KV2007公测版试用手记 J]=aI>Ow
Gg}LC+Y 正当国内两大杀软巨头竞相宣布在引擎解壳方面获得重大突破,并且各种有奖公测搞的如火如荼的时候,俺也跟着兴奋了一把,技术突破,这怎么说也是俺们国人之福啊!但兴奋之余免不了纳闷:老将KV跑哪去了?在俺的印象中KV的作风向来内敛,杀壳引擎早在2004年KV就做的非常牛了,牛的连小ri本都服,俺没记错的话那条报道叫王江民先生携手ri本什么Turbo公司,万套KV漂洋过海,而且一直都没怎么见KV把杀壳作为卖点来宣传。并且在俺的印象中,KV要是不内敛十有八九会出乱子,KV2005挂着大横幅宣传国内第一个驱动级,但貌似稳定性还不如他的前辈KV2004;接着KV在bootscan,木马一扫光,未知病毒扫描的拥簇下度过了平平淡淡的2006……
@mQ/WYs 2007当如何?眼看着毒霸和瑞星都喊口号了,KV呢?愈是静,愈是杀气骇人!莫非KV欲重现杀毒王3000那一幕――乱世中,豪杰四起;倚天出,问天下谁与争锋――的霸气?!迷惑中,迎来KV2007的公测,且让我们借公测来一窥老将KV如何演绎07年的三国争雄。
?FY@fO?es 1.安装
T 9<H%iF 安装部分,一个最大的变化就是可以自定义安装了,还记得以前的05和06,皮肤和语言包加起来占了一个WIN95的空间,有的朋友想要,说换肤好看又好玩,有的朋友说没必要,实用最重要,皮肤多了占空间划不来,众口难调的年代,这下好了,上至偏爱素面朝天的古董派(比如俺),下至爱一天换8套衣服的时尚MM,高至仅需反病毒模块的网络高手,低至初涉网络需特别关爱的艰难菜鸟,想怎么装,就怎么装,你的软件你设计(当然,为了全方位体验07,俺就当一次时尚的菜鸟――完全安装^_^)。
evndw> 0btmao- q^jqLT&w 可选安装分的很细,包含了四个大项:基本组件,增强组件,共用组件和软件语言包。四个大项又分若干小项,其中包括江民为非XP SP2用户专门设计的江民安全中心,还有很多附带的工具如IE修复,硬盘修复,网络防火墙,青蛙助手……更详细的偶就不赘述了,有句话是怎么说的啊?好像叫――不能因为一棵树而耽误了一片森林,对不?^_^
y7;XOPm 2.KV2007初体验
Kd`l[56# 安装完毕重启计算机,眼前豁然一亮,桌面上多出来三个图标:江民防火墙、江民智能升级系统、江民杀毒软件。偶很奇怪那个病毒监视哪去了?后来才发现,那个防火墙图标身兼数职,双击一下后病毒监控和防火墙都启动了。接着又发现,原来完全安装模式下防火墙和病毒监控是集成一体的。在病毒监控的右键菜单中就可以控制防火墙。
C$2o
o@
NR;S3-Iq( )<}VP&:X 俺突然对江民防火墙上面的那个功能系统监控来了兴趣,原来里面还有几个分项:系统监控,进程查看器、查找隐藏文件、查找隐藏注册表项。
' F 6au[ .^9/ 0.g8t Q8DQ .C 后面三个应该不用多解释了,在这个ROOTKIT横行的年代,基于API HOOK原理的文件,进程和注册表项隐藏,使得某些病毒的隐身能力产生了飞跃,普通情况下是他看得到你你看不到他的,俺猜想KV这三个功能应该是在顺应时代的潮流,应ROOTKIT而生。俺最感兴趣的就是“允许系统监控”这一项,他是干什么的?思考了半天,俺终于在设置菜单里面找到了答案,顺便再废话点,07的设置菜单也变了不少,设置项更多而且更细了,看下面的截图就知道了。
G
+nY}c BTW:设置对话框中最好能再添加一个应用按钮,和微软的操作系统风格保持一致。
iP#A-du T|BY00Sz`
N)
V7yo? 看到这俺猛然懂了,这个东西是根据程序行为来先发制人的东西,病毒为了隐身,无外乎要做到:轻轻的病毒来了,正如待会要轻轻走,挥一挥衣袖,破坏你的所有!俺目前见过的:木马类――无外乎将服务端以资源形式释放,然后隐式执行――试图创建进程可以把他搞定;还是木马类――大都喜欢把服务端释放到system文件夹――在系统文件夹中创建可执行程序或模块可以搞定;还是木马类――牛点的肯定要用远端线程注入了――试图注入到其他它程内部可以搞定;蠕虫类和盗号木马类――很多喜欢悄悄的发邮件――自动向外发邮件可以搞定;还有那个直接访问系统物理内存,俺印象中,微软已公开的直接访问物理内存的方法是编写驱动,因为windows有进程保护机制……(此处省略,那些什么用户态、核心态偶也不懂哈^_^),反正就是如果直接访问物理内存,会增大蓝屏down机的隐患,所以我猜想这条规则就是应对这个而设计。
5JU(@}Db 注:在实际测试中发现如果选中创建进程那一项,即使是手动打开IE也会被提示,俺个人觉得是不是太麻烦了点,能不能把规则改一下,改成隐式创建进程则给出提示,还有一个创建服务最好也能给出提示。
mTXNHvv 还有其它的,木马一扫光啊,文件监视,脚本监视……什么的就不多介绍了吧,2006我们都见过了。
v:J.d5 值得一提的还有KV2006中颇受赞誉的bootscan变漂亮了,病毒库升级可以全自动了,侦测到有升级包就自动升级。
%T ,\xZ 3.07惊魂记
%`s9yRk9>E 忘了讲了,在试用KV2007的时候着实被吓了一把,俺拿了一个老木马做试验,07居然没反应,而这个木马是在05年就有的。后来上KV论坛才知道,原来07的引擎做了较大改动,病毒库的数据结构变了,所以旧的那一套病毒库需要重新转换一下才能给新的引擎用。虽然细节部分没有透露,但个人感觉这里面还是非常值得期待的,众所周知KV的引擎向来是强项,06,05乃至04的引擎在查壳和速度上都可圈可点,07又做了如此大规模的改动以致于病毒库的数据结构都变了?这会给我带了什么样的好消息呢?是速度的飞跃?是效率的提高?还是查壳的锦上添花?……我们拭目以待。
-pU\"$nuxH 总结:因为毕竟是测试版,试用过程中也难免会遇到BUG,但总的感觉07确实是一款用心雕琢的产品,在正式版中如果能把测试版中的BUG都完善,07年的杀毒王就非KV莫属了!