卡巴斯基小技巧——加强防御未知的能力

XANADU

转自雨林木风  http://bbs.ylmf.com/read.php?tid=544565
作者：尐小三~γ

一、程序完整性控制
这是卡巴主防的精华与核心，相当于HIPS的AD功能，也是很多初学者的难点，如果不启用，则卡巴主防就失去了大半的意义

1、防御脚本病毒


完全阻止system32下的这两个文件，则所有 vbs、js脚本都不能运行
若需运行某些正常的脚本文件，取消这两条规则前面的勾即可

2、防御批处理病毒及恶意格式化


此规则禁止所有 .bat  .cmd命令执行
若需运行某些正常的批处理文件，取消这条规则前面的勾即可



此规则禁止格式化命令执行，所有在windows下的格式化操作都将失败

3、禁止svchost被恶意插入、修改



4、完全禁止alg.exe


alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。如果你不使用共享和XP防火墙，可以三个选项全部禁止，否则，禁止修改即可。

5、禁止系统自动更新


这个我是禁止了的，自动更新这种东西，不见得都是有益的，重要的更新可以通过360等工具手动打补丁。

6、允许rundll32.exe和explorer.exe的全部动作




这两个，还是允许修改的好，否则提示框太多了。rundll32.exe控制dll文件的调用，explorer.exe控制某些程序加载到资源管理器，虽然这两个东东经常被病毒利用，但是，如果禁止，系统将出现不可知的错误，如果询问，则弹框非常多。

7、禁止打印机程序被修改


打印机程序也经常被木马插入，禁止修改即可

8、完全禁止IE，彻底断绝灰鸽子的念头


这个设置的前提是，你不使用IE浏览，IE常常被灰鸽子插入，且使用正常端口联网，防火墙一般默认对IE的联网动作放行，禁了IE就彻底断绝了灰鸽子的想法。PS：用遨游或其他浏览器上网即可

9、防御远程控制




telnet.exe为系统自带远程控制，也常被木马利用，禁了它，同时封闭本机3389端口
tftp.exe也是同样道理，用于远程连接的

10、防御机器狗及其变种


机器狗都会修改userinit.exe达到破坏计算机的目的，禁止这个修改，就可有效防御机器狗（最绝的是用NTFS权限设置禁止userinit.exe被修改、写入）

11、禁止conime.exe和ctfmon.exe
这两个也是用来防御机器狗变种，新的机器狗会将这两个文件也修改（conime.exe三个动作全禁止，ctfmon.exe
禁止修改），还有explorer也可以设置禁止被修改（但要允许它运行），不截图了

其他设置，可以视自己的情况而定，你可以随意禁止本机上的任何一个可执行文件被执行、修改、作为子进程执行，卡巴的AD还是不错的，缺点是，只能对所限制的路径进行控制，比如禁止执行c:\qq\qq.exe，但d:\qq\qq.exe却不受限制，可以运行，它也不支持环境变量和通配符，相比HIPS，灵活性仍然不够。不过卡巴8的AD将得到进一步的加强，控制方式也进一步细化，包括写入、修改、执行、删除、枚举等等


二、注册表保护
这里不多说，卡巴的注册表保护已经相当的全面，包括映像劫持、破坏文件关联、隐藏属性等，默认的规则都可防御，这里只说一条，加这样一条规则：
键  ：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值  ：AVP
规则为：允许读取，禁止修改，禁止删除
以此防御企图删除卡巴自启动项的小木马们


三、反广告条设置
这个功能不仅可以反广告，还可以像host文件一样，屏蔽恶意网站

1、反广告启用启发式分析法


其实就和遨游的广告过滤的“正则表达式”是一个原理，通过通配符来屏蔽广告

2、黑名单设置可屏蔽恶意网站


附件有我自己搜集整理的一些毒网，导入到这个设置里就可以了，这些毒网将被完全屏蔽。如果你发现了毒网，也可以将其添加到这个黑名单中，按我的格式就可以了。

[ 本帖最后由 XANADU 于 2008-1-30 23:53 编辑 ]

wangjay1980

呵呵，直接阻止不好，不好。偶喜欢提示操作^_^

wangjay1980

还有卡巴会自己保护自己的注册表键值，不用加规则。

1和2规则加上的话，十分有利于一些专门针对卡巴主防的病毒木马，而且完全不会对系统造成影响。

XANADU

提示弹框很烦人的
能阻止的就阻止了吧

题外话：当我和卡巴一族的版主谈通配符的时候，对方一开始居然说无必要，等我解释半天后，对方才说会将意见转达官方   

XANADU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这个注册表项，卡巴只提示。。。
所以干脆将AVP键值保护起来

wangjay1980

有时候直接阻止会带来一些问题的

还有就是我比较喜欢自己控制

你根本不用去卡巴一族问有关软件开发等问题，因为该怎么做完全是由卡巴俄罗斯TEAM决定的，问题最好到总部提，那里会有直接的反馈。

卡巴一族说白了就是普通的客服，解答一些卡巴普通使用问题的地方

深红的雪

终于看到有人发关于卡巴主防设置的文章，只是想不到竟然是发在雨林

一、程序完整性控制
这是卡巴主防的精华与核心，相当于HIPS的AD功能，也是很多初学者的难点，如果不启用，则卡巴主防就失去了大半的意义

十分赞同

不过有些设置不妥，例如规则2，直接把cmd.exe阻止运行了会问题不少。且不谈批处理，不少软件的卸载都会调用cmd来删除文件.............将此规则细化会更好，例如，阻止cmd调用某某程序

程序完整性控制能做的事其实还有很多

XANADU

原帖由 wangjay1980 于 2008-1-30 23:56 发表
有时候直接阻止会带来一些问题的

还有就是我比较喜欢自己控制

你根本不用去卡巴一族问有关软件开发等问题，因为该怎么做完全是由卡巴俄罗斯TEAM决定的，问题最好到总部提，那里会有直接的反馈。

卡巴一族说 ...

不懂俄语，所以拜托卡姐去询问了

XANADU

原帖由 rappar 于 2008-1-31 01:07 发表
终于看到有人发关于卡巴主防设置的文章，只是想不到竟然是发在雨林


十分赞同

不过有些设置不妥，例如规则2，直接把cmd.exe阻止运行了会问题不少。且不谈批处理，不少软件的卸载都会调用cmd来删除文件 ...

对于CMD，我自己的设置是询问。控制CMD调用某程序，卡巴办不到。。。。。但可以控制其他程序调用CMD，也就是禁止CMD作为子进程运行

PS：希望各位高手一起来完善吧。帖子首发在哪里不重要，能分享给更多人就好。

[ 本帖最后由 XANADU 于 2008-1-31 01:56 编辑 ]

wangjay1980

一切都在卡8面前没有意义了，还是好好研究卡8吧

会用卡巴的人基本不会用别人做的教程,自己完全可以玩的了。

不会的人（或者说对主防还比较陌生的人）用了这种教程又会出现问题（因为好多都直接阻止了），到时候又要发帖说“我的什么什么怎么无法使用，卡巴阻止了我的什么什么”。遇到问题后他们还不知道实际是自己设置的问题，也当然不会知道该怎么去解决。

规则一定要适合自己才好，所以我一直不建议修改默认规则。

卡巴的主防只需要设置一个规则，就是EXPLORER全部允许（这个是最大的提示源）

其实真正应该出的是如何让新手理解卡巴的主防

[ 本帖最后由 wangjay1980 于 2008-1-31 09:07 编辑 ]