求卡巴主动防御的原理,它是通过什么判断病毒行为的?
如果答案满意绝对追加高分!!!!!!!最起码要是RING3层的理论描述性信息!!
主动防御判断
本节包含主动防御判断,注意所有判断应该有必要作为一种威胁,一些操作是计算机中运行程序的正常行为或操作系统那些程序的响应,然而,在一些情况下,相同的操作可以被黑客激活或恶意程序进行调用。
带有一个高危险级别的判断在文字中以红色高亮显示,不总是威胁指示的判断为黑色。
栈溢出
栈溢出是当今获得非授权系统访问的最通常技术。
此概念如下:通常一个程序需要RAM的栈结构以用于存贮并查找中间值,当程序调用一个程序或子程序时,其发送返回地址到栈中,并且程序一旦程序完成,它知道在哪儿返回控制,栈溢出是当大于栈的数据块发送到栈时,超过数据被记录在栈中的一部分,此栈分配用于从程序中正确返回,这样,溢出改变了执行程序的正常进程,而不是正确返回去进一步执行,因为栈溢出,其被转到命令中重写的地址。
要造成一个栈溢出,黑客使用漏洞,程序包含处理器执行的机器指令,因为栈溢出,处理器进入的地址将在这些指令中指定。
当使用正常模式中的标准程序的栈溢出的可能性非常低。当检测到栈溢出时,很可能意味着这个漏洞被用恶意代码结束。
数据执行
这个技术使用安装在您计算机的软件错误,使用的错误是用恶意对象提供的数据取代正确的数据,恶意的数据会造成这些数据被错误处理。
使用数据执行的最常见攻击对象是浏览器,当浏览网页时,许多浏览器、图像及多媒体不执行必要的扫描,并且植入网页上对象的恶意代码可以取得控制。
微软使用DEP (数据执行防止)保护微软窗口中的可执行代码,这个解决方案包含在Microsoft Windows XP及Microsoft Windows Server 2003的更新中。
隐藏安装
隐藏安装是安装恶意程序或运行可执行文件的过程,不通知相应的用户。隐藏安装进程可以使用标准工具进行检测,如Microsoft Windows 任务管理器,但因为恶意程序安装时,屏幕上没有标准的安装窗口,用户不可能想到跟踪系统中运行的进程。
隐藏对象
隐藏对象是标准工具不能检测到的进程(Microsoft windows 任务管理器, Process Explorer,等) , 换句话说rootkit是取得根用户权限的工具,是用于黑客系统的程序或程序集,这个术语来自UNIX。
在Microsoft Windows中, 通常"rootkit" 指用于隐藏软件的程序,其安装在系统中,用于截取并歪曲系统中运行进程及驱动器上文件夹的消息,换句话说, rootkit的运行像一个代理服务器,让一些信息通过并且阻止,或者改变其它信息。另外,通常rootkits可以隐藏系统中任何进程,以及磁盘上文件夹及文件,以及配置中描述的注册码。许多隐藏程序在系统安装有驱动程序及服务,其通常对系统管理工具不可见,如任务管理器 或Process Explorer,以及反病毒程序。
根外壳
这个漏洞包含命令提示的重新路由输入/输出(通常用于网络),通常是用于取得对计算机的远程访问。
恶意对象企图取得对被攻击计算机的命令行访问,从而可以执行命令,访问通常通过一个远程攻击并运行利用此漏洞的脚本取得,此脚本通过TCP,在连接的计算机上运行一个命令行解释器,黑客可以远程控制系统。
启动互联网浏览器
浏览器可以被隐藏启动,并且数据可以发送到浏览器,以后黑客可以利用这个漏洞,被打开的监测浏览器使您能够截取这些数据。
浏览器通常用包含的设置打开,如:用户密码,无论什么时候您可以点击邮件客户湍主体或即时消息程序中的链接,其不是一个可疑的操作,如果您添加一个邮件客户端及ICQ到信任域中,意味着如果您仅仅允许某些应用程序去打开带设置的浏览器窗口,所有其它情况下,如果数据通过浏览器传输黑客(不是计算机用户)数据,这种情况被认为可疑。
奇怪行为
其可以参考特定进程的非危险或非可疑行为检测,而不是操作系统的状态改变,如R0-R3访问点的直接内存访问或修改。
检测到的危险行为(一般行为)
这组恶意操作检测工具包括Trojan.generic, Worm.generic, 及Worm.P2P.generic,检测危险行为的算法非常复杂,基于对操作集进行分析(不是一,二个因素)判断一个进程最可能是未知的恶意进程,当可疑操作第一次发生时,一般判断没有进行分配,每次进行可疑操作时,进程的可疑级别出现。当操作达到一个关键级别,主动防御将尽快处理它,这个方法可以确保非常低的虚报警,立即显示恶意活动几个方面的正常程序的可能性十分低。
影响可疑级别的操作:
注入系统的感染或恶意对象的典型操作;
直接的恶意操作;
复制恶意对象的典型操作。
改变的应用程序
这个事件表示从最近一次运行起,监测应用程序的可执行文件已经被修改,应该指出可执行文件可能已经被注入应用程序的恶意代码修改,或被标准程序更新修改,如被Microsoft Windows更新修改的Microsoft Internet Explorer的可执行文件。
违反完整性
自程序最后一次运行起,当监测应用程序的一个或几个模块可能已经被修改时,则违反完整性,其可以已经被程序更新修改,而不仅仅是注入应用程序的恶意代码(如果,使用Microsoft Internet Explorer的库可能被Microsoft Windows更新所修改)。
关键应用程序
应用程序完整性控制模块具有监测应用程序启动的额外功能,在这种模式下,无论用户指定的应用程序启用了,卡巴斯基互联网安全套装发布了一个警告, 如果监测应用程序配置了规则 运行:操作提示,则只显示警告,默认情况下,这种模式被禁用。
作为儿童运行
在许多恶意程序使用已知的程序创建数据泄漏或从互联网上下载恶意代码,为了实现这一点,恶意程序打开一个标准程序,防火墙规则及其它防护工具可以允许它访问互联网 (如:网上浏览器),当此事件发生时,监测的应用程序作为一个子进程运行。
如果监测应用程序配置了规则 运行子进程:操作提示,则仅仅出现警告。因为一些程序被其它子进程运行,如果事件很普通,默认警告将不会显示,尽管事件记录在主动防御运行报告中。
主机文件修改
主机文件是Microsoft Windows的最重要系统文件之一,通过在DNS服务器上将URL地址转换成IP地址,其设置用于将访问重定向到网站,但在本地计算机的右侧,主机文件是一种普通文件文件,每一行定义了服务器字及其IP地址字符名。
恶意程序经常使用此文件以重新定义反病毒更新服务器地址以阻止任何更新并防止恶意程序被检测到,其它方面一样。
入侵者 / 加载工具
在恶意程序中有无数可变性,其标记为用于已知程序的可执行文件,库或插件,并将其自身加载到标准进程。用户计算机的数据泄漏可以用这种方式进行协调。由恶意代码引起的网络流量将自由通过防火墙,因为防火墙认为此流量属于一个允许访问网络的应用程序。
木马通常入侵其它进程,然而,许多正常程序,更新及安装工具程序也显示其行为,如果您确定加载的程序无害,您应该仅仅允许这种类型的活动。
键盘记录工具
码日志器是记录您在键盘输入的每个键,这类恶意软件可以发送从键盘捕获的信息(登录,密码及信用卡)到一个黑客,然而,标准程序也可以记录码值,码记录经常用于调用使用热键的不同程序的功能。
注册表访问
注册访问跟踪对注册表码的修改。
恶意程序修改注册表,以便当启动您的操作系统时,这些程序可以自动启动,为了改变Microsoft Internet Explorer的主页及其它破坏操作。然而,记住标准应用程序也可能访问系统注册表。
此模块包含6组关键码的预定义列表,用户也可能添加他们的码组并配置不同程序的规则以供访问。
注册表异常
此模块使您能够截取注册表中隐藏码中的企图,其不被标准程序所显示,如regedit。码值创建的名字错误,因此注册表编辑器不能正确显示这些值,因此诊断系统中恶意软件变得很困难。
木马下载器
木马下载器是隐藏非授权互联网下载主要功能的程序,黑客网站是木马下载工具的最常见来源,木马下载工具不是对自身的直接威胁,因为他们不受控制的下载并启动软件,因此很危险,木马下载工具主要用于下载并运行病毒,木马及间谍软件。
本节包含主动防御判断,注意所有判断应该有必要作为一种威胁,一些操作是计算机中运行程序的正常行为或操作系统那些程序的响应,然而,在一些情况下,相同的操作可以被黑客激活或恶意程序进行调用。
带有一个高危险级别的判断在文字中以红色高亮显示,不总是威胁指示的判断为黑色。
栈溢出
栈溢出是当今获得非授权系统访问的最通常技术。
此概念如下:通常一个程序需要RAM的栈结构以用于存贮并查找中间值,当程序调用一个程序或子程序时,其发送返回地址到栈中,并且程序一旦程序完成,它知道在哪儿返回控制,栈溢出是当大于栈的数据块发送到栈时,超过数据被记录在栈中的一部分,此栈分配用于从程序中正确返回,这样,溢出改变了执行程序的正常进程,而不是正确返回去进一步执行,因为栈溢出,其被转到命令中重写的地址。
要造成一个栈溢出,黑客使用漏洞,程序包含处理器执行的机器指令,因为栈溢出,处理器进入的地址将在这些指令中指定。
当使用正常模式中的标准程序的栈溢出的可能性非常低。当检测到栈溢出时,很可能意味着这个漏洞被用恶意代码结束。
数据执行
这个技术使用安装在您计算机的软件错误,使用的错误是用恶意对象提供的数据取代正确的数据,恶意的数据会造成这些数据被错误处理。
使用数据执行的最常见攻击对象是浏览器,当浏览网页时,许多浏览器、图像及多媒体不执行必要的扫描,并且植入网页上对象的恶意代码可以取得控制。
微软使用DEP (数据执行防止)保护微软窗口中的可执行代码,这个解决方案包含在Microsoft Windows XP及Microsoft Windows Server 2003的更新中。
隐藏安装
隐藏安装是安装恶意程序或运行可执行文件的过程,不通知相应的用户。隐藏安装进程可以使用标准工具进行检测,如Microsoft Windows 任务管理器,但因为恶意程序安装时,屏幕上没有标准的安装窗口,用户不可能想到跟踪系统中运行的进程。
隐藏对象
隐藏对象是标准工具不能检测到的进程(Microsoft windows 任务管理器, Process Explorer,等) , 换句话说rootkit是取得根用户权限的工具,是用于黑客系统的程序或程序集,这个术语来自UNIX。
在Microsoft Windows中, 通常"rootkit" 指用于隐藏软件的程序,其安装在系统中,用于截取并歪曲系统中运行进程及驱动器上文件夹的消息,换句话说, rootkit的运行像一个代理服务器,让一些信息通过并且阻止,或者改变其它信息。另外,通常rootkits可以隐藏系统中任何进程,以及磁盘上文件夹及文件,以及配置中描述的注册码。许多隐藏程序在系统安装有驱动程序及服务,其通常对系统管理工具不可见,如任务管理器 或Process Explorer,以及反病毒程序。
根外壳
这个漏洞包含命令提示的重新路由输入/输出(通常用于网络),通常是用于取得对计算机的远程访问。
恶意对象企图取得对被攻击计算机的命令行访问,从而可以执行命令,访问通常通过一个远程攻击并运行利用此漏洞的脚本取得,此脚本通过TCP,在连接的计算机上运行一个命令行解释器,黑客可以远程控制系统。
启动互联网浏览器
浏览器可以被隐藏启动,并且数据可以发送到浏览器,以后黑客可以利用这个漏洞,被打开的监测浏览器使您能够截取这些数据。
浏览器通常用包含的设置打开,如:用户密码,无论什么时候您可以点击邮件客户湍主体或即时消息程序中的链接,其不是一个可疑的操作,如果您添加一个邮件客户端及ICQ到信任域中,意味着如果您仅仅允许某些应用程序去打开带设置的浏览器窗口,所有其它情况下,如果数据通过浏览器传输黑客(不是计算机用户)数据,这种情况被认为可疑。
奇怪行为
其可以参考特定进程的非危险或非可疑行为检测,而不是操作系统的状态改变,如R0-R3访问点的直接内存访问或修改。
检测到的危险行为(一般行为)
这组恶意操作检测工具包括Trojan.generic, Worm.generic, 及Worm.P2P.generic,检测危险行为的算法非常复杂,基于对操作集进行分析(不是一,二个因素)判断一个进程最可能是未知的恶意进程,当可疑操作第一次发生时,一般判断没有进行分配,每次进行可疑操作时,进程的可疑级别出现。当操作达到一个关键级别,主动防御将尽快处理它,这个方法可以确保非常低的虚报警,立即显示恶意活动几个方面的正常程序的可能性十分低。
影响可疑级别的操作:
注入系统的感染或恶意对象的典型操作;
直接的恶意操作;
复制恶意对象的典型操作。
改变的应用程序
这个事件表示从最近一次运行起,监测应用程序的可执行文件已经被修改,应该指出可执行文件可能已经被注入应用程序的恶意代码修改,或被标准程序更新修改,如被Microsoft Windows更新修改的Microsoft Internet Explorer的可执行文件。
违反完整性
自程序最后一次运行起,当监测应用程序的一个或几个模块可能已经被修改时,则违反完整性,其可以已经被程序更新修改,而不仅仅是注入应用程序的恶意代码(如果,使用Microsoft Internet Explorer的库可能被Microsoft Windows更新所修改)。
关键应用程序
应用程序完整性控制模块具有监测应用程序启动的额外功能,在这种模式下,无论用户指定的应用程序启用了,卡巴斯基互联网安全套装发布了一个警告, 如果监测应用程序配置了规则 运行:操作提示,则只显示警告,默认情况下,这种模式被禁用。
作为儿童运行
在许多恶意程序使用已知的程序创建数据泄漏或从互联网上下载恶意代码,为了实现这一点,恶意程序打开一个标准程序,防火墙规则及其它防护工具可以允许它访问互联网 (如:网上浏览器),当此事件发生时,监测的应用程序作为一个子进程运行。
如果监测应用程序配置了规则 运行子进程:操作提示,则仅仅出现警告。因为一些程序被其它子进程运行,如果事件很普通,默认警告将不会显示,尽管事件记录在主动防御运行报告中。
主机文件修改
主机文件是Microsoft Windows的最重要系统文件之一,通过在DNS服务器上将URL地址转换成IP地址,其设置用于将访问重定向到网站,但在本地计算机的右侧,主机文件是一种普通文件文件,每一行定义了服务器字及其IP地址字符名。
恶意程序经常使用此文件以重新定义反病毒更新服务器地址以阻止任何更新并防止恶意程序被检测到,其它方面一样。
入侵者 / 加载工具
在恶意程序中有无数可变性,其标记为用于已知程序的可执行文件,库或插件,并将其自身加载到标准进程。用户计算机的数据泄漏可以用这种方式进行协调。由恶意代码引起的网络流量将自由通过防火墙,因为防火墙认为此流量属于一个允许访问网络的应用程序。
木马通常入侵其它进程,然而,许多正常程序,更新及安装工具程序也显示其行为,如果您确定加载的程序无害,您应该仅仅允许这种类型的活动。
键盘记录工具
码日志器是记录您在键盘输入的每个键,这类恶意软件可以发送从键盘捕获的信息(登录,密码及信用卡)到一个黑客,然而,标准程序也可以记录码值,码记录经常用于调用使用热键的不同程序的功能。
注册表访问
注册访问跟踪对注册表码的修改。
恶意程序修改注册表,以便当启动您的操作系统时,这些程序可以自动启动,为了改变Microsoft Internet Explorer的主页及其它破坏操作。然而,记住标准应用程序也可能访问系统注册表。
此模块包含6组关键码的预定义列表,用户也可能添加他们的码组并配置不同程序的规则以供访问。
注册表异常
此模块使您能够截取注册表中隐藏码中的企图,其不被标准程序所显示,如regedit。码值创建的名字错误,因此注册表编辑器不能正确显示这些值,因此诊断系统中恶意软件变得很困难。
木马下载器
木马下载器是隐藏非授权互联网下载主要功能的程序,黑客网站是木马下载工具的最常见来源,木马下载工具不是对自身的直接威胁,因为他们不受控制的下载并启动软件,因此很危险,木马下载工具主要用于下载并运行病毒,木马及间谍软件。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2008-01-06
这得从CPU指令系统(用于控制CPU完成各种功能的命令)的特权级别说起。在CPU的所有指令中,有一些指令是非常危险的,如果错用,将导致整个系统崩溃。比如:清内存、设置时钟等。如果所有的程序都能使用这些指令,那么你的系统一天死机n回就不足为奇了。所以,CPU将指令分为特权指令和非特权指令,对于那些危险的指令,只允许操作系统及其相关模块使用,普通的应用程序只能使用那些不会造成灾难的指令。形象地说,特权指令就是那些儿童不宜的东东,而非特权指令则是老少皆宜。
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常的
向 Ring3 层发消息
(Ring 0 与 Ring3)Ring 0组件是受到处理器结构保护的,即在Ring 0中的软件受到硬件(芯片)保护,以防止互写。Ring 0 组件执行所有特权操作,如与硬件直接通讯,可访问系统中的任何资源。
如果在Ring 0中的软件出现问题,就会导致整个系统崩溃。(Ring 3) 当一个软件组件在Ring 3时,就不会受到处理器的保护。但可受到操作系统和虚拟机管理器的保护。Ring 3中的进程不具有与Ring 0同样的权限,例如,Ring 3中的进程不能直接写硬件,这些进程必须与Ring 0中的进程通讯,然后由Ring 0中的进程对硬件进行操作。
这种在权限上的限制意味着如果一个软件在Ring 3上出现失败,它也不会破坏整个系统。即在Ring 3上的软件组件出现问题不会影响到系统正在运行的其它软件。正是这个原因,所有的应
用程序都放在Ring 3上运行。
windows分4层保护结构,最核心的ring0,最外面的是ring3,ring0层的应用程序可以直接和硬件打交道,其他层的就必须通过hal.dll来调用相应的api来和硬件打交道,所以如果想突破限制,搞些破坏就要进入ring0.
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。
我看只有在RING3下....
Rootkit类的病毒就是将其自身的进程隐藏,以达到用户无法结束其进程的目的。
杀毒软件则通过检测来发现其进程,如果发现对应的进程含有恶意程序则将向用户报警。
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。尽管有CPU的特权级别作保护,遗憾的是WINDOW98本身漏洞很多,使用Windows 98的系统一天死机n回也是正常的
向 Ring3 层发消息
(Ring 0 与 Ring3)Ring 0组件是受到处理器结构保护的,即在Ring 0中的软件受到硬件(芯片)保护,以防止互写。Ring 0 组件执行所有特权操作,如与硬件直接通讯,可访问系统中的任何资源。
如果在Ring 0中的软件出现问题,就会导致整个系统崩溃。(Ring 3) 当一个软件组件在Ring 3时,就不会受到处理器的保护。但可受到操作系统和虚拟机管理器的保护。Ring 3中的进程不具有与Ring 0同样的权限,例如,Ring 3中的进程不能直接写硬件,这些进程必须与Ring 0中的进程通讯,然后由Ring 0中的进程对硬件进行操作。
这种在权限上的限制意味着如果一个软件在Ring 3上出现失败,它也不会破坏整个系统。即在Ring 3上的软件组件出现问题不会影响到系统正在运行的其它软件。正是这个原因,所有的应
用程序都放在Ring 3上运行。
windows分4层保护结构,最核心的ring0,最外面的是ring3,ring0层的应用程序可以直接和硬件打交道,其他层的就必须通过hal.dll来调用相应的api来和硬件打交道,所以如果想突破限制,搞些破坏就要进入ring0.
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用。
我看只有在RING3下....
Rootkit类的病毒就是将其自身的进程隐藏,以达到用户无法结束其进程的目的。
杀毒软件则通过检测来发现其进程,如果发现对应的进程含有恶意程序则将向用户报警。
第2个回答 2008-01-02
1.程序活动分析器
这个功能就是监控你要运行的程序是不是有恶意行为.比如你运行珊瑚虫版QQ卡巴报警说检测到风险程序 该程序试图注入到另外的进程或程序这种行为是典型的恶意程序 或者你运行别的什么程序报警说有风险程序 .就是因为你打开了程序活动分析器的缘故.
打个比方说,路上设有好多检查站(卡巴杀毒软件),对于走在路上的爱滋病患者(病毒)检查站会报警,但对与普通人不会;但是对于限制级区域(各种进程模块),不论是爱滋病患者还是普通人,在未经允许进入(注入模块)时检查站都会报警,此时不是因为病毒,而是因为“进入”这种行为。
invader是“入侵者”的意思。卡巴报警是因为一些无毒的软件运行时需要注入其它进程,这种行为是入侵行为,因为它未经允许,同时把这些软件定义为风险软件。
只要你确定运行的程序无毒,就可以大胆的不去管它。类似你进入限制级区域,不管你的目的是什么,检查站都会报警,因为你进入这种行为是风险行为,同时检查站把你定义为有风险的人(风险软件)。
风险(invader)软件报警是卡巴特有的,这说明卡巴很严格,风险软件不一定是病毒,几乎100%的软件不可能独立运行,都需要其他程序的支持,注入行为不可避免.
建议:对程序不是太了解的话此功能可以不用.等你有了一定的基础可以再用.
2.程序完整性控制
这个功能就是控制程序只能运行本身而不允许调用别的程序.
我的实际操作发现这个功能打开的话如果机器配置不高容易造成死机.为什么呢?因为你打开的程序要调用别的程序这时卡巴会自动阻止,这样就出现一个不停的试图去调用一个不停的去阻止所以就会出现死机的情况.举个例子:你打开控制面版想看看你安了什么程序或者想看我的电脑的属性,这时卡巴就会自动阻止你的这项操作去调用别的程序,这时就容易死机了.
建议:此功能本人认为基本上无用.
3.注册表监控
顾名思义就是监控注册表.哪个程序想修改注册表时卡巴会提醒你允许还是拒绝.
建议:这个功能可以打开,以防有的恶意程序在你不知情的情况下修改你的注册表.
4卡巴斯基互联网安全套装7.0版具有一个启发式分析器,可以在现有的提前防御模块的帮助下,基于行为来检测并移除未知的恶意软件,提升了对已知和未知的恶意软件的安全防护能力。本回答被网友采纳
这个功能就是监控你要运行的程序是不是有恶意行为.比如你运行珊瑚虫版QQ卡巴报警说检测到风险程序 该程序试图注入到另外的进程或程序这种行为是典型的恶意程序 或者你运行别的什么程序报警说有风险程序 .就是因为你打开了程序活动分析器的缘故.
打个比方说,路上设有好多检查站(卡巴杀毒软件),对于走在路上的爱滋病患者(病毒)检查站会报警,但对与普通人不会;但是对于限制级区域(各种进程模块),不论是爱滋病患者还是普通人,在未经允许进入(注入模块)时检查站都会报警,此时不是因为病毒,而是因为“进入”这种行为。
invader是“入侵者”的意思。卡巴报警是因为一些无毒的软件运行时需要注入其它进程,这种行为是入侵行为,因为它未经允许,同时把这些软件定义为风险软件。
只要你确定运行的程序无毒,就可以大胆的不去管它。类似你进入限制级区域,不管你的目的是什么,检查站都会报警,因为你进入这种行为是风险行为,同时检查站把你定义为有风险的人(风险软件)。
风险(invader)软件报警是卡巴特有的,这说明卡巴很严格,风险软件不一定是病毒,几乎100%的软件不可能独立运行,都需要其他程序的支持,注入行为不可避免.
建议:对程序不是太了解的话此功能可以不用.等你有了一定的基础可以再用.
2.程序完整性控制
这个功能就是控制程序只能运行本身而不允许调用别的程序.
我的实际操作发现这个功能打开的话如果机器配置不高容易造成死机.为什么呢?因为你打开的程序要调用别的程序这时卡巴会自动阻止,这样就出现一个不停的试图去调用一个不停的去阻止所以就会出现死机的情况.举个例子:你打开控制面版想看看你安了什么程序或者想看我的电脑的属性,这时卡巴就会自动阻止你的这项操作去调用别的程序,这时就容易死机了.
建议:此功能本人认为基本上无用.
3.注册表监控
顾名思义就是监控注册表.哪个程序想修改注册表时卡巴会提醒你允许还是拒绝.
建议:这个功能可以打开,以防有的恶意程序在你不知情的情况下修改你的注册表.
4卡巴斯基互联网安全套装7.0版具有一个启发式分析器,可以在现有的提前防御模块的帮助下,基于行为来检测并移除未知的恶意软件,提升了对已知和未知的恶意软件的安全防护能力。本回答被网友采纳
第3个回答 2008-01-07
卡巴斯基跟其他软件一样通过病毒库来判别病毒,所谓病毒库就是把过去一些病毒的类型特征全部记录下来.根据比对来判别病毒,自动运行的软件它回默认视为病毒.
第4个回答 2008-01-02
病毒的程序往往会做出正常软件不会做的举动,让计算机有危害,杀毒软件会自己检测有违规的举动,比如说修改注册表,创建的病毒文件等等
