后出问题我不管。其实倒也不是装KV非得这样，只是我这样没问题，而他们出问题就会来找我，以防万一，把烦我的可能性降到最低，干脆“克隆”一个算了。当然他们平时也只是玩玩游戏，上上网，电脑环境比较简单。

当然也不是没有一点问题，这应该是KV本身的BUG了：

问题一、以下情况时会出现假死：1、开机至登陆密码窗口，如果不马上登陆，等5~10分钟再输密码登陆，进入桌面假死；2、打开浏览器浏览网页，如果长时间不操作或长时间浏览后（无法确定多长时间），这时关闭浏览器，马上打开KV的任务管理器或设置，会假死。除此无假死现象。

问题二、自动升级后，网页监视失效，文件监视走到前台，当然，网页监视失效了隐私保护也暂时失效了，直至下次重启或开机。

问题三、系统监控白名单里的程序信任范围选项，其他选项如文件操作等都能永久保存设置，惟独注册表操作选项无法永久设置，下次开机或一定时间后设置即还原。

gouying0907

注册表也惨遭RPCSS毒手

Win32/Infectrpcss.a“RPCSS毒手”变种a是“RPCSS毒手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程以及几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“RPCSS毒手”变种a运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“csrss.dll”，并释放病毒组件“sh01008.dll”到“%SystemRoot%\system32\”目录下。“RPCSS毒手”变种a是一个专门盗取“完美世界Online”、“诛仙Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。同时，“RPCSS毒手”变种a还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，千万不要在当前被感染计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同密码保护资料一同被骇客所盗取，给游戏玩家造成更加严重的损失。“RPCSS毒手”变种a还会利用域名映像劫持技术在被感染计算机的后台强行篡改系统Hosts文件，屏蔽某些网络游戏的官方站点，从而阻止了用户对这些网络游戏网站的访问，达到了用户在账号失窃后无法立即取回密码的目的。“RPCSS毒手”变种a还会利用进程守护技术来实现对自我的保护。该木马通过替换系统文件“rpcss.dll”的方式来实现开机后自动运行。如果安全软件直接查杀掉被木马替换的“rpcss.dll”文件的话，将会导致被感染计算机出现无法连接网络、系统复制（粘贴）功能失效、桌面程序“explorer.exe”启动缓慢等异常现象，严重地影响了用户对计算机系统的正常使用。


Trojan/Regrun.fg“注册表蛀虫”变种fg是“注册表蛀虫”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“注册表蛀虫”变种fg运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“server.exe”，将创建时间修改为系统安装日期，并将该文件与原文件设置为系统、隐藏等属性。强行篡改注册表相关键值，对被感染计算机系统中的“显示系统隐藏文件”、“安全模式”、“系统还原”等功能进行破坏或关闭，从不同程度上干扰了被感染计算机系统的正常运行。“注册表蛀虫”变种fg运行时，会释放恶意DLL组件（KV2009检测为“Worm/AutoRun.bsv”）至内存指定区域中，随后强行关闭桌面进程“explorer.exe”，运行自身的副本后再将释放的DLL病毒文件注入到新启动的“explorer.exe”进程之中加载运行。在后台尝试连接骇客指定的远程站点“one-dream.g**p.net”，并将窃取到的用户私密信息发送到其中，使得被感染计算机用户的个人隐私受到了不同程度的侵害。另外，“注册表蛀虫”变种fg会通过在系统注册表启动项和其它项目中添加键值的方式来实现木马的开机自启动。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.as