[系列三] 江民KV07木马一扫光、注册表监控功能介绍

红心王子

一、KV的木马一扫光功能的开启
KV木马一扫光功能默认是开启的，如果你担心没有打开该功能的话，没关系，打开“江民设置程序”
，在左边树型目录中找到“木马一扫光”，然后勾选上右边的“木马/注册表监视”选项即可。如图1

此主题相关图片如下：

图1 木马/注册表监视功能

二、“高级设置”和“广谱扩展”的基本使用方法
大家可能已经看到了，在该界面中，有两个按钮，即：“高级设置”和“广谱扩展”，这两个功能是木马一扫光功能的扩展，适合高级用户使用。下面我就简单地说一下这两个功能。
“高级设置”
在缺省情况下，KV木马一扫光可以保护的注册表项有：系统启动项、系统自动运行项、Windows安全设置项、IE设置项、IE插件项以及系统文件关联项，此范围已涵盖了大部分木马程序会修改的注册表的关键项，如果用户还有其它要保护的注册表项，可以使用该功能自定义添加。
“广谱扩展”
KV木马一扫光对木马程序的监控主要依靠江民公司的木马特征库，木马特征库中记录了木马程序试图创建或修改的注册表键值，和病毒库一样，木马特征库也在每天不断的更新，以达到防止最新的木马程序的目的。用户可以利用木马一扫光的广谱扩展功能，手工添加木马特征库，从而达到禁止木马程序改写注册表的目的，这样，当用户遇到木马特征库中还没有的程序时，也可以达到阻止其修改注册表的目的。

红心王子

三、“黑名单”和“白名单”的使用方法
    黑白名单，顾名思义，就是可以将不信任的程序放入黑名单列表中，此时这个程序的一举一动都将处在木马一扫光的严密监视之下，其稍越雷池半步，就会受到拦截。而白名单，则恰恰相反，将信任的程序放入白名单列表中，此时无论这个程序对注册表做什么操作，木马一扫光都将对其视而不见。他们的使用方法也很简单，下面以黑名单为例，来讲解一下。
打开“江民设置程序” ，来到左边树型目录中，点击“黑名单”按钮，此时就打开了“黑名单”程序列表，这时你就可以点击“添加”按钮，将你认为不可信的程序添加到该列表中，如图2

此主题相关图片如下：

图2 黑名单功能

    如果一不小心添加错了，将本应加入白名单列表的程序错误的加入黑名单列表了，不必惊慌，在添加错误的程序上单击鼠标右键，再点击“删除”或“移动到白名单”即可。如图3

此主题相关图片如下：

图3 移动扫白名单功能

    白名单的使用方法与此类似，就不详述了，大家可以举一反三。


四、木马一扫光的秘密武器
    木马一扫光还有秘密武器？当然！下面就让我们以木马一扫光对一个实体病毒的拦截作为实例，讲解一下木马一扫光的具体使用方法，我采用的病毒样本名称为Trojan/Reper.a，是曾经很流行的一个木马病毒，它的中文名称叫“狂奔者” 。
    该病毒会运行后会将自身写入到注册表的Run启动键值，以实现开机自启动。此时，木马一扫光会在第一时间拦截其写注册表的操作，并以消息框的方式提示用户，如图4

此主题相关图片如下：

图4 木马一扫光的拦截功能

    此时，只要用户勾选“以后都使用此操作”，并点击“禁止”按钮就可以了，这样无论该病毒无何折腾注册表都无济于事，不会在注册表中留下任何痕迹。
接着我们打开“木马一扫光”，它在那里呢？将鼠标放在右下角的“K”图标上，单击鼠标右键，再点击“打开木马一扫光”即可。如图5

此主题相关图片如下：

图5 打开木马一扫光

    打开后，即可看见“木马一扫光”拦截刚才的那个Trojan/Reper.a病毒的记录。如图6

此主题相关图片如下：

                                                    图6 木马一扫光拦截记录

红心王子

点击上面的“查看”按钮，可以详细的察看“拦截记录”和“黑白名单”等各种信息。如图7

此主题相关图片如下：

图7  查看黑名单列表

我们来点击一下“黑名单”，可以发现，刚才的那个Trojan/Reper.a 病毒已经由“木马一扫光”自动添加到“黑名单程序列表”中了，呵呵，很方便吧！如图8

此主题相关图片如下：

图8  病毒已经由“木马一扫光”自动添加到黑名单中

此外，木马一扫光还集成了强大的系统进程和启动项管理功能，点击“工具”按钮，可以调用这些便捷的功能以方便系统诊断。如图9

此主题相关图片如下：

图9  木马一扫光集成的系统查看诊断工具

例如，我们点击“系统进程管理”按钮，就可以清晰地察看系统当前进程，以及各个程序模块的信息，可以终结可疑的进程，还可以看到进程的路径，这可比Windows系统自带的任务管理器方便多了！如图10

此主题相关图片如下：

图10  木马一扫光的进程察看器

    此外，还有自动运行管理，系统服务管理和共享管理等功能，这些功能比较适合高级用户使用。

    好了，KV木马一扫光和注册表监控功能就先介绍到这里了，我们可以看到，KV的木马一扫光功能作为杀毒的有力扩展，在拦截新病毒这方面发挥了巨大的作用。可以遇见，随着杀毒软件技术的不断进步，主动防御的思想也将会更多的体现在杀毒软件身上。