未知病毒检测功能的利用和设置

north_wolf

当您发现自己的系统不对劲，又无法通过反病毒软件查出病毒的时候怎么办呢？您是
否会排除自己的系统已中毒的可能而转向其他方面的问题呢？这两个问题实际上是很
多用户都遇到过的。
或许很多人都有这样的经历，明明已经中毒了，可是反病毒软件就是查不出来，所以
用户放弃了中毒导致系统异常的想法，花了很多无用的功夫在其他途径上去解决，未
果。
现在的反病毒软件仍然以最传统的依赖病毒特征码查杀为基础，如果病毒特征库中没
有收录某个病毒的特征值，那么反病毒软件就查不到这个病毒的存在。北京江民新科
技术有限公司考虑到此问题，所以在前几个版本的KV中研发了一个“未知病毒检测工
具”，这个工具会搜索注册表、扫描进程等一系列方式综合判断一个文件的可疑程度
并提示用户。随着KV版本的更新，这个工具也在不断的更新着。
这个工具的文件名为KVDetect.exe，实际上它是一个绿色的程序，不会写注册表，所
以我们可以从Jiangmin\Antivirus目录中将其单独提取出来使用，不过这样会丧失一
些功能，这些功能需要特定的接口来调用。
首先我们来看看“未知病毒检测工具”的启动方法：
如图标记处就是这个工具的三个功能的启动方法：

我们先说第一个“检测未知病毒”，打开后出现如下界面：

区域1里面列出的都是被定义为“可疑”的程序，包含改文件的路径、类型、可疑概率
等等，其中最重要的就是“路径”和“概率”了，因为这个工具扫出的程序不一定是
病毒，所以都以概率的形式表明，一般来说大于25％的程序都应该引起重视，超过50
％以上的就是高危的了。
区域2里面列出的是每个被扫出的文件单独的信息，更加详尽。
“快速”选项卡表示以快速扫描的方式运行，会忽略一些目录，我们不推荐选择此项
。
“显示全部”选项卡会让这个工具显示全部的可疑文件，因为一些概率很低的文件会
被自动隐藏。
“扫描”按钮就是让这个工具重新开始扫描。
“结束进程”按钮就是结束一个可疑的进程，因为这个工具扫描出的文件有些是正在
运行着的，可以通过这个工具将其结束掉。
“样本库”按钮的作用同图1的“编辑样本库”是一样的，目的就是启动这个工具的编
辑样本库的功能
接着具体说说当发现可疑文件后怎么办，如图未知病毒检测工具发现一个可疑的文件
（这个文件是迅雷的东西，并不是病毒，同时KV报的概率非常的低，所以需要“显示
全部”才能看到，这里就已这个文件为例）
我们右击这个可疑的项，出现如图：
此主题相关图片如下：

上报样本就是将这个文件发送到江民公司以供进一步分析
定位文件就是跳转到这个文件所在的目录下供用户查看
结束进程就是结束这个文件所对应的进程
删除文件就是删除这个可疑文件，文件若无法立即删除的话，会在下次重新启动计算
机的时候系统自动帮你删除掉
加入样本库就是自动提取这个文件的特征值，然后可利用未知病毒检测工具加载这个
被提取的特征库扫描系统，相当于一个DIY的杀毒软件
加入白名单就是如果用户知道这是一个正常的文件，那么可疑将其加入白名单，下次
KV的这个工具将不再扫描这个文件。
检索信息就是利用百度搜索这个文件，以供用户了解更多
属性就是调出该文件的属性对话框
如何判断被扫描出的文件是否为病毒是一个关键，这通常是需要经验去判断的。大多
数情况下，概率非常高的就应该是病毒了，比入像“灰鸽子后门”这一类的，未知病
毒检测工具一般都是报的80％以上的概率。而对于其他相对降低概率的文件，我希望
用户到江民社区发帖询问，会有热心人帮你们解答的。社区的目的也就与此——交流|
帮助

bluenice

现在都出2008，还拿2007来说？
不过，谢谢分享。。。

kp2006

我以为说kv2008

i_Kaspersky

楼主就是说2008呢，只不过手一滑把图给贴错了。