据美国商业软件联盟(BSA)周三公布的报告显示,2007年全球盗版软件所带来的损失高达480亿美元.
报告显示,2007年全球软件盗版率为38%,增长了3个百分点.在所调查的108个国家中,67个国家的盗版率出现下滑,但仍有不少国家软件盗版率居高不下.
一、安装卡巴斯基前一定要完全卸载其它杀软
如果已经发生冲突,在正常的Windows环境下不能反安装任何一个杀软,这时需要进入安全模式 下,进行反安装操作。卡巴6.0和瑞星有严重冲突[即使关闭瑞星的监控功能][金山也一样],具体表现在开机进入桌面后就死机!对于很多网友说的,卡巴杀 毒后导致系统崩溃无法启动的情况,我也遇到过!个人感觉是病毒或者木马与系统文件产生关联。卡巴提示:无法清除,我都选择的是:删除。删除的过程中与病毒 或木马有关联的系统文件也被一起删除,导致系统崩溃!有点宁可错杀1000,不可放过1个的感觉。几次系统崩溃后,我选择了在装完系统后,在系统无毒的情 况下马上安装卡巴,再安装各种软件,上网!卡巴的保护功能还是不错的,这样病毒或木马就不是那么容易感染上,也就没有再出现系统崩溃的情况了!
二、一定记得把卡巴"自我保护"小勾选上,防止恶意代码修改卡巴!默认是选上了的,最好不要修改。
三、在第一次装完卡巴后进行全盘扫描[此段时间可能会长点],在以后的扫描时,可以对我们确认安全的文件[如:电影,游戏] 不扫描,这样可以大大节省扫描时间。方法:设置――保护――信任区域――排除 标记――添加――就可以选择你认为安全的文件了。卡巴扫描压缩包也是相当耗时的。
四、在还原系统或重装系统时,请务必做好病毒库的备份,再进行安装或还原。
一般情况下,卡巴的病毒库放在此文件目录里:C:\Documents and Settings\All Users\Application Data\ Kaspersky Lab 只需要把AVP6备份到其他的盘[Application Data文件夹的属性是隐藏,要修改才能找到],然后在还原或重装后,把你备份的AVP6覆盖到这个目录下就可以了。[注意关掉卡巴的自我保护,否则有可 能不能复制进去]。然后退出卡巴,再进入卡巴,他会提醒你重新启动电脑以完成更新,这样就可以方便的把以前更新过的病毒库再直接使用[记得开启"自我保 护"]!若不按以上内容备份,那你的病毒库将被还原在你以前设还原点的那个地方,你将重新更新病毒库,时间会长些!
五、卡巴斯基dmp文件是由于卡巴斯基程序中断后生成的临时文件,可以放心删除,丝毫不影响使用。
六、卡巴升级时,会影响上网的速度,特别是对网络游戏影响较大。而且,卡巴有时升级失败,会不停的反复连接网络,影响游戏的正常操作。设置为手动升级,可以避免。
七、对文件实时监控方面,卡巴在默认设置上对所有的网盘,所有本地磁盘,所有的移动磁盘都进行监 控,如果你的电脑配置并不高,那么可以自定义文件监控,让它只监控系统盘就可以了,别的可以放行,反正一般来说可以做一个定期的全盘扫描。修改方法如下: 打开卡巴的主界面,选择:设置-文件保护-自定义-保护范围,把默认的所有本地磁盘,所有网盘前面的钩去掉,再点击右边的"添加",打开"我的电脑",选 择系统盘[一般是C盘],再把底下的 "包含所有子文件夹"选项前面的钩打上,再点确定-确定-应用-确定,就完全OK了。
八、如果你不用微软邮件,可以把反垃圾邮件功能给去掉。
九、win2000、win2003安装卡巴6.0需要下载orca.msi这一修改msi文件的 工具,安装,它的版本号为3.1.4000.1830,是win2003sp1SDK里的工具。用orca打开KIS6.0或kav6.0,找到 LaunchCondition这个Table,将MsiNTProductType=1 or Version9X这一行删掉,然后保存msi文件,就可以在2003中安装了。
十、安装时反复重启,这可能是计算机中原有的反病毒程序防火墙程序没有完全卸载掉造成的,手动卸载掉这些程序后再重新安装试一试。
十一、adsl用户经常断网且卸载卡巴安全套装后上网正常,一般是由于卡巴安全套装的设置中选取 了"网络攻击防御",卡巴检测受到攻击,保护性断网。点击"入侵探测系统"-"设置",去掉其默认的"禁止攻击计算机的时间"前面的那个钩就可了。这里要 说明一下,去掉封锁时间,只是去掉了封锁的时间限制,封锁功能是一样有效的。
十二、360的激活码是激活KAV[卡巴反病毒软件]的,你如果要用来激活KIS也就是互联网安全 套装需要修改注册表,注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\environment 里的ProductType项 的KIS改成KAV的话可以使用,不过推荐使用key。
十三、经常听卡巴杀猪一样的叫声,是不是感觉很不爽,有时不注意还会吓了自己一跳,可以先关闭卡巴 的"自我保护"然后到C:\ Program Files\Kaspersky Lab\Kaspersky Internet Security 6。0\Skin\sounds,用自己喜欢的替换原来的Wav文件就行了。
十四、卡巴6.0的KEY文件被列入黑名单,出现这种情况,是由于卡巴更新服务器封掉了这个 KEY,这个时候只要在服务选项删除原来的KEY并重新添加一个能够使用的key就可以了。还有一种可能,同样的一个KEY在卡巴的部分更新服务器上被封 掉了,但是在另一部分更新服务器上却没有被封,所以你再换KEY之前可以选择其他的更新服务器试试。
十五、安装卡巴后提示病毒库损坏的应对办法
1、调整你的系统时间为正常时间。
2、按照提示重新下载病毒库更新。
3、key损坏,更换其他可以使用的key。
4、彻底卸载卡巴软件,并将安装目录及注册表中的有关卡巴的键值彻底清除,重新安装卡巴。
十六、用卡巴杀毒后出现打开所有EXE文件都弹出"选择打开方式"的提示。
解决方法:
1、重新启动电脑按F8进入带命令提示行的安全模式
2、执行这个命令 assoc .exe=exefile[注意:assoc与.exe之间有一空格],屏幕显示".exe=exefile"
3、现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出"Windows安全"窗口,按[关机]按钮后选择"重新启动"选项,按正常模式启动后, 所有的EXE文件都能正常运行了。此方法适用win2000,winXP
十七、如果你使用的是163之类的邮箱,并且使用FOXMAIL,Outlook Express等软件,请你按如下设置,否则你可能出现无法看到邮件,或者下载不了邮件的附件的情况。
设置――服务下的网络设置――端口设置――找到端口为80的那个项――把小勾去掉!
十八、刚装上KIS6.0的朋友,在重启之后都会出现一个你的电脑没有进行全盘扫描的提示,而且如果屏蔽了广告什么的也会弹出一个提示框,你完全可以不让它再提示:选择:"服务",把"启用通知"前面的钩去了就可以了。
十九、不能正常卸载卡巴的解决办法
1.请先停止进程
2.在"服务"中停止klblmain服务,并将启动类型改为"已禁用"[这个根据需要,如果卸载后自动出现安装的界面,请按照以上做]
3.手动删除如下的几个文件夹: C:\Program Files\Kaspersky Lab,C:\Program Files\ Common Files\Kaspersky Lab,C:\Documents and Settings\All Users\Application Data \Kaspersky Lab[要打开隐藏文件夹]
4.注册表里用kaspersky做关键词搜索,找到相关后删除。当然注册表的删除可以用到专门的卸载工具,这样更快。删注册表和删文件夹没有顺序要求,然后重新启动安装程序,一定要重启!
方法是有的,原理也很简单,实施过程亦不麻烦,这里利用随刻录机附送的软件Adaptec Easy CD Creator提供的多段式刻录功能。
第一步:将染毒光盘上数据拷贝到硬盘上的一个临时文件夹上,比如Temp(其实也不用将光盘上的全部文件全都复制到硬盘上,只需将*.exe的可执行文件复制即可,因为其他文件未感染病毒);
第二步:用一张干净的启动盘重启机器,用杀毒软件将系统中的病毒杀干净,之后取出所有软盘和光盘;
第三步:重启系统,此时应先将系统光驱的"自动插入通告"功能关闭,也就是在系统 属性的CD-ROM属性中修改,将设置选项中的"自动插入通告"前的单选框中的钩去掉,再重启机器。因为光盘中的软件自动运行可 能会使你的系统再一次重新感染上病毒;
第四步:启动Adaptec Easy CD Creator,插入有毒的刻录盘,将其中含有病毒的文件删除(一般都为*.exe的可执行文件);
第五步:重新添加Temp文件夹下的数据,并再次制作光盘,此时光盘中一般就不会有病毒了;
第六步:最后一步千万别忘记检验,就是要用杀毒软件再检测一下光盘上是否还存在病毒。
小提示
★除Easy CD外,也可以用其他有多区段功能的刻录软件如Nero进行上述工作。
★要在已经刻录的光盘上追刻内容,一定要记得在刻录完毕时不要选择将光盘终结(或封口),否则下次就不能写入了。
了解了它们使用的技术,会对它们有一个更加清晰的认识,以下便是流氓软件使用的经典技术。
秘密潜入-流氓软件的隐藏技术
隐藏是流氓软件的天性,也是病毒的一个特征,任何流氓软件都希望在用户的电脑中隐藏起来不被发现,由于隐藏的目的,衍生出隐藏的技术。
首先是隐藏窗口。我们知道,在Windows操作系统下,所有的程序执行时都是以窗口的形式出现的,每个窗口都有不同的属性,流氓软件的目的就 是不想为人所知,因此它们在运行的过程会将自己的程序窗口的属性设为"不可见",这样用户就看不到程序的窗口了。
但是,我们知道,每个程序运行时虽然用户看到的是窗口,但是对于系统来说,其实是执行了一个进程,对于稍微专业的用户来说,虽然窗口不能看见,但是程序产生的进程却是很容易通过系统的任务管理器看到,从而使流氓软件暴露。因此便出现了隐藏进程技术。
隐藏进程其实是调用了微软的一个未公开函数,将流氓软件本身注册为服务,这样系统的任务管理器就无法显示这类程序的进程了,从而达到了隐藏自己的目的。
对于一些细心的用户来说,电脑出现了新的文件会引起他们的怀疑,因此流氓软件作者又采用了隐藏文件技术。它们在安装时会将自身拷贝到系统目录,然后将文件的属性设置为隐藏,这样,用户如果采用的是默认系统设置,则就无法看到他们。
但是,这些都是初级的隐藏技术,对电脑熟悉的用户,只要利用系统提供的工具就可以找到这些流氓软件的蛛丝马迹,或者安装一个防火墙软件,只要有程序访问网络,立刻就会报警,从而能够暴露流氓软件的行踪。
我中有你-流氓软件的线程插入技术
为了更好地隐藏自己,流氓软件开始大量采用线程插入技术。
上面讲到,一个程序进入系统中,会首先产生文件,该文件运行时,会产生窗口,在内存中产生进程。进程说白了就是一个被激活了的程序文件。而进程又会产生许多线程。
线程是Windows系统为程序提供的并行处理机制,它允许一个程序在同一时间建立不同的线程,完成不同的操作。另外,由于Windows操作 系统为了提高软件的复用性,减少重复开发的开销,采用了动态链接库机制,即将一些公用的程序放在DLL文件中,程序不用包括这些代码,只要在运行时对这些 DLL文件直接进行调用就可以完成各种功能,因此每一个可执行程序除了自身的程序体外,还包括许多外部的模块。如果我们用一些内存查看工具的话,能看到每 一个应用程序都包含了大量的DLL动态链接库文件。
而流氓软件正是利用了这一点。他们的可执行程序并不是EXE形式的,而是DLL形式,这类文件一般是存在于系统中,由可执行程序进行调用。
而流氓则是将DLL文件载入内存,然后通过"线程插入"的方式,插入到某个进程的地址空间。一般地,如果流氓软件想控 制浏览器,则它们往往会将自己注入到浏览器(explorer.exe)的进程空间,只要浏览器运行,就会自动调用该流氓软件。
由于浏览器程序本身会调用大量的DLL文件,因此即使用户用第三方进程查看工具,也分辨不清哪个DLL是流氓软件。面且,采用线程注入技术的流氓软件由于已经并入了正常程序的内存空间,即使是防火墙程序也不会拦截,从而可以在用户电脑自由出入。
销声匿迹-流氓软件的RootKit技术
线程插入对于普通用户来说,或者对于用户的手工清除来说,是很难处理的, 但是这些招数对于杀毒软件来说,是非常简单的,为了能够躲避杀毒软件的追杀,流氓软件的研制者又引入了RootKit技术。
本来RootKit是LINUX的概念,指能够以透明的方式隐藏于系统,并获得LINUX系统最高权限的一组程序集。而后来被病毒制作者借鉴, 病毒的RootKit技术指的是那些能够绕过操作系统的API调用,直接利用更底层的调用,然后接管系统的高级API调用,当有程序试图查找它们时,便返 回假信息,从而得以隐藏自己的技术。由于目前的杀毒软件都是直接调用系统API来进行病毒扫描的,因此采用这种技术的病毒,都能够轻松躲避杀毒软件的追 杀,因为如此,所以目前的流氓软件开始越来越多地采用这种方式来保护自己。
不过,杀毒软件也开始绕过API调用,通过更加底层的应用,来对抗这种技术。
借尸还魂-流氓软件的碎片技术
流氓软件之所以要流氓,那是因为巨大的利益,而为了巨大的利益,流氓就变得更流氓。目前流氓软件大多数还会采用一项流行的技术,那就是碎片技 术。这种技术的思想其实很简单,就是在进入用户系统时,就产生多个或相同,或不同的碎片文件,这些文件除了分布在系统目录、一些盘符的根目录下,它们还会 隐藏在其它软件的目录、临时文件夹、甚至回收站里。
这些文件之间互相保护,一旦一个文件被删除了,另一些碎片就会重新将这个文件恢复。只要系统中存在有这样的碎片文件,这些碎片文件只要有一个能 够激活,在用户连接网络的时候,就能够连通网络进行升级,从而重新还原成一个完整的流氓软件体系,而且一旦升级,这些新升级的流氓软件还会将这些碎片文件 删除,然后产生新的碎片文件,从而能够在一定程度上躲过了反病毒软件的查杀。
有的流氓软件多达数十个碎片文件,这对于手动清除的用户来说,几乎是不可能完成的任务,而即便是杀毒软件也未必能够将数十种碎片文件都一一识别,因此会产生杀不干净的问题,即使是只有一个碎片,流氓软件就有可能通过升级和下载借尸还魂,继续为恶。
以上便是目前流氓软件用得最多的技术,当然,随着同各种反病毒软件的对抗,它们会采用越来越多的底层技术,有些流氓已经开始采用写固件的方式,通过BIOS来进行传播了。而随着流氓软件的发展,手工清除越来越不可能,人们将会越来越依赖于专业的流氓软件清除工具。
链接:流氓软件的8大症状
1.强迫性安装:不经用户许可自动安装,或者是不给出明显提示,欺骗用户安装 。
2.无法卸载:不提供正常的卸载程序,或当用户选择卸载时,不真正卸载。
3.弹出广告窗:在用户上网时,频繁弹出广告窗口,干扰用户正常使用电脑
4.首页修改:浏览器的默认首页,在没有经过用户的同意擅自被修改。
5.修改浏览器:在菜单栏上添加不需要的按钮,在浏览器的地址栏中添非法内容,自动添加菜单。
6.资源占用:CPU资源被大量占用,系统变得越来越慢。
7.使浏览器崩溃:流氓软件由于太信赖于浏览器,因此,经常会出现使浏览器莫名崩溃的情况。
8.干扰软件:流氓软件为了达到它的常久生存的目的,总是干扰一些如杀毒软件的正常运行,使这些软件出现莫名其妙的错误。
对于个人用户来说,除了病毒和木马,网页中的隐形代码也开始严重地威胁着我们的安全,但大多数人却缺乏自我保护意识,对隐形代码的危害认识不 够,甚至在自己不知情的情况下被别人窃取了重要资料。因为隐形代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止隐形代码的攻击,大 多数甚至根本就不能发现。所以我们更应该高度警惕网页代码中的隐形杀手。一般来说网页代码中的"隐形杀手"大致分为以下几类:
隐形杀手1:占用CPU
通过不断地消耗本机的系统资源,最终导致CPU占用率高达100%,使计算机不能再处理其他用户的进程。
"隐形杀手1"代码的典型恶作剧是通过JavaScript产生一个死循环。这类代码可以是在有恶意的网站中出现,也 可以以邮件附件的形式发给你。现在大多数的邮件客户端程序都可以自动调用浏览器来打开HTM/HTML类型的文件。这样只要你一打开附件,屏幕上就会出现 无数个新开的浏览器窗口。最后让你不得不重新启动计算机。
避恶方法 对于这类问题,只能是不要随便打开陌生人寄来的邮件的附件,特别是扩展是.vbs、.htm、.doc、.exe的附件。
隐形杀手2:非法读取本地文件
这类代码典型的作法是在网页中通过对Activex、JavaScript和WebBrowser control的调用来读本地文件。
"隐形杀手2"的代码较之"隐形杀手1"的特点就是表现方式较隐蔽,一般的人不容易发现隐形 代码正在读取自己硬盘上的文件。"隐形杀手2"还能利用浏览器自身漏洞来实现其杀招,如IE5.0的IFrame漏洞。很简单的 几行代码就可以读取你本地硬盘上的任何IE可以打开的文件。
避恶方法 可以通过关闭JavaScript并随时注意微软的安全补丁来解决。
隐形杀手3:Web欺骗
攻击者通过先攻入负责目标机域名解析的DNS服务器,然后把DNS-IP地址复位到一台他已经拿下超级用户权限的主机。
这类攻击目前在国内很少出现,但如果成功的话危害却非常大。而且可能会损失惨重。其攻击方法是:在他已经拿下超级用户权限的那台主机上伪造一个 和目标机完全一样的环境,来诱骗你交出你的用户名和密码。比如说我们的邮件甚至网上的银行账号和密码。因为你面对的是一个和昨天一样的环境,在你熟练的敲 入用户名和密码的时候。根本没有想到不是真正的主机。
避恶方法 上网时,最好关掉浏览器的JavaScript,使攻击者不能隐藏攻击的迹象,只有当访问熟悉的网站时才打开它,虽然这会减少浏览器的功能,但我想这样做还是值得的。还有就是不要从自己不熟悉的网站上链接到其他网站,特别是链接那些需要输入个人账户名和密码的网站。
隐形杀手4:控制用户机
目前这类问题主要集中在IE对Actives的使用上。
我们现在可以看一看自己IE的安全设置,对于"下载已签名的ActiveX控件",现在的选项是"提 示"。但你可能不知道,IE仍然有特权在无需提示的情况下下载和执行程序。这是一个严重的安全问题,我们可能在不知情的情况下被别人完全控 制。
避恶方法 在注册表HKEY-LOCAL-MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ ActiveX Compatiblity"下为"Active Setup controls"创建一个基于CLSID的新建{6E449683-C509-11CF-AAFA-00AA00 B6015C}在新建下创建REGDWORD类型的值:Compatibility Flags 0x00000400。
隐形杀手5:非法格式化本地硬盘
这类代码的危害较大。只要你浏览了它的网页,你的硬盘就会被格式化。
这并不是耸人听闻,其实IE可以通过执行ActiveX而使硬盘被格式化并不是什么新漏洞,如果浏览含有这类代码的网页,你的本机硬盘就会被快速格式化,而且因为格式化时窗口是最小化的,你可能根本就没注意,等发现已悔之晚矣。
避恶方法 把本机的format.com、deltree.exe等危险命令改名也是一个办法。因为我们在Windows中要真正用到这些DOS命令的情况并不是很 多,而很多宏病毒或危险代码就是直接调用这些DOS命令,如有名的国产宏病毒"七月杀手",就是在Autoexec.bat中加 入了deltree c:\ /y。
博文
所有评论
