对于主动防御的报警提示，如何区分

此图是样本区的，下载到磁盘特定位置的病毒样本运行后主防报警，知道是病毒引发，病毒文件的路径位置一目了然。
如果是在平时，此病毒通过其它途径悄悄进入系统某正常软件中（如浏览网页中招，过特征码扫描和启发，混入正常程序中，不运行，主防也不能报），如果病毒跟随正常程序运行后，主防的报警，那个进程路径就不会如图中F:\病毒样本\..那样，可能就变成C:\某正常程序\..了吧，如此怎么辨别就是病毒所为呢？
本人很菜，不要笑话啊

[ 本帖最后由 hdjsn 于 2007-11-19 22:17 编辑 ]

opuy

沙发

Redevil

看详细信息
看看都有什么动作
靠自己判断

wangjay1980

1.如果是正常程序的话，一般只会在你运行它的时候，卡巴才可能出现提示。也就是说，你很清楚这个程序是你自己运行的，运行后，因为它触发了卡巴的规则，卡巴给出提示。

2.而对病毒来说，它总是偷偷的，在你不知情的情况下运行的（自己运行病毒除外），也就是说，你会莫名其妙的突然看到卡巴的提示

3.出现提示后，你首先要看程序的名字和路径（病毒的名字一般都很奇怪），这个卡巴都会给出，然后点击“详细信息”卡巴会更加详细的描述此程序的活动。

4.你如果实在不知怎么做的时候，你就一定要先选“终止”或“阻止”。这里的“阻止和终止”不是永远阻止，而是就这一次，这样即使是正常程序被终止也无所谓，再运行一次就行拉

[ 本帖最后由 wangjay1980 于 2007-11-19 22:31 编辑 ]

浪滔天

是自己运行正常程序出现提示的话可以添加到信任，如果实在不知道是不是正常程序，可以先终止进程并在接下来的提示中选择“恢复”（选择“恢复”可以还原这个进程对系统做过的更改），然后将这个文件上报卡巴，一般1-2个小时后就有结果了。

正常程序很少会出现这样的提示，碰到的话不妨上报一下，或者在详细信息里看一下生成物的名称等，然后网上搜一下一般都能找到答案。

[ 本帖最后由 浪滔天 于 2007-11-19 23:39 编辑 ]

zhangjianbing

我也是按照是自己运行的程序给放行,不知道就阻止

谢谢，正在努力学习看详细信息

谢谢~
收藏~

[ 本帖最后由 hdjsn 于 2007-11-20 13:32 编辑 ]

tonger2003

通过行为来分析

比如注入进程 删除文件 修改注册表。。。

要了解正常程序安装过程中 有什么行为

比如说正常程序安装中没有上述行为 但你下的这个程序有上述行为的话 就有可能放了病毒和木

马

谢谢老浪，学习~

[ 本帖最后由 hdjsn 于 2007-11-20 13:53 编辑 ]