卡巴斯基小技巧——加强防御未知的能力

yzxyz68

这是卡巴主防的精华与核心，相当于HIPS的AD功能，也是很多初学者的难点，如果不启用，则卡巴主防就失去了大半的意义
1、防御脚本病毒


完全阻止system32下的这两个文件，则所有 vbs、js脚本都不能运行
若需运行某些正常的脚本文件，取消这两条规则前面的勾即可
2、防御批处理病毒及恶意格式化


此规则禁止所有 .bat .cmd命令执行
若需运行某些正常的批处理文件，取消这条规则前面的勾即可


此规则禁止格式化命令执行，所有在windows下的格式化操作都将失败
3、禁止svchost被恶意插入、修改


4、完全禁止alg.exe


alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。如果你不使用共享和XP防火墙，可以三个选项全部禁止，否则，禁止修改即可。
5、禁止系统自动更新


这个我是禁止了的，自动更新这种东西，不见得都是有益的，重要的更新可以通过360等工具手动打补丁。
6、允许rundll32.exe和explorer.exe的全部动作




这两个，还是允许修改的好，否则提示框太多了。rundll32.exe控制dll文件的调用，explorer.exe控制某些程序加载到资源管理器，虽然这两个东东经常被病毒利用，但是，如果禁止，系统将出现不可知的错误，如果询问，则弹框非常多。
7、禁止打印机程序被修改


打印机程序也经常被木马插入，禁止修改即可
8、完全禁止IE，彻底断绝灰鸽子的念头


这个设置的前提是，你不使用IE浏览，IE常常被灰鸽子插入，且使用正常端口联网，防火墙一般默认对IE的联网动作放行，禁了IE就彻底断绝了灰鸽子的想法。PS：用遨游或其他浏览器上网即可
9、防御远程控制




telnet.exe为系统自带远程控制，也常被木马利用，禁了它，同时封闭本机3389端口
tftp.exe也是同样道理，用于远程连接的
10、防御机器狗及其变种


机器狗都会修改userinit.exe达到破坏计算机的目的，禁止这个修改，就可有效防御机器狗（最绝的是用NTFS权限设置禁止userinit.exe被修改、写入）
11、禁止conime.exe和ctfmon.exe
这两个也是用来防御机器狗变种，新的机器狗会将这两个文件也修改（conime.exe三个动作全禁止，ctfmon.exe 禁止修改），还有explorer也可以设置禁止被修改（但要允许它运行，并加载系统必须调用的DLL），不截图了
其他设置，可以视自己的情况而定，你可以随意禁止本机上的任何一个可执行文件被执行、修改、作为子进程执行，卡巴的AD还是不错的，缺点是，只能对所限制的路径进行控制，比如禁止执行c:\qq\qq.exe，但d:\qq\qq.exe却不受限制，可以运行，它也不支持环境变量和通配符，相比HIPS，灵活性仍然不够。不过卡巴8的AD将得到进一步的加强，控制方式也进一步细化，包括写入、修改、执行、删除、枚举等等
二、注册表保护
这里不多说，卡巴的注册表保护已经相当的全面，包括映像劫持、破坏文件关联、隐藏属性等，默认的规则都可防御，这里只说一条，加这样一条规则：
键 ：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值 ：AVP
规则为：允许读取，禁止修改，禁止删除
以此防御企图删除卡巴自启动项的小木马们
三、反广告条设置
这个功能不仅可以反广告，还可以像host文件一样，屏蔽恶意网站
1、反广告启用启发式分析法


其实就和遨游的广告过滤的“正则表达式”是一个原理，通过通配符来屏蔽广告
2、黑名单设置可屏蔽恶意网站


附件有我自己搜集整理的一些毒网，导入到这个设置里就可以了，这些毒网将被完全屏蔽。如果你发现了毒网，也可以将其添加到这个黑名单中，按我的格式就可以了。