下面来介绍设置中的“电脑防护”和“网络监控”两个功能,首先是“电脑防护”,也就是我们常说的HIPS--RIS的主动防御部分。
主动防御:如图2-1:主动防御主界面
瑞星的主动防御技术提供了更开放的高级用户自定义规则,可以根据自己系统的特殊情况,制定独特的防御规则,使主动防御可以最
大限度的保护系统。
智能主动防御是一种阻止恶意程序执行的技术。瑞星的主动防御技术提供了更开放的自定义规则的功能,您可以根据自己系统的特殊
情况,制定独特的防御规则,使主动防御可以最大限度的保护系统。
智能主动防御功能从设计方面脱离了病毒库,传统的杀毒软件只是发现应用程序类似病毒就去病毒库中进行验证,判断出的病毒都是
已经发现的病毒,对于新病毒就失去了防御作用。智能主动防御具有独特的功能设计,它是瑞星公司根据多年反病毒的经验,总结制
定了一系列的规则,通过规则过滤应用程序,当发现其存在可能的恶意行为的时候,便进行提示与警告,这样将决策权交给您,您可
以决定放过还是拒绝此类危险动作,从而可以达到主动预防病毒的非授权行为,放行您主动执行的授权行为的作用。这样即使遇到一
个病毒库里没有的新病毒,仍可以提前帮助您及时发现它。在病毒肆虐的网络中,智能主动防御功能在病毒与计算机之间又设置了一
道安全屏障,将病毒置之门外。
智能主动防御由【系统加固】、【应用程序加固】、【应用程序控制】、【木马行为防御】、【木马入侵拦截】和【自我保护】六大
功能组成。
1.文件监控和邮件监控(应该算是实时监控)图略
文件监控用于实时的监控系统中的文件操作,在操作系统对文件操作之前进行查毒,从而阻止病毒运行,保护系统安全。
邮件监控可以对接收和发送的邮件进行病毒扫描,防止病毒通过邮件传播,感染电脑。
邮件监控功能支持所有符合SMTP和POP3协议的邮件客户端,如Foxmail和Outlook 等。
2.系统加固
系统加固针对恶意程序容易利用的操作系统脆弱点进行监控、加固,以抵御恶意程序对系统的侵害。
系统加固预先设置了规则,并提供规则的应用对象,这些规则对象主要由容易被病毒利用的操作系统脆弱点构成,并且针对对象是否
启用规则,提供了 高级用户、推荐、一般用户、自定义四种安全级别,您可以根据实际情况自由选择。
系统加固对访问磁盘、设备访问、系统注册表和系统文件进行监控,从而防止恶意程序对操作系统进行通过磁盘启动病毒进程,恶意
访问系统设备,破坏系统注册表和文件等危险行为。
此处详细介绍一下系统注册表保护和系统文件保护:
系统注册表保护
单击【自定义级别】按钮会显示下面的页面,左侧是系统加固包括的四项,选中系统注册表保护,右侧则显示系统注册表保护包括的
子类文件关联、资源浏览器配置、系统配置、IE配置、网络配置、Windows 启动、Winlogon等。您可以在下列框中选择【本类所有规
则】查看全部规则信息,也可选择每个子类,定位到其包括的详细规则。每个子类中包含其相关的注册表项,用户可勾选前面的复选
框,并选择当程序触发规则时候的处理方式,单击【应用】/【确定】按钮完成设置。
系统文件保护
在上一页面中,单击【自定义级别】按钮会显示下面的页面,左侧是系统加固包括的四项,选中系统文件保护,右侧则显示系统文件
保护包括的子类系统关键目录和系统文件等。每个子类中包含其相关的文件,您可以勾选前面的复选框,并选择当程序触发规则时候
的处理方式,单击【应用】/【确定】按钮完成设置。
3.应用程序加固
应用程序加固允许您添加需要加固保护的程序,通过检测应用程序的运行状态,拦截程序的异常行为,防止恶意程序利用应用程序存
在的漏洞对用户电脑进行破坏。
在添加程序时您需要选择应用程序的类型,根据不同类型的应用程序瑞星会采用不同规则进行加固,操作非常简单。其中【浏览器应
用程序加固】类型对浏览器类的应用程序进行资源访问控制,阻止网页中包含的恶意代码对系统进行破坏;【文档编辑应用程序加固
】类型对文档编辑类的应用程序进行资源访问控制,阻止文档中包含的恶意代码对系统进行破坏。
设置完成后,当应用程序产生异常行为时,智能主动防御会直接帮您阻止。
添加规则时,点击【添加程序】按钮,弹出【选择规则应用对象】窗口。用户可选择的要加固的应用程序,然后点击【下一步】。
选择程序加固类型:用户可根据程序类型选择【浏览器应用程序】或【文档编辑应用程序加固】,瑞星软件将自动采用相应规则。
对于这里我想说的是:以前的应用程序保护给了用户比较大的自定义空间,但是这里却给限制死了,这,确实有点儿...
4.应用程序控制
应用程序控制允许您对监控设置进行个性化定义,来监控程序的运行状态,拦截进程的异常行为,为您提供个性化的保护。
说明:使用此功能您必须先进行必要的设置,选择指定的进程,选择适当的模板,设置完毕后,当开启此功能时,应用程序控制功能
生效。
当某程序触发设置的规则时的提示,可以选择【阻止】和【允许】,当不确定是否为正常程序时建议选择【阻止】。
例子:
以前比较流行的auto病毒(一般会在每个分区下生成一个autorun.inf和*.exe的2个文件),就可以设置规则来进行预防,打开应用
程序控制,如图:应用程序控制1
a.规则对象选所有,也就是“*” 如图:应用程序控制2
b.然后我们选择模板,当然,也可以先选择一个模板接着在规则中详细编辑各个规则,如图:应用程序控制3
c.编辑文件访问规则,“添加规则”--“添加文件规则”--选择监控根目录,我这里选择的是C盘,操作我们选创建,触发规则时就提
示,如图:应用程序控制4
d.确定就行了,以此类推,保护其他盘,auto.exe,sos.exe,autorun.inf,pagefile.pif……不管什么毒,就被简单的挡住了,如
图:应用程序控制5,在C盘根目录新建一个文档就会弹出提示,选择阻止,则文档创建失败。
5.木马行为防御
也就是人们常说的启发,木马行为防御通过对分析程序是否具有木马等病毒行为分析,智能监控未知木马等病毒,抢先阻止其偷窃和
破坏行为。
说明:此功能是瑞星全功能安全软件提供内置规则,您可以进行相关设置,当开启此功能时,木马行为防御功能生效。
若您设置发现恶意行为后的处理方法为【提示我处理】时,则会提示您【隔离并删除】、【仅放过文件】、【仅放过程序】及【信任
】三种方式处理此程序。
6.木马入侵拦截
木马入侵拦截基于网页木马行为分析的技术,检测网页中的恶意程序和恶意代码,可以有效的拦截网页恶意脚本或病毒,阻止病毒通
过网页或挂马网站进行传播。同时,您可以根据自己需求,设置独特的行为检测范围,使网页木马防御可以最大限度的保护系统。
木马入侵拦截突破了原来网页脚本扫描只能通过特征进行查杀的技术壁垒。解决了原网页脚本监控无法对加密变形的病毒脚本进行处
理的问题。由于采用的是行为检测查杀,对于网页挂马一类的木马有很好的防御和处理能力。建议选择发现网页病毒或者恶意脚本的
时候直接拒绝。
7.另外不得不说一下的瑞星自我保护和主动防御白名单(行为分析白名单)
对于自己肯定是没有问题的程序,可以添加到白名单里,这样本来会弹出的提示就不会再弹出;负面影响:如果没有判断清楚,把病
毒加入了白名单则相当于引狼入室,所以此项功能慎用!
瑞星的自我保护开启后,如要在瑞星杀毒软件文件夹里修改瑞星、删除,新建任何文件,都会弹出阻止的提示。
当然,在“软件安全”菜单中您还可以设置瑞星密码,更加安全的保护你的杀毒软件。
主动防御的功能不仅仅于此,大家可以活学活用!
