KV2008——反毒的利剑

north_wolf

KV2008——反毒的利剑
现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标，也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样，没有实质的东西，当然这样的软件也不能称之为杀毒软件。通过实用，可以看出江民杀毒软件独自核心杀毒技术的有效性，而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。
    1.利剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒，其破坏性不亚于当年的“冲击波”病毒，但是现在人们的防范意识逐渐提高，才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视，所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。
    中了“魔波”病毒变种之后，病毒会在%systemroot%\system32目录中生成"wgareg.exe"病毒文件，并且会将自身加入系统服务中，使系统自带的“任务管理器”无法结束其进程。

经过在虚拟机上的病毒行为分析之后，传统查杀方法如下：右击“我的电脑”进入“计算机管理”中，选择“服务和应用程序”中的“服务”，选中病毒创建的服务"Windows Genuine Advantage Registration Service"，将其“启动类型”设置为“已禁用”，下次计算机启动的时候就不会加载该服务；再定位到%systemroot%\system32目录下，将"wgareg.exe"程序删除；最后进入注册表，将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg键值全部删除即可

虽然这样可以杀除“魔波”病毒，但是对于很多计算机用户来说，毕竟还不是很容易。KV2008完全考虑到了这一点，使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。
    打开KV2008，在菜单栏中选择“系统安全”，选择“进程查看器”，再定位到"wgareg.exe"这个进程上，可以清楚地看到，江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。

这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程，选择“结束进程”即可将该进程结束，之后进入该病毒的文件夹中，将其删除即可彻底查杀该病毒。值得一提的是，江民的“进程查看器”不仅仅是简单的结束一个可疑的进程，它还会将这个可疑进程的服务给关闭掉（这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程，而江民却可以的原因）。再进入%systemroot%\system32文件夹下将病毒文件删除，最后清理注册表即可。
    从这里可以看出，江民的杀毒能力堪称一流，即使是一款附带的“进程查看器”都有这样强大的功能，不难看出江民强悍的杀毒能力！
    2.利剑斩木马。木马在这个时代是越来越猖獗，灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道，给信息安全带来了极大的隐患。它们所使用的技术也是不断更新，有的使用系统文件名漏洞来隐藏自身，有的是使用与其它程序进行捆绑来隐藏自身，还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段，江民杀毒软件都可以有效查杀这些木马！
    这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。
    如果中了最新的“上兴”木马之后，它会冒充iexplorer.exe和calc.exe进程（当然，对于不同的木马配置，这两个进程会有所改变），并且使用Rootkit隐藏这两个进程，在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程

但是如果直接将其结束进程之后，并不会得到想要的结果，结束进程之后不一会儿它们的进程会再次启动。由此可以知道，“上兴”木马是使用双进程保护技术的，如果其中一个进程被结束了，而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护，导致江民的“进程查看器”无法将其结束。
    但是和上面的“魔波”同样是系统服务，为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢？分析之后认为，“上兴”木马是使用的进程插入技术，将自身插入到iexplorer.exe和calc.exe中，而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的，所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此，iexplorer.exe和calc.exe就会不断的被启动，并且相互保护对方的进程。
    既然“上兴”使用的是系统服务来保护自身，那么就可以找出“上兴”的服务，从而对症下药。单击“开始”菜单，选择“运行”（快捷键是Win+R），输入“msconfig.exe”（不含外边中文引号），打开“系统配置实用程序”，之后切换到“服务”选项卡，再将“隐藏所有的Microsoft服务”复选框选中，就可以清楚的看到哪些服务不是系统服务了。

很明显，"Windows_Rejoice2007_45"是一个非常可疑的服务，之后再右击“我的电脑”选择“管理”，进入“服务”，再找到"Windows_Rejoice2007_45"服务，将其“启动类型”设置为“已禁用”

再打开KV2008，打开“任务查看器”，将iexplorer.exe和calc.exe结束，最后进入Windows目录，将病毒删除即可。
    3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己，比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点，使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹，双击打开之后就会出现错误的提示，

这样我们就无法进入这个文件夹中清除病毒了。
    但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒，清理起来非常简单。直接扫描后杀毒就可以清除了，

路径，是D:\Lab\Virus.\wgareg.exe）。不仅如此，KV2008也可以直接查杀SYSTEM帐户控制的文件夹（通常情况下，这类文件夹是Administrator类型的帐户无法访问的），比如系统还原文件夹。不得不说KV2008的查杀能力之强大！

spy

界面再好一点就好了

beyondcloud

如果把界面，防火墙，网页监控和软件本身稳定性、兼容性提升到高档次，江民杀毒软件确实是相当不错的了

[ 本帖最后由 beyondcloud 于 2008-2-15 21:42 编辑 ]

gho

呵呵对KV2008有些陌生，学习了

zatman

枪手...

alskdjfhg

原帖由 zatman 于 2008-2-16 18:47 发表
枪手...

我就问你什么是枪手？

liudreamever

现在已经习惯用江民了