返回列表 回复 发帖

[技巧] 带你玩转卡巴斯基——应用程序控制篇

您是第4870个浏览者

本帖最后由 抑郁使者 于 2009-10-7 19:15 编辑

卡巴斯基的应用程序控制是卡巴斯基4D防护的一部分,它可以阻止可能危及系统安全的操作,监控您个人资料的行为,该组件根据应用程序的数字签名和安全分析规则(可通过更新程序更新),将已知和未知的应用程序分别放入信任程序低限制程序”“高限制程序不信任程序
我们可以通过卡巴斯基的安全中心的“应用程序”看到。如图:

点击应用程序活动,我们可以看到“正在运行的程序”点击类别可以选择“计算机启动时运行的程序”、“网络连接”、“在安全免疫区运行的出现”、“受信任程序”“受限制程序、”“已阻止的程序”、“今天启动的程序”、“上周启动程序”、“上月启动程序”和“所有程序”。



我们可以通过鼠标的右键操作
一、应用程序规则,(可以自定义限制应用程序的活动,我们下面会说到)
二、运行序列,(查看启动的时间,启动它的组件,进程的ID)如图

三、更改状态,(可以将程序自定义放入低限制组、高限制组。受信任组或者不信任组,也可以自定义程序规则)
四.结束进程




附件: 您所在的用户组无法下载或查看附件
1

评分次数

  • 柚子

卡巴斯基在程序第一次运行时,会分析应用程序,析大文件时,会很耗时间,需要很长时间才能出现应用程序,卡巴斯基默认分析应用程序的最大时间为30。交互模式下卡巴斯基会出现“已启动新程序,正在分析程序的提示,自动模式下不会出现。


(我们可以在,设置——应用程序控制——附加——用于定义应用程序级别的最长时间,设置分析最长时间和删除无效规则的时限)。如图,

卡巴斯基将分析应用程序的数字签名、是否在卡巴斯基的安全分析规则数据库里,如果满足以上条件,应用程序将会被放入“信任程序”组。卡巴斯基将不限制应用程序的行为。
  如果没有上述条件,卡巴斯基会将分析后没有威胁的应用程序放入“低限制”组,“低限制”组的程序,卡巴斯基在交互模式下除“更改系统模块”外的所有操作都会询问用户,由用户操作,自动模式下,“更改系统模块”,会被阻止。弹出窗口、访问用户隐私数据等询问用户操作外,其他行为,基本不限制。
  如果经过卡巴斯基分析,应用程序没有数字签名,在安全分析规则数据库不存在,并且威胁性较大,卡巴斯基会弹出“潜在的危险程序”的提示,如图,



点击提示框的蓝色部分,会出现应用程序的厂商、名称、版本、大小。创建日期、修改日期、威胁程度等,也可以查看启动时间、历史记录、或者直接添加到信任区域、如图,




如果我们选择“是”应用程序将会被放入“低限制”组,卡巴斯基将会按照低限制规则处理应用程序。
如果我们选择“限制运行”,卡巴斯基将会把应用程序放入“高限制”组,这里,在交互模式下,卡巴斯基会自动阻止应用程序写入、创建、删除电脑的“启动设置”、“系统文件”、“安全设置”、“受保护的应用程序”的注册表项目。会自动阻止应用程序“暂停其他进程和线程”、“启动驱动”、“注入代码”、“更改系统模块”、“访问硬盘底层”、“访问系统底层”、“访问密码存储区”、“关闭操作系统”、“设置调试权限”、“使用浏览器程序秘密发送数据”、“使用系统出现接口(DNS)”、“使用系统程序接口”。其他操作由提示用户,由用户决定。自动模式下,除以上行为会自动阻止外,还会阻止网络连接。
如果选择“否”应用程序将被放入“未信任”组,卡巴斯基将阻止应用程序的一切活动。
在卡巴斯基出现这个窗口时,我们需要斟酌,要明确知道我们正在运行的应用程序,是否是所知的,是否确信安全的,如果不能确定,建议选择“限制运行”或者“否”。如果该应用程序是病毒,而我们选择了“是”,卡巴斯基列入“低限制”组后,,会交由主动防御组件处理,确保用户安全。



附件: 您所在的用户组无法下载或查看附件
本帖最后由 抑郁使者 于 2009-10-7 19:14 编辑

我们还可以利用卡巴斯基的应用程序控制,限制应用程序的行为。比如,阻止游戏的弹出广告、软件的强制随机启动等。
我们先看看卡巴斯基应用程序控制的默认规则,打开卡巴斯基的设置——应用程序控制——设置,这里就是卡巴斯基默认的保护规则,如图,


这里分为“隐私数据”和“操作系统”两大类点击类别会看到更多选项。
其中“隐私数据”包括“用户文件”,如cookies等。
“程序设置”,其包括,IE浏览器和opera浏览器的保护规则。还有 文件管理器、
邮件客户端、即时通讯、电子钱包。
卡巴斯基会根据用户运行的软件的情况,自动添加。
操作系统包括,启动设置、系统文件、安全设置、系统服务、受保护的应用程序(根据用户的软件情况,自动添加)。默认的规则用户不能删除。
我们可以在左下角的“添加”、添加类别“添加自定义规则,其中“添加”是指,在已有的类别里面添加新规则,“添加类别”是指,添加新类别。
  如,我们在隐私数据——程序设置下的IE保护下,添加阻止程序修改IE7.IE8)的搜索项目和主页的规则,打开程序设置的Internet浏览器,点击左下角的“添加类别”。输入,“阻
止修改的IE项目”(随便写),然后点击新建的“阻止修改的IE项目”,点击左下角的添加,选择添加注册表键,在“键”输入“*\SOFTWARE\Microsoft\Internet Explorer\SearchScopes”,

“值”输入“*”。
然后继续选择,添加注册表项,
在“键”,输入“*\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\*”,
值输入“*”,这是阻止修改IE搜索的规则。
继续添加注册表项,

“键”输入“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main”,
值输入“Start Page”。
继续添加注册表项,“键”输入,“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”,
“值”输入,“Start Page”。这是阻止修改IE主页的设置。
添加以上规则后,我们还需要打开,设置——应用程序控制的“应用程序规则状态”下的“配置规则”选项,如图,

设置我们的新添加的规则在不同分组下的具体实施方案。默认情况下,卡巴斯基会自动设置为我们自定义的规则处理方式为为“提示操作”,这样,在交互模式下,卡巴斯基会弹出窗口,由用户决定,在自动模式下,可能会被允许。如果我们不希望在受限组的应用程序修改IE的项目,而且由卡巴斯基自动阻止。我们就需要双击“低限制”组,找到,我们刚才设置的规则。
文件和注册表——程序设置——Internet浏览器下的阻止修改的IE项目,如图,

右键点击写入,设置为“拒绝”删除和创建,也设置为“拒绝”。这样卡巴斯基就可以自动阻止应用程序修改IE的主页和搜索了!如果选择“记录事件”,卡巴斯基会将触发该规则的事件记录到报告中,如果在“事件通知的设置打开”已触发的应用程序控制规则“通知,卡巴斯基亦会弹出气球窗口。
高限制组也需要如此设置。未信任组不需要设置。

我们也可以单独对指定应用程序设置规则,我们打开卡巴斯基安全中心的应用程序活动,这里是经过卡巴斯基分析分组后的应用程序,如图,


这里的“由用户指定”的程序指的是,经过分析威胁较大,而用户选择了“是”后,被添加到低限制组的,或者用户自己移动的。“自定义设置”是指,经过用户自定义规则的。
我们可以双击要制定规则的应用程序,如,目前最新版本的超级兔子,只要运行就会随机启动,我们可以通过卡巴斯基限制其修改系统的注册表的启动项目,让他无法随机启动,首先,我们需要使用一些工具删除被创建的启动项(如360.或者超级兔子自己),然后我们双击超级兔子的主程序,如果我们知道名字,可以通过左上角的“查找”找到。
超级兔子的主程序是“x:\program files\super rabbit\magicset\srgui9.exe”(X:为盘符),名称为“super rabbit magic set”,如图,

我们双击超级兔子的主程序,将“规则”选项的“文件和注册表”下的启动设置的,“写入”、“删除”、“创建“通过右键设置为“拒绝”如图,


这样超级兔子将不能修改注册表的启动项了。
这里,一点需要注意,就是“继承父进程(应用程序)的限制”,




如果这个功能被开启,所有通过超级兔子的主程序“srgui9.exe”打开的子程序都将继承阻止修改注册表启动项的规则。比如,超级兔子的子功能“魔法设置”,“SRMS.EXE”,是通过主程序“srgui9.exe”打开的,那么魔法设置也会被限制阻止修改注册表启动项,如图,


如果,我们要卡巴斯基不限制“魔法设置”的修改注册表启动项规则,需要将“魔法设置的规则下的”继承父进程(应用程序)的限制的钩去掉即可,如图,





附件: 您所在的用户组无法下载或查看附件
如果我们要限制应用程序弹出窗口,可以设置拒绝应用程序修改“权限”下的,“使用命令行参数启动浏览器和使用浏览器程序秘密发送数据。如图,


如果我们想不让某些应用程序的子程序启动,则可以设置拒绝“权限”下的“启动自身”,比如迅雷的右下角广告,


附件: 您所在的用户组无法下载或查看附件
写玩后感觉累不?
不过还是顶下....很好很强大....
支持楼主写的教程,我把它收藏了
把它收藏了
真是详细啊 进来学习了 收藏了以后备用
没有时间看啊~
收藏了,谢谢楼主哦!
俺要好好学习
楼主总结的好详细哦!还有配图讲解真好!
返回列表