我的KV2008的监控设置和主防规则

klnh

以前我只开文件监控，其他全部关闭。不过目前病毒有太多途径传播，你即使打全了系统补丁，可是现在病毒利用的漏洞已经不仅仅是系统本身的漏洞，迅雷、QQ、RealPlayer等等应用软件的漏洞到处都是……没办法，俺也要动用主防了，之前的的“KV2008主动防御规则2.0”仍然非常有效，但是我的目的是做到BT！！！我要的是超严厉规则，所以不走寻常路。

监控：仅开启文件监控和主动防御的系统监控，其它的全部关闭

主防的规则我只自己加了一条：试图生成文件！（所有试图生成任何格式文件的行为都会询问）

没有增加其它任何自定义规则，木马一扫光也没有自定义规则，我都没开启这个功能

这样做优点：以目前病毒的行为来看，这样可做到99.99%的拦截病毒，而且资源占用好小。有了那条自定义规则和默认的规则，其它规则全部多余。

我的软件环境稳定（不爱经常安装软件），加上KV2008默认白名单以及其自己有一套判断程序可靠性的分析方式，所以主防不会草木皆兵的什么程序都提示。

此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：



实在抱歉各位，因为最近再忙自己的生意，所以帖子有些少，不过还是现转帖一下吧，这个是江民官方论坛P版主的帖子

pluto1313

如果是用户自己运行程序的话，必须是exe、com、bat、cmd、scr、pif这几个后缀中的任意一个才能执行，而病毒执行其他程序就不一样了，随便什么后缀，只要它是可执行程序，那么病毒就可以把它当成程序一样执行（比如：abc.exe我们把它改成abc.123，那么我们就不能执行它了，但病毒却可以照样执行它）。

所以现在很多病毒都生成一些乱七八糟的文件，比如123.abc什么的以逃避HIPS的文件防护的监控（HIPS是依靠规则保护的，一般规则就防护exe等文件的生成）

看起来很麻烦的规则，其实不是。KV的白名单以及KV自己内部有一套判断程序安全性的分析方法，主防不会动不动就提示，当然这样设置后提示还是相对比以前多。


————追求高安全或者BT的人适合

yjwfn502

好像我发晚了,刚发出去才看到,,,有了...

[ 本帖最后由 yjwfn502 于 2008-4-13 16:05 编辑 ]

Guace

这样倒不如装个HIPS好了.....

tiancai2nd

原帖由 Guace 于 2008-4-14 00:02 发表
这样倒不如装个HIPS好了.....

这个连特征码监控查杀也有，岂不更好？虽然江民的主防模块没法跟专业的HIPS比，但设置好了也还是很易用的。

zjh106

我怎么没有这个系统监控呢只有三个