[系列六] 江民KV07未知病毒检测功能的利用和设置

红心王子

当您发现自己的系统不对劲，又无法通过反病毒软件查出病毒的时候怎么办呢？您是否会排除自己的系统已中毒的可能而转向其他方面的问题呢？这两个问题实际上是很多用户都遇到过的。
或许很多人都有这样的经历，明明已经中毒了，可是反病毒软件就是查不出来，所以用户放弃了中毒导致系统异常的想法，花了很多无用的功夫在其他途径上去解决，未果。

现在的反病毒软件仍然以最传统的依赖病毒特征码查杀为基础，如果病毒特征库中没有收录某个病毒的特征值，那么反病毒软件就查不到这个病毒的存在。北京江民新科技术有限公司考虑到此问题，所以在前几个版本的KV中研发了一个“未知病毒检测工具”，这个工具会搜索注册表、扫描进程等一系列方式综合判断一个文件的可疑程度并提示用户。随着KV版本的更新，这个工具也在不断的更新着。


这个工具的文件名为KVDetect.exe，实际上它是一个绿色的程序，不会写注册表，所以我们可以从Jiangmin\Antivirus目录中将其单独提取出来使用，不过这样会丧失一些功能，这些功能需要特定的接口来调用。

首先我们来看看“未知病毒检测工具”的启动方法：
如图标记处就是这个工具的三个功能的启动方法：

此主题相关图片如下：

红心王子

我们先说第一个“检测未知病毒”，打开后出现如下界面：
此主题相关图片如下：

区域1里面列出的都是被定义为“可疑”的程序，包含改文件的路径、类型、可疑概率等等，其中最重要的就是“路径”和“概率”了，因为这个工具扫出的程序不一定是病毒，所以都以概率的形式表明，一般来说大于25％的程序都应该引起重视，超过50％以上的就是高危的了。
区域2里面列出的是每个被扫出的文件单独的信息，更加详尽。

“快速”选项卡表示以快速扫描的方式运行，会忽略一些目录，我们不推荐选择此项。
“显示全部”选项卡会让这个工具显示全部的可疑文件，因为一些概率很低的文件会被自动隐藏。
“扫描”按钮就是让这个工具重新开始扫描。
“结束进程”按钮就是结束一个可疑的进程，因为这个工具扫描出的文件有些是正在运行着的，可以通过这个工具将其结束掉。
“样本库”按钮的作用同图1的“编辑样本库”是一样的，目的就是启动这个工具的编辑样本库的功能。

红心王子

接着具体说说当发现可疑文件后怎么办，如图未知病毒检测工具发现一个可疑的文件（这个文件是迅雷的东西，并不是病毒，同时KV报的概率非常的低，所以需要“显示全部”才能看到，这里就已这个文件为例）
我们右击这个可疑的项，出现如图：
此主题相关图片如下：

上报样本就是将这个文件发送到江民公司以供进一步分析
定位文件就是跳转到这个文件所在的目录下供用户查看
结束进程就是结束这个文件所对应的进程
删除文件就是删除这个可疑文件，文件若无法立即删除的话，会在下次重新启动计算机的时候系统自动帮你删除掉
加入样本库就是自动提取这个文件的特征值，然后可利用未知病毒检测工具加载这个被提取的特征库扫描系统，相当于一个DIY的杀毒软件
加入白名单就是如果用户知道这是一个正常的文件，那么可疑将其加入白名单，下次KV的这个工具将不再扫描这个文件。
检索信息就是利用百度搜索这个文件，以供用户了解更多
属性就是调出该文件的属性对话框

红心王子

如果我们确定了一个文件是病毒，但并不保证这个病毒就只有这么一个文件存在，也许其他路径下仍然有一模一样的文件怎么办呢？KV的这个未知病毒检测工具考虑到了这个方面，它可以提取这个文件的特征值然后扫描整个硬盘，发现相同文件便会列出来供用户处理。
怎样打开“编辑样本库”前面已经说了，启动后的界面如下：
此主题相关图片如下：

新建样本就是添加一个文件的特征值，用户只需要找到这个文件就行了，程序会自动添加
修改样本就是更改这个样本的名称
删除样本就是删除选定的样本
追加样本就是添加之前备份的样本库，现有的样本不会被覆盖
备份样本就是备份现有的样本库
举一个例子，我们添加Windows的记事本到样本库里面，新建样本－找到“记事本”Notepad.exe，结束，如图：
此主题相关图片如下：

然后我们就可以调用“扫描样本库”了，启动扫描样本库如图1，当发现匹配文件时出现如图界面：
此主题相关图片如下：

怎么样，其实江民KV一样自己可以备份病毒库的，上面这个功能你学会了没？