科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道多维防护 看KV2008强大安全防御能力

多维防护 看KV2008强大安全防御能力

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

使用江民杀毒软件KV2008有一段时间了,对于新一版的KV与此前的版本有什么不同呢?下面就看看我的亲身体验吧!(注:本文以Windows XP SP2为测试平台)

作者:杨文艺 来源:天极网软件频道 2008年4月29日

关键字: 江民 江民KV2008

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  2.利剑斩木马。木马在这个时代是越来越猖獗,灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道,给信息安全带来了极大的隐患。它们所使用的技术也是不断更新,有的使用系统文件名漏洞来隐藏自身,有的是使用与其它程序进行捆绑来隐藏自身,还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段,江民杀毒软件都可以有效查杀这些木马!

  这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。

  如果中了最新的“上兴”木马之后,它会冒充iexplorer.exe和calc.exe进程(当然,对于不同的木马配置,这两个进程会有所改变),并且使用Rootkit隐藏这两个进程,在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程

多维防护

  但是如果直接将其结束进程之后,并不会得到想要的结果,结束进程之后不一会儿它们的进程会再次启动。由此可以知道,“上兴”木马是使用双进程保护技术的,如果其中一个进程被结束了,而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护,导致江民的“进程查看器”无法将其结束。

  但是和上面的“魔波”同样是系统服务,为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为,“上兴”木马是使用的进程插入技术,将自身插入到iexplorer.exe和calc.exe中,而作为系统自带的IE浏览器和“计算器”程序本身是没有系统服务的,所以即使是结束了iexplorer.exe和calc.exe也不能真正关闭幕后黑手的服务。因此,iexplorer.exe和calc.exe就会不断的被启动,并且相互保护对方的进程。

  既然“上兴”使用的是系统服务来保护自身,那么就可以找出“上兴”的服务,从而对症下药。单击“开始”菜单,选择“运行”(快捷键是Win+R),输入“msconfig.exe”(不含外边中文引号),打开“系统配置实用程序”,之后切换到“服务”选项卡,再将“隐藏所有的Microsoft服务”复选框选中,就可以清楚的看到哪些服务不是系统服务了。

多维防护

  很明显,"Windows_Rejoice2007_45"是一个非常可疑的服务,之后再右击“我的电脑”选择“管理”,进入“服务”,再找到"Windows_Rejoice2007_45"服务,将其“启动类型”设置为“已禁用”

多维防护

 

  再打开KV2008,打开“任务查看器”,将iexplorer.exe和calc.exe结束,最后进入Windows目录,将病毒删除即可。

  3.斩杀特殊目录中的病毒。有很多病毒利用系统文件路径漏洞来保护自己,比如Auto等一些顽固性病毒。这些病毒利用在Windows图像界面下没法进入带有非法字符的文件夹这一特点,使普通用户难以清除这类顽固性病毒。比如在D盘点Lab文件夹中有一个"Virus."的文件夹,双击打开之后就会出现错误的提示,

多维防护

  这样我们就无法进入这个文件夹中清除病毒了。

  但是KV2008却可以非常轻松地查杀这类利用系统文件路径漏洞的病毒,清理起来非常简单。直接扫描后杀毒就可以清除了,:

多维防护

  请仔细看这幅图片的查杀路径,是D:\Lab\Virus.\wgareg.exe)。不仅如此,KV2008也可以直接查杀SYSTEM帐户控制的文件夹(通常情况下,这类文件夹是Administrator类型的帐户无法访问的),比如系统还原文件夹。不得不说KV2008的查杀能力之强大!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章