卡巴斯基反黑客安装使用手册(转帖)

yonggang

转自:卡巴一族

一、前言

1.1 对黑客说"不"

有效的保护

跟踪网络行为

包过滤

自调整系统

完全隐形

1.2 系统需求

1.3功能

二、安装

三、使用

3.1开始运行程序。配置安全系统实例

3.2卡巴斯基反黑客的**作原理

3.3安全级别

3.4程序界面

3.5设置

一、前言

　　　计算机需要阻止黑客攻击，以防盗取信息，植入病毒或者垃圾邮件攻击。所有这些行为都是在您不知道的情况下发生的。

　　1.1
对黑客说"不"

　　卡巴斯基反黑客软件，是卡巴斯基实验室开发的防火墙产品，给您提供可**的保护。产品拥有灵活的配置以及五个安全级别可供选择。全面兼容 WIndows XP SP2。

　　　有效的保护

　　卡巴斯基反黑客软件通过不停的检测收发信息阻止黑客网络攻击。程序可以检测到多种DoS攻击，Ping of Death 攻击，Land, Helkern, Lovesan 和 SMBDie。此外，卡巴斯基®反黑客软件可检测到对端口做扫描的企图，这样的企图常常是流量攻击的前兆。在攻击发生时，系统会立即向用户发出通报。

　　　跟踪网络行为

　　卡巴斯基®反黑客软件包含针对最常用的邮件传输代理、网站浏览器、ICQ和其它实时信息程序预定义规则。用户可设置针对互联网应用的安全规则，可在通用程序类目或个性化应用特殊设置的基础上规范网络应用行为。

　　　包过滤

　　卡巴斯基®反黑客软件检测所有数据包，防止未经批准的机要信息泄露。本软件可分析数据传输的所有方面，包括标题、使用的协议、端口、IP地址等等。数据包按照用户对相关信息定义的规则过滤，例如，用户可将数据包过滤规则设定为适用于所有应用或仅适用于某一应用。如果某一IP地址根据包过滤规则被锁定，它将无法启动任何应用。

　　　自调整系统

　　卡巴斯基®反黑客软件利用内置的自调整性能调整互联网应用的安全规则。当无预设置规则的事件发生时，用户可选择创建新规则，并将新规则添加到安全策略列表中，从而使安全规则的设置完全适应于用户的特殊需求。

　　　完全隐形

　　SmartStealth 技术可使用户的计算机隐形，从而保护用户免遭黑客损害。当用户的计算机选择“隐形”模式时，由于所有网络行为均被禁止，所以无人能在网络上检测到用户的计算机，只有在用户定义的规则中明确准许的数据才能进入。用户可在互联网上自由地隐形漫游，连DoS攻击都可以抵御。

　　1.2
系统需求

软件需求	硬件需求
MS Windows 98
· Microsoft Internet Explorer 5.0 (推荐 5.5 SP2 以上) · TCP/IP 协议	· 133MHz Intel Pentium processor (或兼容) · 32MB 内存 · 50MB 空闲硬盘空间 · 局域网 (以太网) 或 拨号连接
MS Windows ME
· Microsoft Internet Explorer 5.0 (推荐 5.5 SP2 以上) · TCP/IP 协议	· 150MHz Intel Pentium processor (或兼容) · 32MB 内存 · 50MB 空闲硬盘空间 · 局域网 (以太网) 或 拨号连接
MS Windows NT 4.0
· 安装 SP6.0 或更高Windows NT 4.0 工作站 · Microsoft Internet Explorer 5.0 (推荐 5.5 SP2 以上) · TCP/IP 协议	· 133MHz Intel Pentium processor (或兼容) · 32MB 内存 · 50MB 空闲硬盘空间 · 局域网 (以太网) 或 拨号连接
MS Windows 2000 Professional
· Microsoft Internet Explorer 5.0 (推荐 5.5 SP2 以上) · TCP/IP 协议	· 133MHz Intel Pentium processor (或兼容) · 64MB 内存 · 50MB 空闲硬盘空间 · 局域网 (以太网) 或 拨号连接
MS Windows XP Home Edition/Professional
· Microsoft Internet Explorer 5.0 (推荐 5.5 SP2 以上) · TCP/IP 协议	· 300MHz Intel Pentium processor (或兼容) · 128MB 内存 · 50MB 空闲硬盘空间 · 局域网 (以太网) 或 拨号连接

　　1.3
功能

卡巴斯基反黑客拥有以下功能：
1. 监控所有您计算机上的TCP/IP网络流量。一旦发现网络上的可疑行为将通知用户，如果需要，还可以阻断该连接。保证您计算机上的数据安全。
2. 能阻断大部分的进出计算机的网络攻击同时通知用户关于该攻击。
3. 能检测端口扫描。
4. 可以显示所有已经建立的网络连接，开放端口和活动的网络连接，同时可以阻断不想要的连接。
5. 不需要专门的配置就可以使用该软件。卡巴斯基反黑客拥有五个安全级别用于管理：允许所有，低，中，高和阻挡断所有。缺省为中（学习模式），该配置级别需要用户对每个事件都要进行响应。
6. 卡巴斯基反黑客允许用户调试保护系统策略。
7. 可以记录某些网络安全事件，同时可以针对要记录的日志内容进行修改。

二、安装

·
1．运行安装程序

·
2．出现安装向导对话框，点击下一步

                  ·
3．阅读许可授权协议，点击“我同意”继续。如图

        

        

[ 本帖最后由 Redevil 于 2007-10-13 18:22 编辑 ]

吹牛皮

自我宣传谁都会,杀毒软件最主要还是看杀毒效果,运行的稳定性,卡巴在这方面还是有所欠缺的.

yonggang

·
4．输入用户信息，点击“下一步”

·
5．重要信息请仔细阅读后点击下一步

·
6. 添加授权许可文件

·
7. 选择安装文件夹，点击“安装”继续安装。

·
8.安装ing

·
9.安装完成（需要重启）

·
至此安装工作全部完成。

·
三、使用

3
．1开始运行程序。配置安全系统实例

安装该程序后，当电脑启动时安全系统将被启动。事实上，卡巴斯基反黑客软件将监控来自局域网或因特网的攻击。在重启之后，卡巴斯基反黑客就已经随系统启动了，图标   就会显示在右下角的任务栏中。点击该图标会出现程序的主界面。

·
在这个窗口中，您能够看到关于当前安全级别的信息，如果需要可以改变它。它默认为中级。这个级别允许您以交互的方式配置您的安全系统。大多数情况您不必自己配置系统：大部分经常使用的的应用都是被允许的。有时您也必须手动配置您的安全系统。下面结合一个例子讲解一下：
假设您的电脑已经连接因特网，并且已经打开了浏览器进入www.kaspersky.com.cn网站。屏幕上将会显示如下信息：为IEXPLIORER.EXE建立一个规则。在这种情况下，由于该规则尚未被添加所以网页是打不开的。如图：

·
在这个对话框上面您可以看到和应用程序有关的图标，它的名称（Internet Explorer），站点地址60.28.75.68，以及会话端口HTTP(80)。您可以点击该连接查看详细信息，如图：

·
在您选择如何处理这一应用行为前不会建立网络连接。这样一来，您必须对屏幕上的信息做出反应。

·
在这里如果点击确定，这样一来，卡巴斯基反黑客软件将允许微软IE浏览器建立连接。另外，允许应用程序建立与该类型一致的其他连接。选择允许一次的话效果和点击确定相同，不过下次再打开浏览器时还会出现该提示。可以看一下应用程序规则，这时候规则中多出了Internet Explorer这个规则，查看定义规则的列表。在服务菜单中选择应用规则或者在主窗口的工具栏中点击

按钮。如图：

·
可以看一下允许后的效果，如图：（网页可以正常显示）

·
下面看一下阻止该应用程序的效果选择阻止该程序任何的网络活动后，点确定。这样一来，卡巴斯基反黑客软件将阻止IE浏览器建立连接。另外，阻止应用程序建立与该类型一致的其他连接。选择阻止一次的话效果和点击确定相同，不过下次再打开浏览器时还会出现该提示。

阻止后效果如下图：

·

·
3.2
卡巴斯基反黑客的**作原理

卡巴斯基反黑客软件能使您的计算机免受网络攻击并且保护您的机密数据。为了实现这些目标，卡巴斯基反黑客软件将会监控在您计算机上的全部网络**作。
有两类网络**作：

·
在应用水平(高级水平)上的**作。在这一水平上，卡巴斯基反黑客软件将会分析网络应用上的活动，包括Web浏览器，邮件程序，以及文件传输程序和其它程序。

·
在包级(低级)上的**作。在这级别上，卡巴斯基反黑客软件会通过您的网卡或者调制解调器来分析发送/收到的数据包。

您可以与卡巴斯基反黑客软件合作为网络**作创建特别的过滤规则。某些过滤被可以进行端口扫描的入侵检测系统自动进行，如DOS 攻击，等等，并且随后能阻击攻击者。
另外，您能定义您自己的过滤规则来加强对您机器的保护。对不同类型的网络**作来说，卡巴斯基反黑客软件都有相应的隔离列表规则。

·
应用规则。这里您能选择被请求的应用并且允许与应用程序类型一致的活动。如果需要，您可以为每一个应用定义任意数量的规则。如在您的机器上检测出有不符合条件网络活动，程序将会提示您并且允许您阻止那些不需要的行为（如果中级在应用）。为了给一个应用程序定义的最简单规则，您可以很轻松地从下拉式菜单中选择它的类型。
要
确定一个更为复杂的规则，你可以为这个应用程序指定远程服务和允许的地址。

·
包过滤规则允许或者阻止在您的机器上发送或接收网络包。这些规则检查包头(使用的协议，端口数目，IP 地址等等)，并且根据这些数据作出决定。这些规则将所有网络应用运行在您的机器上。例如，如果您创建了一个规则阻止了某个IP 地址，那么所有与这个IP 地址相关的网络通信将被禁止。

包过滤规则相对应的用程序规则有较高的优先权，像IE这些规则将优先被推荐。例如，如果您创建一个了规则来阻止全部输入和输出数据包，
这样程序将会在过滤数据包时不执行应用程序规则。

[url=]3[/url]．3安全级别

程序允许您选择如下安全级别：

• 全部允许—使您的计算机丧失安全系统。当您选择了这一安全级别的时候，您的计算机会允许任何网络活动。.
• 低级别—允许除用户明确禁止的应用规则以外的一切应用程序的网络活动。
• 中级别—报告与您的应用程序有关的网络活动，并且允许您将安全系统配置为最佳性能。如果计算机中的网络应用程序试图连接局域网或者因特网，训练模式将被启动。应用程序和网络**作的详细信息将会显示在您的屏幕上。以这个数据为基础，程序将会提示您从下面的做法中选择其一：这次允许或者禁止这个事件；完全禁止这个程序的活动；根据它的类型允许程序行为；或者定义额外的网络通讯设置。根据您的选择，程序会为这个被随后的程序自动调用的应用程序建立一条规则。

• 高级别—禁止除用户明确允许的应用规则以外的一切程序的网络活动。当选中这个安全级别时，程序练习对话框不会显示在您的屏幕上，并且在用户规则中没有定义的一切连接行为都将被禁止。
• 全部禁止—计算机接入因特网或者局域网的**作都被禁止。这个级别使试图通过因特网或局域网建立连接的行为都被禁止，就好像您的电脑被物理隔离开一样。
• 您可以通过辅助安全工具—隐蔽模式设置高，中，低级别。这个模式只允许您启动网络活动，除用户规则中明确允许的以外，所有其他活动方式（远程接入您的计算机；通过ping命令连接您的计算机等等）都是被禁止的。事实上您的电脑在外部环境中变成了隐身状态。黑客们不会发现您，并且一切试图连接您计算机的行为注定失败。同时也防止了一切类型的DoS（拒绝服务）攻击。与此同时，当您连接网络时不会感到这个模式有任何不利的影响：卡巴斯基反黑客允许从您计算机上发起的网络行为。
• [url=]3[/url]．4程序界面
• 1．安全级别设置

      
      2．应用程序规则
选择工具栏中的]应用程序规则，出现下图对话窗口（在这里可以进行添加删除修改等**作）。
         

yonggang

·
3．信息包过滤规则
选择工具栏中的

信息包过滤规则，出现下图对话窗口（在这里可以进行添加删除修改等**作）。

·
4．安全性
选择工具栏中的

安全性，出现下图对话窗口（在该窗口中显示日志）

·
5．活动的网络应用程序
选择工具栏中的

活动的网络应用程序，出现下图对话窗口（显示了活动的应用程序及其开放的相应端口）。

·
6．端口
选择工具栏中的

端口，出现下图对话窗口（显示了本地所开放的所有端口）

·
7．连接
选择工具栏中的

连接，出现下图对话窗口（显示正在与远程通信的应用程序）

·
8．设置
选择工具栏中的

设置，出现下图对话窗口
普通

·
入侵检测系统

·

卡巴斯基反黑客能够检查出大部分DoS攻击（SYN洪流，UDP洪流，ICMP洪流），致命的Ping,探测端口扫描**作，更强大的攻击如下：

·
Ping of Death包含将64K（极限值）ICMP包发送到您的计算机中。它可能会导致一些**作系统突然死机。

·
Land攻击包含将自身连接的请求（计算机被请求连接自身）发送到计算机中。形成一个回路，使计算机试图连接它自己。因此，使突然死机的可能性迅速变大。

·
扫描TCP端口攻击包含检查您计算机中打开的TCP端口。这种攻击类型习惯于查找计算机的弱点，是种更危险的攻击类型。您可以为这种攻击类型进行设置：端口号：—远程机器尝试打开的端口号码，时间（秒）：—它所用的时间。

·
扫描UDP端口攻击包含对您计算机中打开UDP端口的探测。这种攻击是通过在一定时间周期内对不同计算机端口发送UDP包的数量进行探测。这种攻击通常是搜索计算机的弱点，是种更危险的攻击类型。您可以为这种攻击类型进行设置：端口号：—远程机器尝试打开的端口号码，时间（秒）：—它所需的时间。

·
SYN攻击包含将失败连接的请求发送返回到计算机中。为每一次连接请求从系统预备品中确定资源。计算机不会对来自其他资源的连接请求作出回应。您可以为这种攻击类型进行设置：连接数：—远程计算机试图建立连接的数量，时间（秒）：—它所需的时间。

·
UDP流量攻击是对您的计算机发送特殊的UDP包。这些数据包在受影响的设备间不停的传送。因此这些攻击消耗了实际资源，使通讯线路超载。
您可以为这种攻击类型进行设置： UDP包数量：—引入UDP包的数量，
时间（秒）：—它所需的时间。

·
IDMP流量攻击包含对您计算机的ICMP包的发送。会增加受影响的计算机中CPU的负荷，比如它对每一个包的回应。您可以为这种攻击类型进行设置： ICMP包数量：—引入ICMP包的数量，时间（秒）：—它所需的时间。

·
Helkern攻击包括对一个被攻击的计算机发送特殊的UDP包（能够执行一个恶意代码）。这种攻击会导致Internet连接中断。

·
SmbDie攻击包含尝试建立一个SMB连接，如果攻击成功，一个特殊的数据包会从计算机缓冲区中溢出并被传送到一个被攻击的计算机上。导致用户必须重新启动**作系统。Windows 2000/XP/NT**作系统很容易受遭到这种类型的攻击。

·
Lovesan攻击是对您的计算机中Windows NT 4.0/NT 4.0终端服务版/2000/XP/Server (tm) 2003**作系统的DCOM RPC服务中的弱点进行攻击。当弱点被探测出，包含malware的儒虫病毒会在您的计算机上进行任何想要得到的处理，被下载到受侵袭的计算机上。

日志

·         

9.内容和索引
选择工具栏中的内容和索引，出现下图对话窗口（显示帮助文档）

注：所有这些功能都和菜单栏中相应菜单是一一对应的。 如下表

菜单命令	功能 (可以使用的命令)
服务　应用规则	显示程序规则的窗口。
服务　 包过滤规则	显示包过滤规则的窗口。
服务　 安全级别	选择安全级别： 阻断所有 高 中 低 允许所有 也可以在工作区中的选项选择需要的安全级别。
服务 　设置	显示可以设置安全日志、安全系统启动和攻击检测设置的窗口。
服务 　 退出	从计算机的内存中退出程序。
查看　 工具栏	从下面的图形界面中选择下面的选项 ： 标准工具 栏–显示/隐藏基本的标准的工具条。 自定义–显示可以定制程序图形界面的对话框。
查看　 状态栏	显示/隐藏状态条。
查看　 日志	显示下列日志： 安全 程序活动 包过滤
查看　 显示	显示包含系统细节的信息。 活动的程序 网络中活动的程序的列表 开启的端口用户计算机开启的端口的列表 已经建立的连接已经建立的连接的列表
帮助　 内容	显示帮助的主题。
帮助　 关于卡巴斯基反黑客	显示程序和Key的使用详细信息。
帮助　 卡巴斯基反黑客网站	打开卡巴斯基反黑客程序的网页
帮助　 安装许可 key...	添加许可 key 。

按钮	菜单	功能
	安全服务　 级别	选择需要的安全级别 阻断所有 高 中 低 允许所有 也可以在工作去窗口中选定需要的安全的级别。
	程序服务　 规则	显示程序规则窗口
	包过滤服务　 规则	显示包过滤规则窗口。
	查看　 安全　 日志	在日志窗口中显示安全日志。
	查看 　活动的　 应用程序	显示活动的网络程序的列表。
	查看 　打开的　端口	显示用户机器打开的端口。
	查看 　已经建立的　 连接	显示已经建立的连接。
	服务　 设置	显示可以设置的安全日志、安全系统启动和检测攻击的设置。
	帮助　 内容 ...	显示帮助主题。

[url=]3[/url]．5设置
1．自定义应用程序规则：（以添加flashget为例）
您可以在对话框上方找到应用规则列表。应用列中包括相关的应用图标，名称以及检测栏，使您可以或不可以通过他们的规则。在动作列中含有根据相应规则动作执行的详细资料；允许，规则允许一些事件，阻止，规则阻止一些事件。
根据它们完成的任务列出相应的规则。处于列表顶部的规则将被首先应用，然后程序第二次应用等等。如果一个应用程序试图执行一些网络请求，程序会将这个行为与规则清单进行对比，从头到尾的检索，直到发现与这个行为相对应的规则，或者查看全部清单。如果没有检测到相对应的规则，默认为该行为被允许。因此，如果您只是要对一个程序进行禁止**作，您需要对这个请求建立两条规则：第一条规则需要允许为这个请求希望得到的**作，第二条规则需要对这个请求阻止所有的**作。除此之外，第一条规则必须位于第二条规则的上方。如果您这样做了，应用程序将会试图执行一个允许的**作。卡巴斯基反黑客将会查找规则列表，并且查看规则决定是否允许这个**作。如果**作是不必要的，卡巴斯基反黑客将会使用第二条规则阻止所有的关于这个请求的**作。
打开应用程序规则，点击新建，如图：

yonggang

·
弹出新建应用程序规则对话框

·
用鼠标点击指定应用程序名称，指向flashget所在目录的程序主文件flashget.exe

·
可以看到这时该应用程序显示为flashget.exe可以改变其类型点击允许所有

·
可以选择一种合适的类型（这里选择允许所有就可以了）

·
回到应用程序规则窗口发现多出了一条规则，如图：

·
在这种情况下如果您运行flashget下载东西时就不会再出现提示，也不会再拦截该应用程序有关的一切活动。

·

2．自定义信息包过滤规则（以如何不让局域网内的用户在网上邻居看到自己为例）
看一下没添加规则之前，可以从网上邻居访问到我的计算机192.168.2.76，如图：

·
开始添加规则打开信息包过滤规则点击新建，如图：

·
弹出新建包过滤规则窗口，如图：

·
选择协议类型选择TCP协议，如图：

·
之后选择本地地址，并且指定地址，如图：

·
由于想让局域网内部所有机器都看不到，可以选择IP地址范围，我的机器在2网段，按下图设置可以屏蔽2网段所有机器访问到我的电脑。当然也可以指定某一个IP地址。设置好了点确定就可以了。

·
点击确定回到上一层，添加本地端口，选择指定端口。如图：

·
会弹出一个对话框选择指定端口号，并输入139端口，如图：

·
然后点击确定，一定要注意这里还没完，一定要指定信息包类型，不然别人从网上邻居上是看不到我了，可同样我也看不到别人了，这种效果不是我们想要的。我们想要的效果是别人看不到我，但我可以正常访问到局域网内的其他人。所以在这里需要设置一下，如图

·
在弹出的新窗口中选择，类型为输入。如图：

·
选择完后点确定，回到上一层，最终设置好的效果，如图：

·
点击下一步，在接下来的窗口，输入规则名，后点完成就可以了。如图：

·
由于要想不让别人从网上邻居看到你需要屏蔽139和445端口，139端口规则我们已经添加完成了所以接下来还要添加一个445端口规则，还要新建一个规则设置和前面139设置都相同只不过在指定本地端口为445就可以了，最后设置好的效果，如图：

·
测试一下规则创建，是否起到了相应的作用，从其他机器上访问我的计算机试一下，如图：

·
不能够再访问到，说明设置成功！^_^，而且我可以正常访问到局域网内的其他主机。
注：规则根据他们的优先权被列出来，在列表顶部的规则将被首先应用，然后程序会应用第二规则，依此类推。请记住只有通过检测框的规则被应用。
3.保存日志
选择主程序界面上工具栏中的安全性

·
弹出日志窗口，由于我的计算机到目前为止，还没有受到攻击所以安全性日志里面都是空的。

·
比如想导出信息包过滤日志，选择信息包过滤，点击菜单上的文件－保存到文件

·
在弹出的对话框中指向想要保存到的路径，并且输入文件名，然后点保存就可以了。

·
反黑客软件下载地址：http://www.kaspersky.com.cn/KL-D ... 0_anti-hackerzh.exe

FENGYUWUZHU

卡吧的其他缺陷并不明显,最明显的就是误杀了.

matrix21

学习ing……
还有个问题想请教楼主: 装了KIS后，还有必要装卡巴斯基反黑客吗？二者会不会冲突？

xxp2277

谢谢LZ，好东西啊！

yonggang

一个KIS就足够了 ,没必要装卡巴斯基反黑客.

不过如此

好贴,学习了