KV2007木马一扫光、注册表监控功能详解

ss5324269

[:27:] 哈哈~~~~放假拉~~~回到论坛看看，偶喜欢的江民区还是那老的样子，有点心疼 。正好上学的时候搜刮了点教材，陆续发上，以壮江民区的声势 今天给大家看看平时我们不在意的木马一扫光的使用方法。


话说在很久以前，杀毒软件是没有注册表监控功能的，当一个计算机病毒通过恶意网页、电子邮件、即时聊天工具、软盘或者U盘等方式进入到电脑中后，如果这个病毒在杀毒软件的病毒库内的话，那么等待它的将是杀毒软件文件监控系统的无情的拦截和剿杀，如果这个病毒是一个新的变种，那么它是幸运的，它就可以堂而皇之，大摇大摆地进入到操作系统中，肆意破坏电脑。于是在反病毒厂商就都面临一个共同的课题：如何在杀毒软件病毒库较旧，或者不识别新病毒变种的情况下，依然可以拦截病毒的入侵？这也就是现在反病毒领域里的新技术－主动防御思想。

    而注册表监控功能作为主动防御思想最初的实现形式，则成了继文件实时监控之后又一拦截病毒的有力武器！众所周知，注册表是Windows操作系统的一个底层数据库，里面存储着电脑所有硬件和软件信息，可以说，Windows操作系统的一举一动，都离不开注册表的支持。同理，各种病毒和恶意程序也都看中了注册表这块“风水宝地”，以无所不用其极的技术手段千方百计地将自身插入到注册表中，或实现开机自启动，或实现注册为系统服务，或实现进程注入等等。那么面对脆弱的注册表，我们就束手无策了吗？非也！我们可以用程序实时监视注册表的一举一动，当它的行为符合系统的正常要求时，我们就放行，一旦发现其有非法的举动，注册表的实时监视功能就会立即阻止并向用户报告，有用户来裁决是否放行，这，就是KV木马一扫光的基本工作原理，而木马一扫光功能则是注册表监控功能的扩展和延伸。下面就让我们来感受一下木马一扫光的强大木马拦截能力！

一、KV的木马一扫光功能的开启
KV木马一扫光功能默认是开启的，如果你担心没有打开该功能的话，没关系，打开“江民设置程序”
，在左边树型目录中找到“木马一扫光”，然后勾选上右边的“木马/注册表监视”选项即可。如图1




图1 木马/注册表监视功能

二、“高级设置”和“广谱扩展”的基本使用方法
大家可能已经看到了，在该界面中，有两个按钮，即：“高级设置”和“广谱扩展”，这两个功能是木马一扫光功能的扩展，适合高级用户使用。下面我就简单地说一下这两个功能。

“高级设置”
在缺省情况下，KV木马一扫光可以保护的注册表项有：系统启动项、系统自动运行项、Windows安全设置项、IE设置项、IE插件项以及系统文件关联项，此范围已涵盖了大部分木马程序会修改的注册表的关键项，如果用户还有其它要保护的注册表项，可以使用该功能自定义添加。

“广谱扩展”
KV木马一扫光对木马程序的监控主要依靠江民公司的木马特征库，木马特征库中记录了木马程序试图创建或修改的注册表键值，和病毒库一样，木马特征库也在每天不断的更新，以达到防止最新的木马程序的目的。用户可以利用木马一扫光的广谱扩展功能，手工添加木马特征库，从而达到禁止木马程序改写注册表的目的，这样，当用户遇到木马特征库中还没有的程序时，也可以达到阻止其修改注册表的目的。

三、“黑名单”和“白名单”的使用方法
    黑白名单，顾名思义，就是可以将不信任的程序放入黑名单列表中，此时这个程序的一举一动都将处在木马一扫光的严密监视之下，其稍越雷池半步，就会受到拦截。而白名单，则恰恰相反，将信任的程序放入白名单列表中，此时无论这个程序对注册表做什么操作，木马一扫光都将对其视而不见。他们的使用方法也很简单，下面以黑名单为例，来讲解一下。
打开“江民设置程序” ，来到左边树型目录中，点击“黑名单”按钮，此时就打开了“黑名单”程序列表，这时你就可以点击“添加”按钮，将你认为不可信的程序添加到该列表中，如图2



图2 黑名单功能



    如果一不小心添加错了，将本应加入白名单列表的程序错误的加入黑名单列表了，不必惊慌，在添加错误的程序上单击鼠标右键，再点击“删除”或“移动到白名单”即可。如图3

白名单的使用方法与此类似，就不详述了，大家可以举一反三。




四、木马一扫光的秘密武器
    木马一扫光还有秘密武器？当然！下面就让我们以木马一扫光对一个实体病毒的拦截作为实例，讲解一下木马一扫光的具体使用方法，我采用的病毒样本名称为Trojan/Reper.a，是曾经很流行的一个木马病毒，它的中文名称叫“狂奔者” 。
    该病毒会运行后会将自身写入到注册表的Run启动键值，以实现开机自启动。此时，木马一扫光会在第一时间拦截其写注册表的操作，并以消息框的方式提示用户，如图4



此时，只要用户勾选“以后都使用此操作”，并点击“禁止”按钮就可以了，这样无论该病毒无何折腾注册表都无济于事，不会在注册表中留下任何痕迹。
接着我们打开“木马一扫光”，它在那里呢？将鼠标放在右下角的“K”图标上，单击鼠标右键，再点击“打开木马一扫光”即可。如图5



    打开后，即可看见“木马一扫光”拦截刚才的那个Trojan/Reper.a病毒的记录。如图6


点击上面的“查看”按钮，可以详细的察看“拦截记录”和“黑白名单”等各种信息。如图7


我们来点击一下“黑名单”，可以发现，刚才的那个Trojan/Reper.a 病毒已经由“木马一扫光”自动添加到“黑名单程序列表”中了，呵呵，很方便吧！如图8

此外，木马一扫光还集成了强大的系统进程和启动项管理功能，点击“工具”按钮，可以调用这些便捷的功能以方便系统诊断。如图9

例如，我们点击“系统进程管理”按钮，就可以清晰地察看系统当前进程，以及各个程序模块的信息，可以终结可疑的进程，还可以看到进程的路径，这可比Windows系统自带的任务管理器方便多了！如图10



此外，还有自动运行管理，系统服务管理和共享管理等功能，这些功能比较适合高级用户使用。

红心王子

感谢LZ的发贴，不过你发贴之前，看好再发，不要发
别人发过的重复帖子
这个帖子我早就发过了：

http://bbs.kafan.cn/viewthread.php?tid=101079

[ 本帖最后由 红心王子 于 2007-7-15 10:53 编辑 ]