卡巴斯基KIS2009(KIS8)使用简介---（致新手）BY-Wangjay1980 [7.31添加HIPS新手进阶]

wangjay1980

1.如何合理安装卡巴8？

卡巴的安装装有两种方式：默认安装和自定义安装。
默认安装：将安装所有卡巴的功能组件，路径为“系统默认”，处理模式为“自动”，“家长控制”功能状态为关闭。
自定义安装：可以自选卡巴的功能组件，自定安装路径，自选处理模式（自动或交互）



我建议大家采用“自定义安装”方式，可以根据自己的需要，灵活定制卡巴。
我自己一般都会取消我不需要的“Email and IM（邮件和即时通讯监控）”“Anti-Spam（反垃圾邮件）”“Anti-Phishing（反钓鱼）”“Parental Control（家长控制）”这四个组件。
安装本来是最简单的地方，但是也往往是大家最容易忽视的地方，我看到很多卡巴使用者，也许是没注意，也许是比较懒，直接选“默认安装”，结果是许多自己根本用不着功能都装上了，这其实是一种浪费。所以，从现在开始定制适合你自己的卡巴吧。




注意：安装完毕重启后，首次进入系统会稍慢一些，这个是正常的，以后就会恢复正常。


2.如何合理设置卡巴8？

卡巴8的设置其实大部分都与卡巴7类似，不同的地方，主要是卡巴8的新功能导致的,另外就是设置都要根据自己的情况，没有什么最好的设置，只有最适合自己的设置。
我主要介绍一下各项设置的实际意义，和我的推荐，至于具体如何设置，你自己决定。（部分非关键内容省略）

A.反病毒设置----文件和内存监控 (Files and Memory)

文件类型（File types）：
扫描所有文件：扫描一切文件，优点是不会有遗漏，缺点是会耗费更多的资源。
按文件内容扫描（推荐）：根据文件的内在来扫描，优点是不会被文件外表迷惑，缺点：还没想到。
按扩展名扫描：你可以自己查看卡巴给出的扩展名列表，就是根据那个列表的扩展名来扫描，优点是耗费最小的资源，缺点是可能会漏掉某些特殊的文件
保护范围(Protection scope)：
所有硬盘（推荐）：我自己一般只保护我的系统盘，缩小范围有助于提高效率：）
网络驱动器：这个应该是针对局域网共享的，可以不选
移动磁盘（推荐）：什么U盘，移动硬盘等


扫描方式(Scan methods)
特征码：这个是默认必须，没得选择。
启发式：这个是可选的，开启后有三档“低，中，高”。从“关闭—低—中—高”的资源占用是“最低—低—中—高”。建议关闭。
扫描优化(Scan optimization)
扫描新建或改变的文件（推荐）：就是对已扫描过并且没有改变的文件不再扫描，提供监控效率。
扫描压缩文件（Scan of compound files）
扫描压缩包：压缩软件压缩后的包，默认关闭就好
扫描安装包：打包工具打包后的安装包，默认关闭就好
扫描OLE对象：这个我也说不清楚，自己百度一下，默认关闭就好


扫描模式(Scan mode)
灵活模式（推荐）：多种模式并行
在读写时：在程序进行读写操作时进行扫描
在读时：在程序进行读取时进行扫描
在运行时：在程序运行时进行扫描
扫描技术(Scan technologies)
iSwift扫描技术（推荐），建立在NTFS分区格式下的扫描技术，
iChecker扫描技术（推荐），建立在FAT分区格式下的扫描技术
这两种扫描技术会对已扫描过的文件进行标记，在文件未改变之前，不对文件进行重复扫描，从而大大提高扫描效率
暂停任务(Pause task)
这个没什么好说的，很难用的上

B.反病毒设置---网络监控设置（Web Traffic）

阻止危险的IE脚本文件（推荐）：什么是脚本？自己百度一下吧。
扫描HTTP通信（推荐）：只要你上网，就离不开HTTP通信，必扫！
根据危险的网址库分析（推荐）：卡巴8新加的功能，其实就是恶意网址屏蔽。
信任网址：你可以自己添加信任的网址，那么这个网址将不会被监控。建议不要用。因为任何网址都可能被挂马。


扫描方式（Scan methods）
启发式：默认设置为“中”，这个主要是影响你用IE下载东西的速度,尤其是快下完的时候。主要看你自己的感受，看看什么程度你能接受。我自己是关闭的。
扫描优化（Scan optimization）
限制缓冲区扫描时间：就是你打算用多长的时间来扫描你的缓冲区，推荐设置为1，如果你不介意多花点时间来扫，那就往高设置。


C.系统安全设置---程序过滤设置（Application Filtering）

程序分组(Applications)

信任组：信任组的程序拥有所有权利，它的活动不受控制，不会有任何提示。包括微软自身程序，卡巴斯基，有数字签名的程序，白名单库中的程序。这些程序将会被自动添加到信任组。当然，还有一些卡巴没有识别的正常程序是要我们自己添加到信任组的。所以，使用卡巴8的朋友，你们安装好卡巴8后的一个首要任务就是把自己常用的软件都运行一下，把那些卡巴没有识别的被分在受限组的程序添加到信任组。这样就可以避免一些不必要的提示。（支持鼠标拖放程序，十分方便）
低受限组：低受限组的程序拥有部分权利，一些重要的操作都会提示你，卡巴会给出很多信息（如程序的来源，位置，版本，作者，危险指数等）来辅助你进行判断。对不明程序，阻止即可。如果你信任组的工作做好了，那么这里就很简单了。建议直接禁止本组程序联网。
高受限组：高受限组的程序几乎只有“读”的权利，被分到这个组的程序卡巴会直接提示你是“允许运行”“限制运行”“阻止运行”，对不明程序，阻止即可。建议直接禁止本组程序联网。
不信任组：一般来说，被分在这个组的程序基本肯定是病毒了，卡巴会自动阻止其运行。

系统资源(Resources)

这里是卡巴HIPS进行监控的文件（FD）和注册表（RD）资源设置界面。注册表监控卡巴做的已经很全面了，一般不需要自己添加。文件保护方面，默认的规则显然是不够全面的，它只保护系统的一些关键文件和系统目录下EXE，DLL，SYS文件。大家可以根据自己的情况进行添加。例如增加保护文件的类型，如TMP，INF，PIF，COM等，增加保护的范围，对其它盘文件的保护，如D，E，F等非系统盘。

设备(Devices)


这里主要是对USB设备和蓝牙设备的保护设置界面，就是你可以控制这些设备能否连接你的电脑。

[ 本帖最后由 mds 于 2008-9-30 18:52 编辑 ]

wangjay1980

D.系统安全设置---防火墙设置（Firewall）

其实这里没有什么需要设置的，默认就行。卡巴8的防火墙改变了理念，与卡巴7的防火墙是不同的，我们就简单了解一下卡巴8的防火墙

（1）卡巴8没有了模式选择，卡巴7有三种模式“低安全”“学习模式”“高安全”，卡巴8放弃了这一做法，因为卡巴8采用了“All in one”的整合为一的保护模式，它把防火墙和HIPS控制统一了起来。一个程序是否可以访问网络，是要首先通过HIPS的分组判断，不同组别的程序拥有不同的访问权利。一个被判断为“好”的程序，那么它访问网络将是不受限制的。一个被判断为 "坏" 的程序，将被阻止访问网络。

（2）卡巴8将网络分为三个区域“信任网络”“本地网络”“公共网络”，并且预置了一些访问规则，不同的区域有不同的规则，如果有需要，你可以自行添加自己需要的规则

（3）卡巴8防火墙附加了三个很有用的功能。

是否允许主动FTP模式：想了解什么是主动FTP？请百度一下：）
无法提示时自动阻止所有网络连接：就是卡巴遇到无法弹出提示窗口的时候（界面被关闭）会自动中断网络，保护用户的安全。
系统完全关闭前不退出防火墙：这个也是为了防止某些利用关机来做文章的病毒的。

E.系统安全设置---主动防御（PDM）

主动防御卡巴6，7就已经有了，应该说卡巴6，7的主动防御担负了更多的东西。到了卡巴8，由于HIPS的引入，原有的一些主动防御的功能被整合到了HIPS中，其实这样整合后才更为合理了。更加明确了主动防御与HIPS的不同，应该说分工更明确了。卡巴8的主动防御提供了8种检测方式，推荐全选。

其中前三种：“木马检测（Trojans detection）”“蠕虫检测（Worms detection）”“P2P蠕虫检测（P2P worms detection）”这个无疑是最为直接的明确的行为检测，无需解释。
第四个是：“键盘记录检测”，盗号木马常用的手法。注意：某些大型游戏（极品飞车，实况足球等）会被提示键盘记录，如果你运行某个游戏时卡巴提示，请添加到排除。

第五个是：“隐藏驱动检测”大多的病毒木马都会用一些非常规的手段建立驱动。注意：极个别安全软件或工具也可能会被卡巴提示这个，还有极个别有反外挂保护的网游也会有这个提示，当然这样的正常程序很少。

第六个是：“系统内核修改”这个我至今没遇见过…（安装DR.WEB的会遇到这个提示，一般重启一下系统就好了）
第七个是：“隐藏对象检测”这个也是比较常见的一个，木马病毒都喜欢隐藏自身。
第八个是：“隐藏进程检测”木马病毒为了不让用户发现自己，让自己在任务管理器里消失，不过这个方式好像用的少了。
最下面有一项：对有数字签名和在白名单的程序的危险活动不提示，这项一定要选上，可以减少不必要的提示。

网上安全和内容过滤没什么可说的。。。

F.扫描设置---右键扫描设置（Scan）



右键扫描设置相对比较固定，大概的设置如下：
文件类型---选“所有文件”
扫描优化---这里两项都不选
扫描压缩混合文件---五项全选，附加选项，不选
启发式---开到最大
漏洞扫描---不选
Rootkit扫描—不选
扫描技术---两个都不选
模式---手动

G. 扫描设置---全盘扫描（Full Scan）

这里的设置要注意的就是最好要设置扫描时长限制和解包大小限制，为什么要强调这个呢？主要是因为很多使用卡巴的朋友会遇到卡巴扫描某些文件时，花的时间太长了，资源占用太大，其实你们稍加注意，就会发现，这些文件基本都是上百M甚至上G大小的压缩包或安装包，或是镜像文件（ISO文件等）例如扫描红警的安装包（200多M）,XP系统的ISO文件（500多M）,实况10的安装包（3G多），卡巴引擎的拖壳解包能力很强，所以你如果要扫描这些大型压缩文件，必然会导致扫描慢，资源占用大的问题。而且这样的文件是完全没必要去扫描的。解决方法：一 是不扫描这些文件，直接排除（排除例外里添加）。二 是设置扫描时长限制和解包大小限制，扫描时长设置为“15秒”解包大小限制在“50M”,也就是扫描单个文件超过15秒或是包大小超过50M的就跳过。（我自己的全盘扫描其实是只扫描系统盘的，而不是默认的所有硬盘，其他盘的东西对我来说没有扫描的必要。由于系统盘基本没有存在这样大型文件的可能，所以很省心。）



全盘扫描建议设置如下：
文件类型---选“所有文件”
扫描优化---两个都选吧，时间限制“15秒”
扫描压缩文混合文件—选前三项就可以啦，附加选项：解包不超过“50M”
启发式---开到最大
漏洞扫描---选上
Rootkit扫描---两个都选
扫描技术---两个都选
模式---自己定

快速扫描自己来吧，没什么好说的。。。
更新设置自己来吧，没什么好说的。。。

H .其余的设置
（1）威胁和例外（Threats and exclusion）—威胁里的所有项目都选上，需要注意的是这里卡巴8多了“壳侦测”这是一个新的检测方式，对一些使用特殊的加壳方式病毒木马进行检测，误报率很低。排除里可以对特定的文件或文件夹进行排除操作，并可以选择排除的组件。例如对某个文件或文件夹不进行文件监控，或者不进行程序过滤，或者不进行主动防御等，单选多选都可以。信任程序只针对EXE文件有效。



（2）网络（Network）---默认就好。端口监控---选监控指定的端口。扫描加密连接---需要就选。显示网络数据包分析器---需要就选。

（3）通知（Notifications）---默认就好。想听杀猪声就取消使用WINDOWS默认方案

（4）报告（Reports）---这个看自己需要了，建议选上记录“非关键事件”“文件系统事件”“注册表事件”方便查看每个程序他们到底都干了什么。

（5）反馈（Feedback）---这个自愿了，建议选上，只有好处，没有坏处。

（6）外观（Appearance）---全选得了。


3.卡巴8的工作流程是怎样的？

当一个新程序运行后：
卡巴首先对程序进行分析------然后对程序进行分组------最后根据不同组别的不同权限决定程序的行为.
根据这个工作流程我们可以看出，卡巴8会在一个新程序运行时对程序进行安全分析，这个也是导致你首次运行某个程序时，会有停顿的感觉。并且，如果你运行的程序越大（如安装包等），分析的时间就越长。这个是正常的，当你以后再次运行就不会出现此问题了。

信任组的程序：整个过程不会出现任何提示
受限组的程序：一般会出现权限提示，由你决定它的行为，并会记录它的所有活动。
非信任组程序：直接阻止其运行。


4.卡巴8如何对一个首次运行的程序进行分析和分组？

流程如下：
（1）检查数字签名，有→信任组
（2）如果没有，检查白名单，有→信任组
（3）如果没有，检查病毒库，有→非信任组（当然这时文件监控就会发现）
（4）如果没有，通过启发式计算危险指数，0-49之间→低受限组，50-99→高受限组，100→非信任组。
（5）通过以上检查结果，将程序分配到指定的分组

重要说明：本来此贴应该写在HIPS新手规则的下面，但由于3楼的帖子已经超过字符限制，所以将HIPS新手进阶规则写在这里。

附加二：

卡巴8HIPS新手进阶规则设置：

目的：增加保护范围，进一步提升卡巴8的防御能力。了解如何添加资源，如何设置规则。
特点：添加新的简单的FD规则，既提升安全性，又基本不增加新手困惑。

1.添加新的FD资源，即添加需要进行控制的文件和文件夹。

（1）首先添加针对“系统文件”项的FD资源，如图操作即可。（当然你也可以如（2）一样，新建个项，把资源添加到新建项里。）


（2）然后添加针对“禁止高危文件”项的FD资源，如图操作即可。（“禁止高危文件”是新建项，新建项的名字自己决定）



2.设置受限组规则，即设置受限组程序对新加资源的访问规则。（以低受限组为例，高受限组相同）

首先设置针对“系统文件”项新加资源的访问规则，如图操作即可。


然后设置针对“禁止高危文件”项新加资源的访问规则，如图操作即可。


注意：这是个十分简单的FD规则，它的保护范围和细致程度还不够，只是一些重点保护。但是即便是这样简单的规则，也可以大幅提升卡巴的防御能力，对新手来说还是不错的。我觉得新手不要只是简单的如此设置就了事，而应该学习一下“添加资源，设置规则”的流程，举一反三，多多实践，彻底理解了，以后就可以自行设置属于自己的FD规则，保护想要保护的文件，阻止想要阻止的文件。（以上文件路径是根据XP系统定义的，VISTA系统如有不同，请自行修改）

PS:有什么问题可以发帖或PM我，以后可能还会添加点东西。

[ 本帖最后由 wangjay1980 于 2008-7-31 13:09 编辑 ]

wangjay1980

5.卡巴8的白名单库在哪里以及如何正确使用白名单？

卡巴8的白名单库99%都在服务器一端，由于白名单库很大，当然不可能放在客户端.卡巴安装包里我估计只是自带了一些微软的程序白名单，所有的第三方程序的白名单都在卡巴的服务器上放着，这样也就决定了我们要想充分利用白名单，就一定要保证你的网络是连接的，你连上网了，卡巴才能联网对你系统里的软件进行白名单验证。
卡巴会在你扫描文件的同时，联网对程序进行白名单验证，所以记得安装卡巴8后，一定要在网络连接的状态下，进行一次全盘扫描。这样做也可以提高你首次启动程序的速度。


6.卡巴8的自动模式和交互模式有什么不同，我该怎么选？

我们可以在设置里进行自动模式和交互模式的切换


自动模式：卡巴会按照推荐操作全程自动处理所有问题，不会有提示，不会有声音，你完全感觉不到卡巴的存在。听起来似乎太棒了，但是，自动模式是会降低安全性的，有时也会出现错误的判断。尤其是使用默认规则的自动模式漏洞还是很多的。

交互模式：对于被分在受限组的程序进行权限操作会进行提示说明，然后由你来进行选择。一听到要出现提示，可能某些人又犯愁了，其实卡巴8已经尽可能的减少提示了，卡巴8虽然引入了HIPS，但是却使提示次数远远少于卡巴7。这个是由于卡巴通过白名单机制，已经排除了大量的正常程序，这些被卡巴识别的程序，是不会有任何提示。系统程序如IE，WORD等，第三方程序如QQ，迅雷，360，遨游等。随着白名单的不断完善，那么无效提示将会越来越少。

我建议大家还是选择交互模式，毕竟自己常用的软件就那么二三十个，我想至少卡巴已经可以识别其中的不少，剩下一些不认识的，被分在受限组的，自己手动添加到信任组。自己常用的软件都搞定了，以后在遇到什么提示，我想就很简单了吧。我自己一般也就用一分钟时间就完成常用软件的添加信任组设置。交互模式并不可怕，可怕的是你试都不敢试。

对于想用自动模式的朋友，你们一定要修改一条默认的规则。最简单的是修改受限组的网络访问规则，卡巴默认的受限组程序的网络访问规则是“提示操作”，在交互模式下，被分在受限组的程序联网，卡巴就会提示用户，询问是否可以访问网络。但是在自动模式下，卡巴会自动允许程序访问网络，这个是比较大的问题，所以，使用自动模式，一定要自己设置低受限组和高受限组的网络访问规则为“阻止”，这样的一个简单的设置就可以提高不少安全性。


7.卡巴8的隐身模式哪去了？

卡巴8已经取消了隐身模式的选项，这也是有些人用卡巴8去进行Pcflank测试，发现有些端口是没有关闭而不能通过测试的原因。按照卡巴工程师的说法，那个已经不需要了，那些端口开着也并不意味着病毒可以利用。而且隐身模式会影响P2P下载。并且卡巴发布了一篇文章，专门解释了这个问题。没有隐身模式并不会对安全造成影响。当然，如果你一定要卡巴8也开启隐身模式，那么你需要自行设置防火墙规则，在防火墙的设置里，找到“任意进站TCP”和“任意进站UDP”把默认规则改为“阻止”，这样，相当于开启了隐身模式。

注意：开启隐身模式会影响P2P下载（如BT下载）的速度



8.卡巴8如何与下载软件（迅雷，BT等）相互设置？

这里我以迅雷为例
（1）用迅雷的XP优化工具修改XP默认的连接数，建议改为512
（2）在迅雷的“配置”选项里，设置“全局最大连接数”为128
（3）把迅雷添加到卡巴8的信任区里，三项全选

经过这样的设置后，能够最大限度保证网络的稳定性。使用卡巴6，7的也可以如此设置。
其实原则就是：下载软件的最大连接数 x 2 < 系统连接数.（128 x 2 < 512）
注意：这样设置主要目的是保证网络的稳定性，与下载速度关系不大。


9.卡巴8针对所有第三方软件的共同设置方法是什么？

（1）添加到“信任组”，首先就是保证你用的软件如果没有自动被分在信任组的，你就要手动把它们都添加到信任组。


（2）添加到“信任区”，把你所有在信任组的第三方软件（系统卡巴和浏览器除外）都添加到信任区，并勾选上不扫描打开文件，不控制程序活动，不扫描网络通信。（尤其是对一些辅助类安全软件如360安全卫士，金山清理专家，卡卡助手等）
添加到信任区方法1（比较简单）

添加到信任区方法2（稍显麻烦）



注意：所有的浏览器都不要添加到信任区（IE,MT,TW, FF,OP等），否则，后果自负。
           信任组和信任区是两回事。



10.使用卡巴8我们应主要关注的地方是？

如果你使用卡巴8，那么主要看这么两个地方，通过这两个地方，让你一切尽在掌握。

（1）程序过滤里的程序分组设置界面，所有运行的程序，以及它们的分组，和每个程序的详细信息，你都可以在这里得到。例如，我们查看千千静听，打开分组界面，找到千千静听，然后双击

双击后弹出千千的设置界面，这里我们可以查看千千的信息，还可以为它设置属于它自己的规则

基本信息：

活动记录：

规则设置：


（2）系统安全的报告界面，这里也可以看到所有程序的活动轨迹。（用另一种方式看风景）




11.卡巴8相比卡巴7，6，5，4-------有什么新特性？

我只说说主要的：

（1）新引擎：卡巴8采用了全新的反病毒引擎，扫描速度快于卡巴7一倍以上
（2）HIPS+PDM+白名单：防护能力超越卡巴7，无效提示低于卡巴7
（3）自动模式：自动处理所有问题，无需用户干预。
（4）壳侦测：新的检测方式，误报率很低。
（5）第三方程序漏洞扫描：避免病毒利用已知软件漏洞攻击系统。（注意不是检测系统补丁，与国内的打补丁软件不同）


12.卡巴8目前的 不足之处有哪些？

我自己的一些感受：

（1）程序安装问题，这个也是我觉得最大的问题。首先是对程序安装包的白名单不够，导致安装过程会有很多提示（由于被分在受限组），其次就是安装包如果稍大就会导致分析时间过长，如果你的程序安装包超过30M以上或者更大，那么有时会导致电脑假死。

（2）卡巴8取消了卡巴7主防的恢复功能，就是如果病毒被卡巴的主动防御侦测到，那么卡巴7提供了一个恢复病毒对系统的修改的功能，不知道为什么卡巴8取消了这个非常好的功能，我觉得这个功能应该也整合到卡巴8的防御中。

（3）自动模式还需要提高，自动模式应该说对新手是很好的功能，但是不足之处很多，漏洞很多，提高的余地很大。一般来说，对新手来说，你可以先用自动模式，然后通过论坛的学习和自己的实践逐渐过渡到交互模式。其实自动模式和交互模式之间只隔着一张纸。

（4）启发式分析需要提高，不仅包括扫描引擎的启发能力（希望能够达到中上水平），也包括HIPS的启发式分析能力（这个就需要卡巴工程师不断完善分析算法了）



13.我为什么选择和喜欢卡巴斯基反病毒解决方案


由于到目前为止，地球上还没有一个完美的反病毒解决方案（完美就是查杀率100% 误报率0%），所以选择那个和怎么选择就成为一个问题。而且很多人都有一个严重的误区：认为只要安装了杀软之后就万事大吉，不会也不应该中毒。一旦中毒，就会到处说某某杀软太垃圾，居然连病毒也杀不了。其实，好的优秀的杀软只能降低你中毒的几率，但是不能保证你不中毒。为了最大程度的保障系统安全，新手们至少应该做到以下几点：

（1）首要的，当然是选择一款适合自己的优秀的适合国情的杀毒软件。基本原则就是：优点多，缺点少，本地化，综合能力强。

（2）及时更新系统补丁，并注意一些常用软件的更新，例如某些媒体播放软件（暴风，PPS,FLASH插件等），下载软件（迅雷等），尽量使用最新版本。这样可以避免因为系统或第三方软件漏洞导致中毒。

（3）尽量使用非IE内核的浏览器浏览网站，如火狐Firefox浏览器，Opera浏览器。

（4）下载软件首选的是到该软件的官方网站下载，其次是选择大型的知名的下载站（如华军下载等）。软件下载回来要用自己的杀软进行检查。

（5）浏览打开U盘，移动硬盘等移动设备，不要双击或右键打开，最好用系统的资源管理器或第三方工具（如冰刃等）。并且进行U盘免疫。

（6）安装安全辅助软件和工具，推荐比较不错的安全辅助软件是：360安全卫士，金山清理专家，WINDOWS清理助手，超级巡警4.0绿色版。推荐不错的安全辅助工具：冰刃Icesword1.22中文版，Wsyscheck0223中文版，SREng2.6.11.992 正式版。

特别要提的是那些安全辅助软件，因为它们不但简单易用，而且提供了许多非常有用的小功能，而这些功能又是杀软一般不会去做的事情。所以极力推荐新手们安装使用这些软件，对自己的安全意识也是一种强制性提升。


我也是从一个彻底的无知狂人慢慢走过来的，卡饭里留下了我的每个足迹。我只真正用过两个杀软“瑞星”和“卡巴”。使用卡巴是从我注册卡饭的那天开始的，到现在已经一年半多了。刚开始用卡巴其实还谈不上什么喜不喜欢，那时用卡巴只是因为它在中国知名度高，而且评价也比较高。后来开始学习一些前辈的经验，并通过自己的实践摸索，对卡巴的特点有了进一步的了解，再后来，加入了卡巴新版本的测试队伍，并疯狂的喜欢上了测试。经常泡在卡巴官方论坛，使我更加深入的了解了卡巴。从那以后，我发现我真的喜欢上了卡巴。现在总结起来，我想主要是这几个因素吸引着我：

（1）全球最快的病毒反应时间，这个也是卡巴长久以来保持顶级反病毒软件地位的法宝之一。体现在样本的收集能力和样本处理能力非常强大，这个我在卡饭样本区深有体会。

（2）非常注重技术，不断的开拓新技术，不断的提高软件品质。这点从疯狂的新版本开发测试就可看出。尤其是卡巴8的发布，代表了全新的防御架构和理念。我已经开始期待卡9了。

（3）卡巴反病毒解决方案提供了最为全面综合的保护，在反病毒方面，卡巴8提供了特征码，启发式，壳侦测，主动防御
（PDM）,HIPS五重防御系统。另外，卡巴8还提供了入侵检测（IPS）,反钓鱼，反垃圾邮件，家长控制，反广告等功能，抵御其它的互联网威胁。

（4）十分尊重用户，在测试论坛里，卡巴的工程师与卡巴测试者之间直接的真诚的相互尊重的交流。他们倾听测试者的意见，感谢测试者的BUG反馈，甚至直接在产品里刻上那些测试者的名字。这一切都反映了他们对用户的重视和尊重。

最后以卡巴斯基创始人尤金.卡巴斯基结束吧（卡巴8的小秘密 ）



分享几张卡巴壁纸





















附加 一：

卡巴 8 HIPS默认规则修改设置初步（针对新手）

简介：卡巴的HIPS是“程序分组访问资源权限控制”卡巴8内置了4个分组（信任，低受限，高受限，不信任），如何分组由卡巴来完成，不同分组的程序有不同的权限。信任和不信任组没什么可说的，不用设置。被分在低受限组的程序的行为控制以提示为主，被分在高受限组的程序的行为以阻止为主。所以我们关注的焦点也是低受限组和高受限组，而且重点关注低受限组。

目的：通过修改默认规则，提高卡巴的防护能力和易用性。

特点：不会新增FD（文件保护）和RD（注册表保护）规则，AD（应用程序保护）是不可以自定义的。


1.首先，禁止低受限组和高受限组访问网络。默认的规则是“提示操作”这个建议新手尤其是用自动模式的朋友务必要做


2.打开低受限组的组规则设置界面（组规则也就是所有被分在低受限组的程序都要遵守的规则）


3.修改低受限组的文件和注册表防御规则。按照图中的设置即可


4.修改低受限组的特权规则，这里只修改两处就可以了。


5.用同样的方法打开高受限组的文件和注册表规则设置界面，然后按照下图设置。特权规则的无需修改。


如此设置规则后必须要注意的问题：

1.此规则对防御能力的提升是有限的（由于没加新的FD规则），主要目的在于提升易用性。由于大量的规则直接设置为阻止，所以会极大减少提示询问。此规则尤其适用于使用自动模式的新手，而且在交互模式下也会大量减少提示。

2.由于规则设置相对较为严厉，所以会导致某些正常程序（如果被卡巴分在低受限或高受限组）无法正常运行。解决办法很简单，自己到程序分组界面，将被分在低受限组和高受限组的程序添加到信任组，然后再重新启动该程序就没问题了。我可不想看到论坛里有朋友大声疾呼：“按照谁谁的HIPS规则，我的某某程序无法运行了！！！”这里我已经进行说明了。

未完待续。。。。。新手进阶规则请看2楼

[ 本帖最后由 wangjay1980 于 2008-8-7 11:46 编辑 ]

Joker

沙发先抢了。。
恩，不错。

[ 本帖最后由 Joker 于 2008-6-25 17:26 编辑 ]

star_xing

楼主辛苦了 写了这么多 仔细学习下

syfwxmh

写的很不错~~
我们评测室遇到劲敌了~~

zwl2828

给新手很好啊～
我也写了一篇介绍，准备投稿去～

freebay

不错不错！支持支持！

zwl2828

Object Linking and Embedding,对象连接与嵌入，简称OLE技术。OLE不仅是桌面应用程序集成，而且还定义和实现了一种允许应用程序作为软件“对象”(数据集合和操作数据的函数)彼此进行“连接”的机制，这种连接机制和协议称为部件对象模型
       OLE是在客户应用程序间传输和共享信息的一组综合标准。允许创建带有指向应用程序的链接的混合文档以使用户修改时不必在应用程序间切换的协议。OLE基于组件对象模型(COM) 并允许开发可在多个应用程序间互操作的可复用即插即用对象。该协议已广泛用于商业上，在商业中电子表格、字处理程序、财务软件包和其他应用程序可以通过客户/服务器体系共享和链接单独的信息  

OLE 是一种面向对象的技术，利用这种技术可开发可重复使用的软件组件（COM）。

苏灿

这个要支持！