使用江民殺毒軟件KV2008有一段時(shí)間了，對(duì)于新一版的KV與此前的版本有什么不同呢?下面就看看我的親身體驗(yàn)吧!(注：本文以Windows XP SP2為測(cè)試平臺(tái))

　　一、初識(shí)江民殺毒軟件2008

　　打開KV2008，界面首先映入眼簾的依然是那么簡(jiǎn)潔、清晰的界面，給人樸素大方的印象。

　　界面左邊依然是那三個(gè)醒目的按鈕：掃描目標(biāo)、掃描結(jié)果、監(jiān)控中心。點(diǎn)擊“簡(jiǎn)潔目標(biāo)”選項(xiàng)卡中的任意一個(gè)快捷方式都可以進(jìn)行查殺病毒，旁邊的幾個(gè)選項(xiàng)也可以詳細(xì)設(shè)置查殺目標(biāo)以及方便用戶的在線升級(jí)和軟件設(shè)置。KV2008依然繼承下KV2007的菜單欄風(fēng)格，這樣更加方便用戶的已有習(xí)慣，使用戶不會(huì)因升級(jí)殺毒軟件而改變習(xí)性，從中可以感受到KV2008的人性化設(shè)計(jì)。

　　KV2008也同樣繼承了KV2007的所有優(yōu)點(diǎn)，而且還加強(qiáng)了其“主動(dòng)防御”功能。江民的“主動(dòng)防御”可以實(shí)時(shí)監(jiān)控系統(tǒng)中是否存在木馬、保護(hù)IE，監(jiān)視是否有可疑進(jìn)程以及注冊(cè)表，這樣可以最大限度地保護(hù)系統(tǒng)免遭病毒、木馬以及系統(tǒng)本身漏洞的威脅。

　　再看看系統(tǒng)資源占用方面。KV2008比以前的KV系列更加注重系統(tǒng)資源占用問題，運(yùn)行中僅僅占用了10MB左右的物理內(nèi)存，加上虛擬內(nèi)存，也不過50MB。

<

　　而現(xiàn)在的內(nèi)存價(jià)格已經(jīng)跌到白菜價(jià)了，2GB的內(nèi)存用戶也不在少數(shù)，區(qū)區(qū)50MB內(nèi)存的占用，就可以得到系統(tǒng)全面的保護(hù)，資源占用情況十分令人滿意(注：目前是打開江民默認(rèn)的系統(tǒng)防護(hù)的，包括文件監(jiān)控、網(wǎng)頁監(jiān)控、郵件、腳本以及主動(dòng)防御功能)。

　　二、體驗(yàn)江民2008的全新功能

　　毋庸置疑，江民的每次升級(jí)都會(huì)給用戶帶來更豐富、更人性化的服務(wù)。下面就著重介紹“江民安全助手”和“進(jìn)程查看器”這兩大新功能。

　　1.江民安全助手。在流氓軟件橫行的今天，有一款強(qiáng)力查殺流氓軟件的工具是每臺(tái)計(jì)算機(jī)必不可少的需求。KV2008的“系統(tǒng)安全”里集成了“江民安全助手”工具。

　　點(diǎn)擊左方的“檢測(cè)列表”按鈕，軟件就立即進(jìn)行查殺。我自認(rèn)為自己的系統(tǒng)非常干凈，但是出乎我意外的是，江民的“江民安全助手”馬上就查殺出來了一款流氓軟件的殘留項(xiàng)目。實(shí)在是令人佩服江民的惡意軟件查殺功力!當(dāng)然，在“江民安全助手”的左側(cè)，還有其它的功能。我發(fā)現(xiàn)，在左下角有一個(gè)“系統(tǒng)修復(fù)”的按鈕，這個(gè)可以在查殺病毒之后，如果病毒破壞了系統(tǒng)的關(guān)聯(lián)(如殺毒之后無法打開exe文件)，就可以用這個(gè)功能進(jìn)行修復(fù)。

　　修復(fù)方法十分簡(jiǎn)單，直接點(diǎn)擊右側(cè)的“修復(fù)”按鈕即可。

　　2.進(jìn)程查看器。江民2008中也集成了“進(jìn)程查看器”功能。下面以十分猖獗的“上興”木馬病毒為例來說明KV2008的“進(jìn)程查看器”強(qiáng)大的功能。眾所周知，“上興”木馬采用Rootkit技術(shù)，使自身的運(yùn)行級(jí)別提升到Ring0，從而使系統(tǒng)自帶的“任務(wù)管理器”無法查看其進(jìn)程，這也是為什么使用Rootkit技術(shù)的病毒十分難以查殺的原因。但江民的“進(jìn)程查看器”可以完美越過Ring0級(jí)別的限制，從而讓使用Rootkit的病毒無處藏身。

　　圖5是使用IceSword來查看進(jìn)程的截圖，可以充分說明江民的“進(jìn)程查看器”功能十分強(qiáng)大)。另外，江民的“進(jìn)程查看器”還可以定位某個(gè)進(jìn)程的網(wǎng)絡(luò)連接狀態(tài)、查看某個(gè)進(jìn)程的模塊信息、線程信息以及將該進(jìn)程加入黑名單中以及其它一些功能.

　　這些都是系統(tǒng)自帶的“任務(wù)管理器”所不能比擬的。由此可以看出，江民“進(jìn)程查看器”的功能不容小視。

　　三、KV2008——反毒的利劍

　　現(xiàn)在進(jìn)入KV2008的核心部分----病毒查殺。殺毒軟件的殺毒能力是一項(xiàng)評(píng)價(jià)殺毒軟件非常重要的指標(biāo)，也是殺毒軟件的核心部分。殺毒能力不足的殺毒軟件就像一個(gè)只有空殼的人一樣，沒有實(shí)質(zhì)的東西，當(dāng)然這樣的軟件也不能稱之為殺毒軟件。通過實(shí)用，可以看出江民殺毒軟件獨(dú)自核心殺毒技術(shù)的有效性，而且它在多方面都勝過某些同類軟件。下面就以蠕蟲病毒“魔波”和木馬“上興”為例來闡述江民強(qiáng)大的反病毒能力。

　　1.利劍斬“魔波”�！澳Рā笔抢�用微軟的漏洞進(jìn)行傳播的蠕蟲病毒，其破壞性不亞于當(dāng)年的“沖擊波”病毒，但是現(xiàn)在人們的防范意識(shí)逐漸提高，才導(dǎo)致“魔波”沒有像當(dāng)年的“沖擊波”那樣肆意擴(kuò)散。但是“魔波”的攻擊力依然不容小視，所以現(xiàn)在就用KV2008以“魔波”為例來斬殺強(qiáng)悍病毒。

　　中了“魔波”病毒變種之后，病毒會(huì)在%systemroot%\system32目錄中生成"wgareg.exe"病毒文件，并且會(huì)將自身加入系統(tǒng)服務(wù)中，使系統(tǒng)自帶的“任務(wù)管理器”無法結(jié)束其進(jìn)程。

<

　　經(jīng)過在虛擬機(jī)上的病毒行為分析之后，傳統(tǒng)查殺方法如下：右擊“我的電腦”進(jìn)入“計(jì)算機(jī)管理”中，選擇“服務(wù)和應(yīng)用程序”中的“服務(wù)”，選中病毒創(chuàng)建的服務(wù)"Windows Genuine Advantage Registration Service"，將其“啟動(dòng)類型”設(shè)置為“已禁用”，下次計(jì)算機(jī)啟動(dòng)的時(shí)候就不會(huì)加載該服務(wù);再定位到%systemroot%\system32目錄下，將"wgareg.exe"程序刪除;最后進(jìn)入注冊(cè)表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg鍵值全部刪除即可

　　雖然這樣可以殺除“魔波”病毒，但是對(duì)于很多計(jì)算機(jī)用戶來說，畢竟還不是很容易。KV2008完全考慮到了這一點(diǎn)，使用其自帶的“進(jìn)程查看器”可以非常快捷、方便地查殺掉“魔波”病毒。

　　打開KV2008，在菜單欄中選擇“系統(tǒng)安全”，選擇“進(jìn)程查看器”，再定位到"wgareg.exe"這個(gè)進(jìn)程上，可以清楚地看到，江民的“進(jìn)程查看器”將"wgareg.exe"這個(gè)進(jìn)程的危險(xiǎn)度標(biāo)記為80%。

　　這樣可以明確的讓用戶判斷一個(gè)進(jìn)程是正常進(jìn)程還是可疑進(jìn)程。右擊該進(jìn)程，選擇“結(jié)束進(jìn)程”即可將該進(jìn)程結(jié)束，之后進(jìn)入該病毒的文件夾中，將其刪除即可徹底查殺該病毒。值得一提的是，江民的“進(jìn)程查看器”不僅僅是簡(jiǎn)單的結(jié)束一個(gè)可疑的進(jìn)程，它還會(huì)將這個(gè)可疑進(jìn)程的服務(wù)給關(guān)閉掉(這就是為什么系統(tǒng)自帶的“任務(wù)管理器”無法結(jié)束掉“魔波”進(jìn)程，而江民卻可以的原因)。再進(jìn)入%systemroot%\system32文件夾下將病毒文件刪除，最后清理注冊(cè)表即可。

　　從這里可以看出，江民的殺毒能力堪稱一流，即使是一款附帶的“進(jìn)程查看器”都有這樣強(qiáng)大的功能，不難看出江民強(qiáng)悍的殺毒能力!

　　2.利劍斬木馬。木馬在這個(gè)時(shí)代是越來越猖獗，灰鴿子、上興、守望者、黑洞等等木馬軟件在網(wǎng)上橫行霸道，給信息安全帶來了極大的隱患。它們所使用的技術(shù)也是不斷更新，有的使用系統(tǒng)文件名漏洞來隱藏自身，有的是使用與其它程序進(jìn)行捆綁來隱藏自身，還有的使用Rootkit技術(shù)或是采用NTFS流隱藏技術(shù)等等……但不管病毒使用怎樣的手段，江民殺毒軟件都可以有效查殺這些木馬!

　　這里就以典型的“上興”木馬為例來介紹KV2008的反木馬能力。

　　如果中了最新的“上興”木馬之后，它會(huì)冒充iexplorer.exe和calc.exe進(jìn)程(當(dāng)然，對(duì)于不同的木馬配置，這兩個(gè)進(jìn)程會(huì)有所改變)，并且使用Rootkit隱藏這兩個(gè)進(jìn)程，在用戶系統(tǒng)自帶的“任務(wù)管理器”中是無法查出蛛絲馬跡的。打開KV2008中的“進(jìn)程查看器”立即就可以看見這兩項(xiàng)進(jìn)程

　　但是如果直接將其結(jié)束進(jìn)程之后，并不會(huì)得到想要的結(jié)果，結(jié)束進(jìn)程之后不一會(huì)兒它們的進(jìn)程會(huì)再次啟動(dòng)。由此可以知道，“上興”木馬是使用雙進(jìn)程保護(hù)技術(shù)的，如果其中一個(gè)進(jìn)程被結(jié)束了，而另一個(gè)進(jìn)程就會(huì)立即檢測(cè)到并且馬上開啟這個(gè)進(jìn)程。經(jīng)過分析確認(rèn)“上興”木馬是使用系統(tǒng)服務(wù)將兩個(gè)進(jìn)程保護(hù)，導(dǎo)致江民的“進(jìn)程查看器”無法將其結(jié)束。

　　但是和上面的“魔波”同樣是系統(tǒng)服務(wù)，為什么這次江民的“進(jìn)程查看器”在結(jié)束進(jìn)程之后沒有自動(dòng)關(guān)閉“上興”的服務(wù)呢?分析之后認(rèn)為，“上興”木馬是使用的進(jìn)程插入技術(shù)，將自身插入到iexplorer.exe和calc.exe中，而作為系統(tǒng)自帶的IE瀏覽器和“計(jì)算器”程序本身是沒有系統(tǒng)服務(wù)的，所以即使是結(jié)束了iexplorer.exe和calc.exe也不能真正關(guān)閉幕后黑手的服務(wù)。因此，iexplorer.exe和calc.exe就會(huì)不斷的被啟動(dòng)，并且相互保護(hù)對(duì)方的進(jìn)程。

　　既然“上興”使用的是系統(tǒng)服務(wù)來保護(hù)自身，那么就可以找出“上興”的服務(wù)，從而對(duì)癥下藥。單擊“開始”菜單，選擇“運(yùn)行”(快捷鍵是Win+R)，輸入“msconfig.exe”(不含外邊中文引號(hào))，打開“系統(tǒng)配置實(shí)用程序”，之后切換到“服務(wù)”選項(xiàng)卡，再將“隱藏所有的Microsoft服務(wù)”復(fù)選框選中，就可以清楚的看到哪些服務(wù)不是系統(tǒng)服務(wù)了。

　　很明顯，"Windows_Rejoice2007_45"是一個(gè)非常可疑的服務(wù)，之后再右擊“我的電腦”選擇“管理”，進(jìn)入“服務(wù)”，再找到"Windows_Rejoice2007_45"服務(wù)，將其“啟動(dòng)類型”設(shè)置為“已禁用”

<

　　再打開KV2008，打開“任務(wù)查看器”，將iexplorer.exe和calc.exe結(jié)束，最后進(jìn)入Windows目錄，將病毒刪除即可。

　　3.斬殺特殊目錄中的病毒。有很多病毒利用系統(tǒng)文件路徑漏洞來保護(hù)自己，比如Auto等一些頑固性病毒。這些病毒利用在Windows圖像界面下沒法進(jìn)入帶有非法字符的文件夾這一特點(diǎn)，使普通用戶難以清除這類頑固性病毒。比如在D盤點(diǎn)Lab文件夾中有一個(gè)"Virus."的文件夾，雙擊打開之后就會(huì)出現(xiàn)錯(cuò)誤的提示，

　　這樣我們就無法進(jìn)入這個(gè)文件夾中清除病毒了。

　　但是KV2008卻可以非常輕松地查殺這類利用系統(tǒng)文件路徑漏洞的病毒，清理起來非常簡(jiǎn)單。直接掃描后殺毒就可以清除了，：

　　請(qǐng)仔細(xì)看這幅圖片的查殺路徑，是D:\Lab\Virus.\wgareg.exe)。不僅如此，KV2008也可以直接查殺SYSTEM帳戶控制的文件夾(通常情況下，這類文件夾是Administrator類型的帳戶無法訪問的)，比如系統(tǒng)還原文件夾。不得不說KV2008的查殺能力之強(qiáng)大!

　　四、如虎添翼——第二層防御

　　江民也同樣推出了KV2008版防火墻。令人興奮的是，江民防火墻是完全免費(fèi)的，也就是說完全沒有升級(jí)限制。而江民防火墻也具有相當(dāng)強(qiáng)大的網(wǎng)絡(luò)處理能力，抵御繁多的網(wǎng)絡(luò)攻擊，如同給KV2008添加了更強(qiáng)大的防御力。江民防火墻具有強(qiáng)大的網(wǎng)絡(luò)監(jiān)控能力。如果說某個(gè)程序第一次訪問網(wǎng)絡(luò)，那么江民防火墻就會(huì)彈出“江民防火墻應(yīng)用程序服務(wù)網(wǎng)絡(luò)審核通知”的對(duì)話框。

<

　　這個(gè)消息框可以讓用戶自行選擇是否允許該程序訪問網(wǎng)絡(luò)，當(dāng)然對(duì)于十分可疑的程序訪問網(wǎng)絡(luò)，也可以完全禁止。如今的木馬大多都采用反彈連接技術(shù)，江民防火墻無疑可以抵御這種木馬從本地訪問網(wǎng)絡(luò)。

　　江民防火墻擁有查看當(dāng)前網(wǎng)絡(luò)連接進(jìn)程的功能，這一點(diǎn)對(duì)于用戶來說是非常重要的。這樣的功能，使用戶可以很容易地分析哪些進(jìn)程非法訪問了網(wǎng)絡(luò)。

<

　　如果某個(gè)進(jìn)程是非法進(jìn)程，并且不斷地向外發(fā)送大量的數(shù)據(jù)包，那么就極有可能是木馬或者其它可疑進(jìn)程了。在江民的網(wǎng)絡(luò)連接查看窗口中也可以結(jié)束用戶認(rèn)為可疑的進(jìn)程，隨時(shí)都可以阻斷木馬訪問網(wǎng)絡(luò)。

　　對(duì)于一個(gè)防火墻來說，它的IP規(guī)則才是最核心的部分。每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都必須經(jīng)過防火墻的IP規(guī)則，如果被IP規(guī)則不允許通過的數(shù)據(jù)包都會(huì)被攔截下來，因此好的IP規(guī)則不僅可以更進(jìn)一步的保護(hù)系統(tǒng)網(wǎng)絡(luò)安全，而且還可以起到事半功倍的效果。下面我們就來為江民防火墻添加自定義網(wǎng)絡(luò)規(guī)則。

　　在江民防火墻的界面上點(diǎn)擊“設(shè)置管理”，進(jìn)入防火墻設(shè)置界面。江民防火墻有多種選項(xiàng)，可以設(shè)置ARP啟動(dòng)功能，也可以設(shè)置IP規(guī)則，還有區(qū)域控制、參數(shù)設(shè)置，以及查看允許聯(lián)網(wǎng)的程序。點(diǎn)擊“IP規(guī)則”可以看到其中已經(jīng)有很多設(shè)置好了的規(guī)則，

　　這些默認(rèn)規(guī)則可以阻擋許多病毒的攻擊。但是如果用戶中了QQ木馬，木馬會(huì)自動(dòng)向外發(fā)送郵件，那么這時(shí)候就需要我們自行添加規(guī)則了。單擊“添加”，在“規(guī)則描述”中添加名稱、說明，由于木馬會(huì)自動(dòng)向外發(fā)送數(shù)據(jù)包，所以在“網(wǎng)絡(luò)條件”中選擇“發(fā)送數(shù)據(jù)包”，至于IP地址嘛，對(duì)方當(dāng)然是“任意地址”咯，“本地地址”可以不用管，在“協(xié)議”中選擇“TCP”，由于木馬發(fā)送郵件通常是25端口，因此在“本地端口”中選擇“指定端口”再填入“25”即可，在“規(guī)則對(duì)象”中選擇“所有程序訪問網(wǎng)絡(luò)時(shí)”，最后在“當(dāng)所有條件滿足時(shí)”中選擇“攔截”即可阻擋木馬向外發(fā)送郵件。

　　最后保存該規(guī)則將其的復(fù)選框選中就好了。

　　最后的話：以上依個(gè)人感興趣的方面闡述了江民殺毒軟件2008的相關(guān)功能，其都可以歸于兩個(gè)字——強(qiáng)大。

　　江民殺毒軟件從十年前的KV300到現(xiàn)在的江民殺毒軟件2008，其中經(jīng)歷了無數(shù)的磨練才有今天的輝煌。當(dāng)我們按下“掃描”的時(shí)候，誰又能知道這一個(gè)小小的按鈕集成了多少江民反病毒工程師的勞動(dòng)結(jié)晶呢!

　　江民殺毒軟件，愿你做用戶電腦最堅(jiān)強(qiáng)的保護(hù)神!

　　注：本文由江民授權(quán)轉(zhuǎn)載