【原创】带您了解卡巴斯基2009的防御体系及变化【知识普及7/25更新】

xiayang12

3Q楼主，我相信只有这样我们这些菜菜们才能对卡巴2009产生更理性更深刻的认识把。

syfwxmh

其实也不是~~技术这东西只有多弄才能更明白~~说实话刚接触卡巴2009和你们一样~~呵呵~~

yahoo121

写得不错，了解了更多。

多谢了！

zwl2828

原帖由 sxingbai 于 2008-7-6 16:40 发表
可能......
实在无语
我等zwl2828 的回复

查了一下，是你写的，我一开始看成丫一了，非常抱歉啊！

zwl2828

原帖由 a256886572008 于 2008-7-6 17:03 发表
三、如果病毒不小心放入了受信任组会怎么样？
  这个放心，即使你放入了卡巴信任组，躲过了卡巴规则，但是HIPS和PDM依然会进行，如果有危险行为则会自动拦截，部分病毒卡巴甚至可以将其从信任组重新放入受限组。从而 ...

PDM是个很难过的东西。

laolaoliu

好文, 支持之

zwl2828

原帖由 xiayang12 于 2008-7-6 21:24 发表
楼主本着对卡饭会员认真负责的态度对卡巴2009立体防御进行了详细的解释，你的精神我也很佩服

    看了楼主对我发的帖子的一番分析与解答，我现在对卡巴2009的认识又更深了一层，而不仅仅停留在以前感性认识 ...

很好的问题，这牵涉到了病毒定义的知识。

特洛伊木马(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。恶意的木马程序也具有计算机病毒的特征。

为了实现下载文件的功能，Trojan-Downloader木马，通常包含的信息是关于恶意程序下载和安装的名字和网络位置，这些信息通常储存为一个加密的数据模块，被存放在TrojanDropper文件尾部。这些程序可以被用做安装和下载最新版本的恶意程序，并且在用户不知情的情况下安装木马程序。

Trojan-Downloader木马一般采用加壳的方式，来隐藏其内容，躲避杀软的查杀。通常是做为电子邮件附件来传播。

Trojan-Downloader木马如何达到自启动的目的？
（1）修改注册表；
（2）将木马程序加载到系统文件中；
（3）通过注入系统进程来达到随系统启动的目的。

近年来，随着木马技术的发展，木马作者不再满足于隐藏自身，来躲避杀毒软件查杀的方式，而是开始主动攻击杀毒软件，当病毒运行后，在系统进程中查找国内外著名反病毒软件的进程，并试图终止这些进程，然后将反病毒软件所安装的文件删除。以此来达到免杀的效果。

从上面可以看到，Trojan-Downloader木马不仅仅是下载病毒，而且会破坏系统。根据《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒的定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。所以，我认为Trojan-Downloader木马应被定义为恶意软件。

下面是Avira公司对Trojan-Downloader木马的描述。

Trojan horses (short Trojans)
Trojans are pretty common nowadays. We are talking about programs that pretend to have a particular function, but that show their real image after execution and carry out a different function that, in most cases, is destructive. Trojan horses cannot multiply themselves, which differenciates them from viruses and worms. Most of them have an interesting name (SEX.EXE or STARTME.EXE) with the intention to induce the user to start the Trojan. Immediately after execution they become active and can, for example, format the hard drive. A dropper is a special form of Trojan that 'drops' viruses, i.e. embeds viruses on the computer system.

syfwxmh

原帖由 zwl2828 于 2008-7-7 07:09 发表

很好的问题，这牵涉到了病毒定义的知识。

特洛伊木马(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。恶 ...

你够狠~不能拿人现成的得自己理解~

zwl2828

原帖由 syfwxmh 于 2008-7-7 08:01 发表

你够狠~不能拿人现成的得自己理解~

...按照定义，符合定义就是恶意软件啊。

syfwxmh

原帖由 zwl2828 于 2008-7-7 08:05 发表

...按照定义，符合定义就是恶意软件啊。

开玩笑啦~小夏最近好像~呵呵