智能主动防御，未知病毒的克星

north_wolf

智能主动防御，未知病毒的克星
　　“熊猫烧香”病毒的肆虐让成千上万的网友生动得为我们演译了一场“满屏尽是大熊猫”，明明安装了杀软并且开启了实时监控，还是惨遭毒手。出现这样的情况并非杀毒软件无能，而是传统的技术是依靠特征码对病毒进行识别的，如果病毒未被杀毒软件公司收录入库，我们就始终无法查杀，病毒还是一样逍遥法外。
　　而江民杀毒软件的用户却无缘与国宝大熊猫相会，谁是“罪魁祸首”？答案是：主动防御。何为主动防御？相信我不用再啰嗦，因为07年被炒得最热的当属主动防御。主动防御的方面很广，但其核心技术是靠病毒行为对病毒进行拦截和判断的，无论病毒怎么改变但其执行的恶意行为不会变，只要执行恶意行为就难逃主动防御的法眼，就在熊猫烧香试图对系统进行破坏时被主动防御给拦截了，作为江民的用户，多少觉得有些遗憾，因为这样著名的病毒与我们无缘啊～
　　其实KV系列很早就有了主防，但是在KV2008版工程师重新对主动防御进行结构调整、扩充后才明确提出来，08版增强了主动防御的易用性和智能性，相比其他杀软，KV2008的主动防御是广义的，我们可以看到其防御保护非常全面，主动防御在江民这里有了新的诠释：即主动去阻止一切安全隐患（包括未知病毒行为、系统漏洞等）。

我们可以看到KV2008的主动防御可以设置安全强度，这给我们日常的工作以及安全性带来的很大的便利性，不必为不懂怎么设置而头疼，只需简单拖动鼠标即可调整安全级别。如果你觉得主动防御经常影响你的工作，你可以勾选“服务器模式”，这样KV就会对可疑行为采用智能处理模式尽可能静默的运行。
　　下面以最新的“磁碟机”变种为例看一下主动防御的效果，该病毒号称目前可以干掉所有的杀软（病毒重置SSTD，向杀软发大量送消息以关闭杀软，经过测试，在未处理前卡巴、微点、江民等等许多杀软都被关闭了，但是江民率先对此问题做出了解决方案，笔者立即对KV208进行升级），会感染可执行文件，中毒之后非常难以清除：



面对新的威胁江民、针对新病毒采用新的技术，江民率先做出了响应，我们看到升级后的KV2008并没有被“磁碟机”病毒Kill掉，每一步都被KV2008的主动防御给拦截了，没有给磁碟机任何的机会，之后我们上报了此病毒，在此病毒入库后我们又对系统进行全面检查，扫描后并未发现有任何感染的迹象，看到这里我们应该明白KV2008已经在病毒未入库的情况下可以防御此病毒。



使用KV2008默认的主动防御规则即可以防御绝大多数病毒，但并非全部，我们还可以自定义规则，不过定义规则涉及到专业的知识，所以不推荐给普通用户使用，不过如果你想增强主动防御的安全性和严厉性，可以安装主动防御规则增强版，可以在江民论坛上找到。
主动防御使用原则与技巧：把经常使用的程序加入白名单，这样即可减少主动防御的拦截提示，减少对我们日常学习工作的影响，当你遇到主动防御的拦截提示时，不要因害怕而不知所措，主动防御上已经有非常人性化的信息提示我们该如何操作，我们在使用时的原则是如果是我们认识的程序或者是我们自己点击运行的程序，我们就点“允许”，如果是我们不认识的程序或者不是我们触发的行为，我们就点“禁止”。

jumpahaha

感觉机子慢了好多，我比较喜欢江民的系统诊断和未知程序检测模块

njdzhan

感觉江民不错，就是拖系统，不然也用一下了

zjf954

HIPS而已，没有这么神

leonfg

不明白的用户 还是会点允许