[转帖] 用好卡巴的主动防御

kwangjoo

　　用好卡巴的主动防御
　　卡巴6有个主动防御，用不好会带来麻烦，用得好的话还是能够派上大用场的。

　　先大概看看卡巴主动防御的模块。

　　

　　这里要说明的是程序完整性保护要关掉，它在大多数电脑上会导致卡巴狂占CPU（有可能是经常HASH文件的结果），除非你对你的电脑非常有自信，否则最好不要打开它。

　　还有程序活动性分析，这个模块是很多兼容性问题的来源，如果出现兼容性问题可以把这个模块关掉，或者把有兼容性问题的程序（比如讯雷主程序）加入信任区域不控制其活动性。

　　程序活动分析：

　　

　　上面是我的设置。

　　“运行IE浏览器参数”可以勾掉，因为虽然有木马通过此方法穿墙，但是例子不多，反而误报却很多。“隐藏进程”的周期可以适当缩小。顺便说一说，卡巴的隐藏进程功能还是非常出色的，几乎所有Rootkit都会被找到（连可以躲过早期IceSword的Futo都逃不了哦）。“Windows钩子”最好阻止掉，键盘嗅探型木马会用到，但很少有正常程序会用（一般是鼠标、键盘辅助程序，但不多）。顺便说一下，卡巴主动防御比较令我郁闷的是，它居然没有对抗GetKeyState和GetAsyncKeyState这种白痴键盘嗅探方法的防御，现在解决的方法就是密码复杂点，大小写混合。

　　这里特别要提一下“侵入到进程”，DLL注入木马等会用到，但是还是有正常程序会用的，比如珊瑚虫QQ（CoralQQ.exe）、金山词霸（XDICT.exe），最好把它们统统加到信任区域（设置->信任区域）让卡巴不控制它们的活动性。

　　再提一下金山词霸，金山词霸2006以前的版本在使用屏幕取词的时候不单单会侵入到其他进程，还会导致其他的进程数据执行（Data Execution，溢出利用程序的特点），所以如果要用它的话，还要把危险行为的钩去掉。

　　注册表防护：

　　

　　先以HOSTS File为例：HOSTSFile这个文件就是本地域名解析，正常程序不会用到。

　　

　　双击HOSTS File后，选择“规则”，请配置卡巴修改“阻止”，删除“阻止”。

　　System Startup（系统启动项）：如果你的系统极少有程序变动的话也可以考虑如上修改，这样可以让大多数木马失去作用。

　　Internet Security和System Security，网络安全与系统安全，这两个正常程序几乎不会用到，可以大胆地全部阻止。

　　Internet Plugins（IE插件），这两个是流氓软件、广告程序的目标，阻止掉。不过也有一些正常程序会用到，比如讯雷有个LanguageSetter.exe，每次启动时都会重新创建那个“用讯雷下载”菜单。可以把特例加进信任区域（不会很多的）。

　　Internet Settings（IE设置），建议保留默认。

　　System Services（系统服务，也可算作自启动一种）这项在安装新软件时和使用一些与系统比较紧密的软件（比如IceSword、FileMon、RegMon等）会用到。建议这项保留默认设置，由用户根据情况决定。

　　再提一点，最好把Internet Explorer和X:\Windows\System32\msiexec.exe加入信任区域不控制注册表。前者是因为有些IE插件（如GoogleToolbar）和IE自己会修改IE设置。后者是因为现在很多软件是通过Windows Installer安装，在安装这些正常程序时没必要控制它们（你可能会想到捆绑的流氓软件，不必担心，大多数情况下流氓软件都是独立的EXE，仍然会被监视到）。

　　Office防护：

　　这个就没什么好说的，防宏病毒的。先把操作改成终止吧。

　　

　　卡巴监控了几个宏病毒使用频率极高的行为，其中也只有和ActiveX相关的行为正常宏代码可能会用到，可以酌情勾掉。

　　水平有限，错误之处请指出。

好帖子
早就想看看研究卡巴设置的帖子了！
顶！！！

这些都是LZ自己的设置吗？那个程序完整性保护是一个什么概念？是不是更改文件的时候会提示操作那样的？

谢谢楼主的帖子啊，却很是有作用

我直接把程序完整性保护和程序活动性分析全部关掉了，经常出现提示，很烦

现在用卡巴的好多。连我这个忠实的Norton迷也为试卡巴重装了系统。
确实不好上手，天天看说明书

赞一个。..到公司去设置...呵呵。..家里的就不要了。.

승부에서 이기는 일

1매의 초대장에 돌아가는 것은 곧 자고 졸렸다!

总是提示,确实烦........

学习了 谢谢LZ