KIS 2009 设置探讨 （以KIS 8.0.0.357 TR为例）

zwl2828

转自：http://dx-bbs.ylmf.com/read.php?tid=728550
作者：尐小三~γ

KIS 8.0.0.357 TR已经发布，TR意为技术发行版，已经非常接近正式版，预计正式版也不远了。357版已经非常稳定，暂没有发现什么重大的BUG，可以放心使用。
KIS 8 系列相比7系列 有了非常大的变化，整个体系都改变了，而且引入了完整的3D HIPS，加上改进了PDM、全新的引擎、优化的资源占用和扫描速度，简直成了我心目中的王者。

下面就KIS 8的设置与各位高手做一个探讨，互相学习。

KIS 8.0.0.357 TR 下载地址
http://dnl-eu2.kaspersky-labs.com/devbuilds/TR/KIS/kis8.0.0.357en.exe
数字签名 4月30日 22点
MD5    8DAB0E6E16C29AA6232BF886AA030038
可用正式版KEY激活，也可用麦田的破解工具  循环试用30天，相关工具及汉化请自行搜索。

一、安装
安装过程省略，建议自定义安装组件，去掉“邮件保护”“反垃圾邮件”和“家长控制”。
安装完后要求重启，重启后就搞定了。

二、资源占用
安静状态下，CPU占用为0，物理内存占用40M，虚拟内存占用45M，一共不到100M。这个数字很平稳。



三、扫描
扫描C盘，共扫描30492个文件，耗时2分59秒，实在是太快了，比卡7快太多，这个速度已经不输给NOD32





扫描时的资源占用也很合理，CPU占用基本在50%左右，内存占用在180-300M之间，而且扫描时候会自动为其他程序释放内存。我同时开了迅雷、遨游和QQ，扫描时也不觉得卡





扫描设置用的是最高启发，最严格的级别





我只能说，卡巴8太流畅了，那些号称占用资源小的杀软，在卡8面前，已经完全没有任何优势。

四、设置
卡8的设置，比卡7要傻瓜得多，HIPS和防火墙采用组权限的方式，来对程序进行限制，这有点类似XP的用户组权限。具体就不说了，在之前已经有过许多文章来描述卡8的组权限问题。

右键托盘图标，打开设置界面



下面重点说系统安装设置，其他设置直接上图，不作说明，自己理解。

1、反恶意软件设置











2、系统安全设置（重点探讨）



卡巴默认分了四个组，每个组的默认权限不一样，而且每个组的权限都是可自定义的



右键点击权限设置的地方，可以看到卡巴对程序的行为有“继承”“允许”“拒绝”“提示”四种操作。



我们可以保持默认的组权限，而只需对个别程序进行单独的权限设置，或者直接采用默认方式。以遨游为例，卡巴默认将其分入信任组，对其一切行为，包括联网行为，自动放行，防火墙也不提示。并且卡巴对遨游的一切行为均有记录，这样也便于帮助我们分析病毒的行为，并予以有效的手工查杀。









这里还不是设置的重点，因为这些，在程序第一次启动时，卡巴就自动给它分了组，对可以识别的程序是自动分到信任组，信任组程序拥有一切权限，卡巴对其行为没有任何提示。

[ 本帖最后由 zwl2828 于 2008-5-2 05:30 编辑 ]

zwl2828

设置的重点在于卡巴的FD，设置好这个，病毒基本就没有机会了。
先看看卡巴默认的FD规则，默认对系统关键文件进行了保护，并且支持通配符
  


这些默认规则虽然能起到很好的防御作用，但是对于高手来说，是远远不够的。人性化的卡巴也提供了自定义规则的功能，这样，高手就可以对规则进行很好的扩展，以增强未知病毒防御能力。  
   
我们可以在“系统文件”这里直接添加规则，也可以单独添加一个组，命名为FD或“文件保护”，再添加一些扩展规则。      



这里的规则，我最初的想法是参考EQ等规则型HIPS来编写，比如
c:\windows\*.exe
c:\*.*
?:\autorun.inf
等

后来发现，这样编写的话，规则数量过于庞大，而卡巴对HIPS规则没有提供“导出”“导入”功能，将来重装的话会比较麻烦。经过反复的试验，结合卡巴的组权限，终于让我们得出一个简单规则的编写方法。

卡巴的HIPS是基于组权限的，不同组的程序对文件的读、写、删、建都不一样，所以这里的“文件保护”只要对需要保护的文件类型进行限制即可



如上图，以EXE文件为例
当信任组程序读取、写入、创建、删除EXE文件时，卡巴自动放行且无提示。而当其他组程序读取、写入、创建、删除EXE文件时，卡巴则会询问，未信任组程序则会直接阻止且不提示。

如此设置之后，只需要将常用的软件加入到信任组，病毒则无机可乘。对于RD和AD，卡巴有比较完善的规则，不需要自定义了。添加这样一个“文件保护”规则之后，就可以高枕无忧了，卡巴是绝对不会把病毒程序识别为“信任组”的。

卡巴HIPS只需要进行此处的自定义，其他保持默认即可！

3、在线安全设置
  


4、内容过滤设置


我没有装“反垃圾邮件”和“家长控制模块”，所以这里只有“反广告设置”，反广告采用启发式，它的效果比遨游的过滤效果好。黑名单可采用我以前整理的卡7的黑名单。

5、扫描设置
一律采用高启发，卡8的启发比7，还是有了很大的加强







6、其他设置
其他设置就不说了，和卡7差不多，可以参考以前的文章
就啰嗦一下“威胁与例外”

这里的“威胁与例外”是针对卡巴的PDM，也就是主动防御的，卡巴的主动防御和HIPS不是一个玩意，他们是两个相对独立的模块。

主动防御的设置如下图



当有程序触发上述规则时，卡巴会报警，而不论这个程序是否信任组。如果是正常程序需要排除，则需要在“威胁与例外”中添加 。



简单的说：
信任组 针对 HIPS （KAV8没有HIPS模块，而只有主动防御）
威胁与例外 针对 主动防御（PDM）

五、防火墙
卡8的防火墙与7相比，也有了很大的不同，我没有找到隐身模式的设置。卡巴预置了许多数据包规则，我们也可进行自定义来增强防御力。




可惜，我一向对包过滤比较白痴，所以没有弄懂卡8的包过滤规则设置，希望有高手不吝赐教。

laolaoliu

此文是要支持一下的

wangjay1980

此人对卡巴8也有不错的了解

至于具体设置，个人有个人的爱好

Guace

只可惜该作者的RP不行

尤金卡巴斯基

不错的文章，欢迎转帖

[ 本帖最后由 尤金卡巴斯基 于 2008-5-1 22:37 编辑 ]

backhamchen

4楼的高手可不可以写一篇卡巴8的每个模块的具体功能和推荐设置  谢谢！    因为我知道阁下对卡巴8.0 的了解很深  而在下对8.0还属于白痴型  不知道如何设置   望不吝赐教

[ 本帖最后由 backhamchen 于 2008-5-1 22:46 编辑 ]

Redevil

指出原作者的一个错误
TR为技术发行版，表明现在技术已经成熟
RC才是正式发行候选版

yahoo121

卡巴8的HIPS挺有意思的，好好研究一下～多谢分享经验了。

曲中求

我的机器没指望开高启了。。。