這是一篇稍微詳細一點的設定說明
由於KAV更新的很快,所以我也要有對應的更新設定說明出來
一些功能還有性能上的介紹由於之前那一篇有了,所以這次就不再做一次了
所以就把這篇當作是一個簡易的教學吧


主畫面
http://i126.photobucket.com/albums/p97/yanzilme/kav_main.jpg


掃瞄
http://i126.photobucket.com/albums/p97/yanzilme/kav_scan.jpg


服務
http://i126.photobucket.com/albums/p97/yanzilme/kav_service.jpg

更新:
如果更新發生錯誤,可以按Rollback (回覆)
http://i126.photobucket.com/albums/p97/yanzilme/kav_update.jpg

檔案紀錄:
預設一個月會自動清理一次,如果發現KAV 變的很慢可以定期清理這些檔案
http://i126.photobucket.com/albums/p97/yanzilme/kav_datafile.jpg


設定方式
Potentially dangeroug software 這項不建議開啟,如果開啟了會報一些駭客程式,遊戲外掛等
http://i126.photobucket.com/albums/p97/yanzilme/kav_set-1.jpg


監控設定:
直接選擇最低級別,已換取最佳的性能
注意!這樣設定一定得做一次全機掃瞄,建立NADS (NTFS資料串流)
掃瞄完成此後KAV 只會掃瞄經過變更的檔案,大幅降低系統資源的佔用
http://i126.photobucket.com/albums/p97/yanzilme/kav_filescan_set.jpg


網頁防護設定:
直接按"自訂",將Limit fragment buffering time 秒數改為"0"秒,如此可以加快開網頁的反應時間
http://i126.photobucket.com/albums/p97/yanzilme/kav_httpscan_scan.jpg


掃瞄時的設定:
如果發現你的KAV 掃描速度很慢的話
可以試著把Concede resources to other application 取消,不要把系統資源分給其它應用程式
http://i126.photobucket.com/albums/p97/yanzilme/kav_scan_cpu.jpg


啟動掃瞄:
取消"Run on system start"以增進開機後的等待時間
http://i126.photobucket.com/albums/p97/yanzilme/kav_statup_scan.jpg


更新設定:
設定為每小時更新一次,然後按自定進入下一個頁面
http://i126.photobucket.com/albums/p97/yanzilme/kav_update_set.jpg

把服務器位置改成"日本"更新速度非常快,破100kb/s以上是基本速度
http://i126.photobucket.com/albums/p97/yanzilme/kav_update_service.jpg


免疫防護設定:
由上到下分別為 "應用程式行為分析" , "應用程式行為控制" , "註冊表防護" , "Office文件防護"
http://i126.photobucket.com/albums/p97/yanzilme/kav_proactive.jpg



應用程式行為分析
KAV 的行為判斷功能雖然只是一個附屬子程式
但功能非常強大,尤其是偵測Rootkit 的的能力非常強悍,幾乎沒有會被遺漏的Rootkit
http://i126.photobucket.com/albums/p97/yanzilme/kav_set_aaa.jpg


KAV 的免疫防禦中的應用程式行為控制功能預設是不開啟的
因為一般人不太會操作這個子系統,我這裡稍為說一下簡單的設定跟排除方法

首先這個功能的原理很簡單,在電腦裡的任何操作都會受到KAV 的監控
不同於緝毒引擎的偵測方式,它是直接對程序的行為進行分析
目前使用這種發式的防毒軟體除了KAV 還有Panda , F-Secure 等

其中Panda 還用來當作它的進階型啟發式引擎
如此一來對於未知威脅的防禦比起最強啟發式的NOD32 還要強悍不少
但KAV 提供的行為分析,屬於比較困難缺乏智慧的這種類型
所以需要一點專業知識,跟自己排除一些不是"威脅"的程式行為

已下只是很簡單的例子,由於每個人電腦安裝的軟體不盡相同
所以會遇到的情況也不一樣,要是出現問題,依照下面的方式依樣畫葫蘆就可以了


排除的程式:
wuauclt.exe , msiexec.exe , iexplorer.exe
wuauclt.exe 為windows系統自動更新的程式, msiexec.exe 則是用來安裝副檔名為*.msi 的安裝檔
跟iexplorer.exe 一樣執行時會有修改註冊表的必要,由於這些都是信任的程式,所以可以排除註冊表監控
http://i126.photobucket.com/albums/p97/yanzilme/kav_trusted.jpg

svchost.exe, services.exe , msnmsgr.exe , msmsgs.exe
svchost.exe 它會常常調用*.dll 檔案,有時會有傳送封包等的需求所以設為不受網路監控
services.exe 為系統服務管理原件,有時會修改註冊表,所以設為不受註冊表監控
msnmsgr.exe 跟msmsgs.exe 常會有很多連網動作,由於MSN是信任程式所以也設為不受網路監控
http://i126.photobucket.com/albums/p97/yanzilme/ksv_trusted_2.jpg


應用程式行為控制範例
這裡教大家用應用程式行為控制來讓小紅傘更新時永遠不會彈出廣告
加入avnotify.exe 然後把execute action (執行動作)設為block,
Content modification (修改內容) 設為block,run as child process (執行子程序) 設為block
http://i126.photobucket.com/albums/p97/yanzilme/kav_aic_set.jpg

把avnotify.dll 這個檔案加進來,設為block
設置完之後小紅傘更新就再也不會跳出廣告了
http://i126.photobucket.com/albums/p97/yanzilme/kav_aic_set2.jpg

贊助商連結

應用程式行為分析範例
拿木馬來舉例,假設現在有一隻木馬緝毒引擎本身偵測不到
我們執行它,藉由木馬本身的行為告訴我們它要做的是什麼事情
它可能會開啟某個port 對外傳送封包,或是連上其它網站下載病毒
行為模式就是木馬調用svchost.exe 傳送封包,或是調用iexplorer.exe 下載病毒
這時候發現了這樣的行為,KAV 它就會提示

圖中偵測到入侵,但是我試試看按SKIP (跳過)會如何?
http://i126.photobucket.com/albums/p97/yanzilme/1.jpg

結果它還是又繼續提示了一遍,這時我選擇terminate (中止)
http://i126.photobucket.com/albums/p97/yanzilme/2.jpg

提示該程序為木馬,再按一次終止後該木馬就停止運行了
有些情況下,KAV 會自動將威脅程序刪除
http://i126.photobucket.com/albums/p97/yanzilme/3.jpg


2007.3.22 新增 BitComet,eMule 規則

1.BitComet

最近有人回應BitComet規則的問題
雖然KIS 沒有內建規則,但是TCP/UDP 全部允許後還是可以正常使用
不過這樣子的話安全性就降低了
所以我提供一個可以使用BitComet 下載然後又很安全的規則

不過因為每個人的電腦放BitComet 的地方都不一樣
開的port都不同,所以需要手動修改一下規則檔


修改方法

首先用記事本打開ini 檔案
App=D:\BitComet64\BitComet.exe把"D:\BitComet64\BitComet.exe" 改成你自己BitComet 的目錄

然後打開自己的BitComet 在選項>網路連接>監控連接阜
這邊看你自己的是哪個PORT
然後在ini檔裡搜尋"8854"
把"8854"改成你BitComet 所監控的連接阜
改好後儲存

然後把該ini規則檔放在非中文路徑的目錄底下
然後進入駭客防護程式(AntiHacker) 的設定頁面
在下圖的右下角按匯入(記得先刪除之前自訂的規則!)
http://yanzilme.googlepages.com/kis_bt_ru.jpg

完成後按確定並套用規則!
之後你使用BT的時候不但下載速度不會降低
而且也不用擔心安全性方面的問題!


2.eMule

規則跟BT的一樣要修改一些地方
首先一樣要些改程式路徑
App=D:\eMule0.47a-EastShare_v11-bin\eMule.exe把"D:\eMule0.47a-EastShare_v11-bin\eMule.exe"
改成你自己eMuel 的目錄

再來打開自己eMule 並進入>選項>連線>客戶端連接阜
看一下你自己的TCP/UDP 各是哪一個PORT
然後在ini檔內容中搜尋"4661",把所有的"4661"改成你自己的TCP連接阜
改好後再搜尋"4672",全部改成你自己的UDP連接阜

修改好後儲存ini 檔案
並放置在非中文路徑的目錄裡頭
一樣在這個地方匯入(如原先已設有eMule 規則請刪除後再匯入!)
http://yanzilme.googlepages.com/kis_bt_ru.jpg

感謝分享這樣的好資訊

野口大：我免疫防護這2項是沒有打開，請問這樣對掃毒能力會不會大打折扣？謝謝。
http://xs315.xs.to/xs315/07196/kis6.jpg

野口大：我免疫防護這2項是沒有打開，請問這樣對掃毒能力會不會大打折扣？謝謝。
http://xs315.xs.to/xs315/07196/kis6.jpg
一般使用如果不是處在比較危險的環境不用開也沒甚麼關係

請問一下
我使用您BT的修改方法後
雖然BT的監聽阜可以正確映射了
但是卻發現DHT的連線數目大幅減少(好像只要開防火牆就會這樣)
這個該怎麼解決

阿一版主你好...我想請教你一下

我本身是bt重度下載..只要下載速度超過500k以下

我的電腦就會頓頓的...超過900k以下幾乎不能動了

但只要把KIS防火牆關掉就會解決

不知是否有方法可以開防火牆又不會影響電腦

ps:附上配備

CPU:Intel(R) Pentium(R) 4 CPU 2.60GHz HT 800外頻

主機版:ASUS P4C800 Deluxe

硬 碟:Maxtor Maxtor MaXLine III 7V300F0 (SATAII 300G)*2做RAID0

備用Maxtor SATAI 200G 鑽石9

光碟機 先鋒A07.普傑716A.日製NEC3530A.日製先鋒111D.笨Q1640

記憶体:金士頓 4條 DDR400 512MB

顯示卡:ELSA 9800PRO 128MB

螢幕:戴爾 2407

網路卡:英特爾 PMLA8490MT

機 殼:ThermalTake VA9000SWA 全鋁

電源:Thermaltake PurePower 460w

不好意思~~~我想請教一下用uTorrent時KIS的設定
根據我自己開訓練模式測試
TCP輸出串流的本機PORT一直在變，一次加一
搞到我最後只能把本機PORT開成1-65535 and 遠端PORT=1-65535
形同沒開防火牆

為啥我要這麼搞怪，硬要用uTorrent??
因為BTComit抓不到種子阿~阿阿><"

不好意思~~~我想請教一下用uTorrent時KIS的設定
根據我自己開訓練模式測試
TCP輸出串流的本機PORT一直在變，一次加一
搞到我最後只能把本機PORT開成1-65535 and 遠端PORT=1-65535
形同沒開防火牆

為啥我要這麼搞怪，硬要用uTorrent??
因為BTComit抓不到種子阿~阿阿><"
不要用練習模式,改成LOW LEVEL
規則套用BitComet的就好

不要用練習模式,改成LOW LEVEL
規則套用BitComet的就好

恩~~~改到Low level就都能跑了
但是這樣子安全性又頗讓人擔憂

我一般都是開高安全性，然後套用您提供的規則在跑BT
當我用BitComet時，開高安全性還是可以跑
但是用uTorrent就不行了

想問一下有沒有其他解決的辦法能在高安全性下跑BT呢?
因為BT一跑就是好幾天不關
所以希望再跑BT時，亦能處在一個安全的網路環境