前言:
以下并不是技术性帖子,大家只需要根据提示,选择相关的操作[提示],操作就可以了。
以下仅仅是说明文件,所以大家可以边照着设置,边参考说明,这样不会很累的。在设置主动防御之前,最好先扫描一遍系统,看看系统中没有病毒、流氓软件等。
以下建议,因为制作时间比较仓促,且缺乏大家的实践经验,可能具有比较多的漏洞及错误之处,希望大家有什么不明白的地方能提出,获得了答案之后再行动!也希望大家不要马上按照下面的介绍而照搬,最好是能在“知道想干什么,在干什么”的前提下设置主动防御!一步一步设置,遇到不懂的,有疑问的,可以发帖提出大家一定会答复的!
假如有好的建议、设置方案,请不吝指教!
一般推荐以目前电脑状况为原始状态,凡是弹出提示窗口,一般建议选择“添加到白名单”,这样大概是一两天之后就不会再弹出提示窗口了。
这个阶段,可以称之为“过渡期”。在过渡期中,请不要有大量的电脑操作。
正文:
假如弹出提示窗口,请看仔细些路径。
PS:如果您没有相关操作(打开正常软件,或者其它操作,而弹出提示窗口),请点〖拒绝〗,一般正常软件的话,会提示出错(比较正规的出错窗口),这时,可以重复操作(打开或者其他操作),一般会再次提示,这次,可以点“添加到白名单”,或者〖放过〗。
图示:
瑞星杀毒软件2008_防御_系统加固_自定义级别
系统动作监控
【挂全局钩子】
触发规则一般选择为〖提示〗或者〖放过〗,
千万不要选择〖拒绝〗,否则系统会出错!
勾选〖提示〗此项,系统在过渡期内会跳出比较多的提示窗口。
一般推荐在“过渡期”内把系统进程和常用程序添加到白名单中。
一般只有安全类软件(如卡卡安全助手)、系统进程等会弹出此窗口。假如不是系统进程,也不是安全程序,仅仅是个游戏或者是其他工具,出现此提示则应该提高警惕!
特别提示:因为卡卡安全助手监控,具有插入线程的行为,所以,可能运行任何非白名单中的程序都会弹出提示窗口。
※希望瑞星工程师能解决一下这个问题※
【加载驱动程序】
触发规则一般选择为〖提示〗或者〖放过〗,
千万不要选择〖拒绝〗,否则系统会出错!
勾选〖提示〗此项,系统会跳出比较多的提示窗口。
一般大型软件、常用软件等都会加载驱动。
所以在过渡期内,可能会有比较多提示。
过渡期后(也就是一两天都没有提示窗口出现就可以称之为“过渡期后”),假如没有安装程序(仅仅是运行某个程序或者文件)弹出此窗口,应该提高警惕了。
PS:安装程序,是指具有安装窗口,需要设置安装路径的程序。
【打开物理内存】
此选项是比较新添加的,使用了这么久,还没有发现过弹出此提示窗口。
所以,假如弹出此窗口,请提高警惕!或者直接点【拒绝】
【注册表监控】
【文件关联】
默认是勾选【提示】,一般程序是不会弹出此类窗口。
假如弹出此类窗口,请务必记录下程序路径。因为这个程序很有可能是可疑文件!
【系统配置】
[定时任务]
现在很少有程序会使用定时任务,所以,可以选择[提示]、[拒绝]或者[放过]。
推荐选择〖提示〗;
[应用程序支持项(IFEO)]
有段时间这个注册表项很流行,一般使用到该注册表项的程序比较少;
所以推荐可以设置为〖拒绝〗
[浏览器辅助对象]
假如没弄错的话,这应该是代表IE上[刷新]按钮那一栏的按钮。
弹出这个窗口的,一般是IE相关的程序,如:百度工具条、瑞星卡卡安全助手、网际快车等。
一般推荐选择是〖提示〗或者〖放过〗。
[当前用户系统壳(Shell)延期审核]
[本地计算机系统壳(Shell)延期审核]
[当前用户系统壳(Shell)服务对象延期加载]
[本地计算机系统壳(Shell)服务对象延期加载]
以上四项,一般推荐选择是〖提示〗。
一般,只有在【安装程序】时才会出现(不知有没有软件会利用这项功能验证盗版)。
所以,一般在运行程序时,出现此提示应该警觉!
[当前用户安装的组件]
[本地计算机安装的组件]
以上两项,一般推荐是〖提示〗。
出现此提示的可能性比较小,除非是使用新用户登录时。
假如在正常使用时(没有关机、注销操作),提示,应该提高警觉!
[引导执行]
一般推荐〖提示〗。
只有在安装程序时,才有可能会弹出。
正常使用或者运行程序时弹出此窗口,则应当提高警觉。
[禁用SYSTEM帐户的任务管理器]
[禁用当前用户的任务管理器]
[本地计算机关半自动播放]
[当前用户关闭自动播放]
推荐选择〖提示〗;
以上四项,正常使用(没有操作相关注册表项、也没有运行相关禁止程序)的情况下是不会弹出提示窗口的。
假如运行某个非安全设置类软件而弹出提示,则就提高警觉。
[本地计算机Explorer.exe禁止运行的程序列表]
[当前Explorer.exe禁止运行的程序列表]
以上两项推荐选择为〖提示〗。
正常使用电脑的情况下,弹出此提示窗口的可能性很小!
假如运行某个程序,或者其它操作而弹出此提示,则就提高警觉!
[服务组启动顺序列表]
[安全模式信息]
以上两项可以直接选择〖拒绝〗或者〖提示〗。
正常软件、正常操作出现的可能性极小,假如弹出提示,则应选择〖拒绝〗。
[可用的安全协议模块]
[本地安全验证通知]
[安全验证程序包]
推荐选择〖提示〗
以上三项正常操作出现的情况比较小,假如弹出提示,则应选择〖拒绝〗。
[命令处理器]
正常操作出现的情况也比较小,假如弹出提示,则应选择〖拒绝〗。
【IE配置】
这应该是大家很熟悉的了。瑞星主动防御提供了很多防御策略,并且默认是〖提示〗。
一般没有执行【IE修复软件】、或者手动更改IE设置是不会弹出提示的。
假如在安装程序、运行程序中提示,除非是绝对信得过的软件,否则大家可以毫不犹豫的点〖拒绝〗。
PS:绝对信得过的软件,是指安全厂商的软件,即:免费的、共享的软件。天下没有免费的午餐,而且在IE上动手脚的,绝对不干净!
【其他】
[已知的DLL会话]
此项一般选择〖提示〗。
正常软件提示的可能性很小,病毒利用的比较多。一般运行某个程序而提示,应当提高警觉。
[自动初始化的动态库]
一般推荐选择〖提示〗
出现的可能性很小,一般没有安装绝对信得过的软件,出现此提示,应当提高警觉,并点〖拒绝〗。
PS:看日志的会员,应该对此很不陌生吧。(Appint_Dlls)
[TCP/IP数据库路径]
病毒及正常软件弹出此提示的比较小。
一般推荐〖提示〗。
假如没有添加/删除网络协议,出现提示,则应提高警觉,并点拒绝。
[可扩展的Shell组件]
[URL地址协议处理器]
[协议过滤器]
一般推荐选择〖提示〗
在没有运行绝对信得过的软件时,出现些提示,应该提高警觉,并点拒绝。
[Winsock2的分层服务提供者目录]
[Winsock名字空间服务提供者目录]
[打印机监控]
一般推荐选择〖提示〗。
PS:Winsock2两项很受盗号木马青睐,一般提示,应该引起警觉,并点〖拒绝〗。
【Windows启动】和【Winlogon】
[服务]
一般只有安装程序时,才会弹出此提示窗口。
假如运行某程序弹出此提示时,应当提高警觉,并点〖拒绝〗。
大家原谅一下哈,偶这个东东制作了快三四个小时了,眼睛有些累了。
在这就说主要的吧,免得重要的还没说,就到睡觉时间了。
大部分都是推荐选择〖提示〗
【本地/当前用户资源管理器运行项】
一般只有下载工具等,才会使用此键值,正常使用或者运行某个程序弹出提示窗口,应当引起警觉!并点〖拒绝〗。
【RUN】
这两个RUN,一般只有安装程序时,才会被调用,一般运行某个非安装程序,而弹出,则应当引起警觉!
【RUNONCE】这个四个键值,一般程序更新之后,会调用此键值。如:瑞星杀毒软件重大更新之后,就会在这里创建一个开机运行的键值。
【Winlogon】
一般使用此项的都是些安全软件,非安装安全软件类软件,弹出此键值,则应当引起足够的警觉!并点〖拒绝〗
终于制作完成了。
结语:
大家对教程中如有疑问,比如偶的“术语”,欢迎在回复中,或者开新帖提出,偶会耐心解释、并虚心接受指导的。
有时候,瑞星的主动防御和卡卡安全助手的系统启动项管理结合使用、分析的话,将会达到一个更高境界!~
一般“提高警觉”,一般是推荐点〖拒绝〗,或者点〖放过〗之后,向周围的卡卡会员求助分析(扫描日志),以保上网安全!
呵呵,有点晕了,做的时间太长了,把一些重要的东东给忘了。
算了,本着抛砖引玉的宗旨,热切接受大家补充!!
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
