KIS 2009 设置探讨 （以KIS 8.0.0.357 TR为例） 转雨林风

街舞天下

KIS 8.0.0.357 TR已经发布，TR意为技术发行版，已经非常接近正式版，预计正式版也不远了。357版已经非常稳定，暂没有发现什么重大的BUG，可以放心使用。
KIS 8 系列相比7系列 有了非常大的变化，整个体系都改变了，而且引入了完整的3D HIPS，加上改进了PDM、全新的引擎、优化的资源占用和扫描速度，简直成了我心目中的王者。

下面就KIS 8的设置与各位高手做一个探讨，互相学习。

KIS 8.0.0.357 TR 下载地址
http://dnl-eu2.kaspersky-labs.com/devbuilds/TR/KIS/kis8.0.0.357en.exe
数字签名 4月30日 22点
MD5    8DAB0E6E16C29AA6232BF886AA030038
可用正式版KEY激活，也可用麦田的破解工具  循环试用30天，相关工具及汉化请自行搜索。

一、安装
安装过程省略，建议自定义安装组件，去掉“邮件保护”“反垃圾邮件”和“家长控制”。
安装完后要求重启，重启后就搞定了。

二、资源占用
安静状态下，CPU占用为0，物理内存占用40M，虚拟内存占用45M，一共不到100M。这个数字很平稳。


三、扫描
扫描C盘，共扫描30492个文件，耗时2分59秒，实在是太快了，比卡7快太多，这个速度已经不输给NOD32



扫描时的资源占用也很合理，CPU占用基本在50%左右，内存占用在180-300M之间，而且扫描时候会自动为其他程序释放内存。我同时开了迅雷、遨游和QQ，扫描时也不觉得卡



扫描设置用的是最高启发，最严格的级别



我只能说，卡巴8太流畅了，那些号称占用资源小的杀软，在卡8面前，已经完全没有任何优势。

四、设置
卡8的设置，比卡7要傻瓜得多，HIPS和防火墙采用组权限的方式，来对程序进行限制，这有点类似XP的用户组权限。具体就不说了，在之前已经有过许多文章来描述卡8的组权限问题。

右键托盘图标，打开设置界面


下面重点说系统安装设置，其他设置直接上图，不作说明，自己理解。

1、反恶意软件设置






2、系统安全设置（重点探讨）


卡巴默认分了四个组，每个组的默认权限不一样，而且每个组的权限都是可自定义的


右键点击权限设置的地方，可以看到卡巴对程序的行为有“继承”“允许”“拒绝”“提示”四种操作。


我们可以保持默认的组权限，而只需对个别程序进行单独的权限设置，或者直接采用默认方式。以遨游为例，卡巴默认将其分入信任组，对其一切行为，包括联网行为，自动放行，防火墙也不提示。并且卡巴对遨游的一切行为均有记录，这样也便于帮助我们分析病毒的行为，并予以有效的手工查杀。
[img]http://soft.deepin.org/http://img1.ylmf.com/attachment/Day_080501/292_379569_7506b7650b346a8.jpg[/img]



这里还不是设置的重点，因为这些，在程序第一次启动时，卡巴就自动给它分了组，对可以识别的程序是自动分到信任组，信任组程序拥有一切权限，卡巴对其行为没有任何提示。

设置的重点在于卡巴的FD，设置好这个，病毒基本就没有机会了。
先看看卡巴默认的FD规则，默认对系统关键文件进行了保护，并且支持通配符
  

这些默认规则虽然能起到很好的防御作用，但是对于高手来说，是远远不够的。人性化的卡巴也提供了自定义规则的功能，这样，高手就可以对规则进行很好的扩展，以增强未知病毒防御能力。  
   
我们可以在“系统文件”这里直接添加规则，也可以单独添加一个组，命名为FD或“文件保护”，再添加一些扩展规则。      



这里的规则，我最初的想法是参考EQ等规则型HIPS来编写，比如
c:\windows\*.exe
c:\*.*
?:\autorun.inf
等

后来发现，这样编写的话，规则数量过于庞大，而卡巴对HIPS规则没有提供“导出”“导入”功能，将来重装的话会比较麻烦。经过反复的试验，结合卡巴的组权限，终于让我们得出一个简单规则的编写方法。

卡巴的HIPS是基于组权限的，不同组的程序对文件的读、写、删、建都不一样，所以这里的“文件保护”只要对需要保护的文件类型进行限制即可

如上图，以EXE文件为例
当信任组程序读取、写入、创建、删除EXE文件时，卡巴自动放行且无提示。而当其他组程序读取、写入、创建、删除EXE文件时，卡巴则会询问，未信任组程序则会直接阻止且不提示。

如此设置之后，只需要将常用的软件加入到信任组，病毒则无机可乘。对于RD和AD，卡巴有比较完善的规则，不需要自定义了。添加这样一个“文件保护”规则之后，就可以高枕无忧了，卡巴是绝对不会把病毒程序识别为“信任组”的。

卡巴HIPS只需要进行此处的自定义，其他保持默认即可！

3、在线安全设置
  

4、内容过滤设置

我没有装“反垃圾邮件”和“家长控制模块”，所以这里只有“反广告设置”，反广告采用启发式，它的效果比遨游的过滤效果好。黑名单可采用我以前整理的卡7的黑名单。

5、扫描设置
一律采用高启发，卡8的启发比7，还是有了很大的加强



6、其他设置
其他设置就不说了，和卡7差不多，可以参考以前的文章
就啰嗦一下“威胁与例外”

这里的“威胁与例外”是针对卡巴的PDM，也就是主动防御的，卡巴的主动防御和HIPS不是一个玩意，他们是两个相对独立的模块。

主动防御的设置如下图

当有程序触发上述规则时，卡巴会报警，而不论这个程序是否信任组。如果是正常程序需要排除，则需要在“威胁与例外”中添加 。
简单的说：
信任组 针对 HIPS （KAV8没有HIPS模块，而只有主动防御）
威胁与例外 针对 主动防御（PDM）
五、防火墙
卡8的防火墙与7相比，也有了很大的不同，我没有找到隐身模式的设置。卡巴预置了许多数据包规则，我们也可进行自定义来增强防御力。


补充一个防火墙隐身模式

fsr717af

应该发去 交流讨论区

街舞天下

原帖由 fsr717af 于 2008-6-29 16:00 发表
应该发去 交流讨论区

谢谢了。o(∩_∩)o...

尤金卡巴斯基

欢迎转贴

hushuai

呃~~都开深度启发不卡吗？

loveyuwei

深度启发会比默认设置卡CPU。。

默认设置的很好，很安静。

kafanlieepp

下了试一下

XANADU

原帖由 loveyuwei 于 2008-6-29 17:30 发表
深度启发会比默认设置卡CPU。。

默认设置的很好，很安静。

自定义的也安静，只是你不懂

kxboy00936253

纯支持，适合自己的才是才是最好的。

caolizhen

学习了~~~~~~