苏州大学论坛

标题: 自我保护检测 [打印本页]

作者: gao0907 时间: 2008-11-14 13:43
标题: 自我保护检测
自我保护检测
众所周知现在杀毒软件的原理都是找病毒样本，提出病毒代码，加入病毒库，之后杀毒可以轻松查杀，但对于病毒的日渐产业化，木马，流氓软件的日新月异，杀毒软件起到了为用户“遮风挡雨”的作用。对末知病毒的防御效果就理所当然的成为现在杀毒软件比拼技术的焦点，在这些杀毒软件里我认为江民kv2008杀毒软件是做的相当不错的。图1

Kv2008作为江民公司奥运年推出的优秀杀毒软件新品，在界面上有了很大改观，也给了用户很好的体验。
这里，笔者编辑了一个程序并执行一些病毒通常具备的功能，具体如下
1.尝试结束江民杀毒软件监控kvsrvxp.exe kvxp.kxp（或获得江民kv2008的窗口句柄用以关闭）
2.尝试程序本身写入注册表自启动；
3.尝试写入shell以实现windows窗口附带启动；
4.尝试复制程序本身到c:\windows\system32文件夹；
5.尝试键盘记录。
（注:这些只是基本的病毒盗取资料方法，本文意在说明江民杀毒软件功能状况，与病毒制作无关系）
下面先进行杀进程尝试：图2、3

结果显示无论在进程管理器里，还是程序都无法强制结束江民的进程，这无疑是用户的福音。因为如此强大的自我保护机制，可以保证其监控程序无法被其他程序强制结束，在随后的捕获窗口句柄的测试中也无法找到江民杀毒软件的窗口句柄（因为江民用新技术动态生成窗口）。江民杀毒软件KV2008采用窗口保护以及进程保护技术，的的确确保证了用户的安全。
如果系统关键位置复制或对注册表关键位置进行修改，江民KV又是如何处理的呢？图4

当程序想自我复制到system32文件夹时候江民给出提示，此时可以点禁止，来阻止复制，也可以结束不明程序，给了用户很大的自主性。图5

当修改SHELL时候江民也给出提示，用户可阻止不明程序，防止对注册表进行破坏。
最后，用于自启动的注册表写入和键盘监视也被江民杀毒软件成功拦截。由此可见，江民杀毒软件KV2008在未知病毒防御体系上做得很成功，也很到位，能提供给用户完全的保护。
对于普通用户完全可以使用江民自带的规则进行保护，而对于高级用户则可以自定义对注册表的保护。图6、7

更可以通过图标判断，让用户更加放心。对电脑比较了解的用户进行高级设置，能够对系统进行加固，防止病毒文件自我复制到系统目录。图8
只要我们常用江民漏洞检查工具进行系统漏洞修复，加上江民本身的强大杀毒能力和防御能力，相信可以打造一个“百毒不侵”的系统。
作为用户，我们平时注意不要访问不明网站，不使用不明的移动存储器，加上定期查毒的良好习惯，一定会使我们的系统摆脱病毒的困扰。
这里正应了一句俗话说的“好马配好鞍”。当你有一台性能出色的计算机，也应该使用一个性能出色、功能强大的杀毒软件。
电脑有价，数据无价，相信我们会逐步地摆脱计算机病毒的困扰。

欢迎光临苏州大学论坛 (http://suda.myubbs.com/)