[技巧] 带你玩转卡巴斯基——应用程序控制篇 卡巴斯基

抑郁使者

卡巴斯基的应用程序控制是卡巴斯基4D防护的一部分，它可以阻止可能危及系统安全的操作,监控您个人资料的行为，该组件根据应用程序的数字签名和安全分析规则（可通过更新程序更新），将已知和未知的应用程序分别放入“信任程序”、“低限制程序”“高限制程序”和“不信任程序”。
我们可以通过卡巴斯基的安全中心的“应用程序”看到。如图：

点击应用程序活动，我们可以看到“正在运行的程序”点击类别可以选择“计算机启动时运行的程序”、“网络连接”、“在安全免疫区运行的出现”、“受信任程序”“受限制程序、”“已阻止的程序”、“今天启动的程序”、“上周启动程序”、“上月启动程序”和“所有程序”。



我们可以通过鼠标的右键操作
一、应用程序规则，（可以自定义限制应用程序的活动，我们下面会说到）
二、运行序列，（查看启动的时间，启动它的组件，进程的ID）如图

三、更改状态，（可以将程序自定义放入低限制组、高限制组。受信任组或者不信任组，也可以自定义程序规则）
四．结束进程

抑郁使者

卡巴斯基在程序第一次运行时，会分析应用程序，分析大文件时，会很耗时间，需要很长时间才能出现应用程序，卡巴斯基默认分析应用程序的最大时间为30秒。交互模式下卡巴斯基会出现“已启动新程序，正在分析程序的提示，自动模式下不会出现。


（我们可以在，设置——应用程序控制——附加——用于定义应用程序级别的最长时间，设置分析最长时间和删除无效规则的时限）。如图，

卡巴斯基将分析应用程序的数字签名、是否在卡巴斯基的安全分析规则数据库里，如果满足以上条件，应用程序将会被放入“信任程序”组。卡巴斯基将不限制应用程序的行为。
  如果没有上述条件，卡巴斯基会将分析后没有威胁的应用程序放入“低限制”组，“低限制”组的程序，卡巴斯基在交互模式下除“更改系统模块”外的所有操作都会询问用户，由用户操作，自动模式下，“更改系统模块”，会被阻止。弹出窗口、访问用户隐私数据等询问用户操作外，其他行为，基本不限制。
  如果经过卡巴斯基分析，应用程序没有数字签名，在安全分析规则数据库不存在，并且威胁性较大，卡巴斯基会弹出“潜在的危险程序”的提示，如图，



点击提示框的蓝色部分，会出现应用程序的厂商、名称、版本、大小。创建日期、修改日期、威胁程度等，也可以查看启动时间、历史记录、或者直接添加到信任区域、如图，




如果我们选择“是”应用程序将会被放入“低限制”组，卡巴斯基将会按照低限制规则处理应用程序。
如果我们选择“限制运行”，卡巴斯基将会把应用程序放入“高限制”组，这里，在交互模式下，卡巴斯基会自动阻止应用程序写入、创建、删除电脑的“启动设置”、“系统文件”、“安全设置”、“受保护的应用程序”的注册表项目。会自动阻止应用程序“暂停其他进程和线程”、“启动驱动”、“注入代码”、“更改系统模块”、“访问硬盘底层”、“访问系统底层”、“访问密码存储区”、“关闭操作系统”、“设置调试权限”、“使用浏览器程序秘密发送数据”、“使用系统出现接口（DNS）”、“使用系统程序接口”。其他操作由提示用户，由用户决定。自动模式下，除以上行为会自动阻止外，还会阻止网络连接。
如果选择“否”应用程序将被放入“未信任”组，卡巴斯基将阻止应用程序的一切活动。
在卡巴斯基出现这个窗口时，我们需要斟酌，要明确知道我们正在运行的应用程序，是否是所知的，是否确信安全的，如果不能确定，建议选择“限制运行”或者“否”。如果该应用程序是病毒，而我们选择了“是”，卡巴斯基列入“低限制”组后，，会交由主动防御组件处理，确保用户安全。

抑郁使者

我们还可以利用卡巴斯基的应用程序控制，限制应用程序的行为。比如，阻止游戏的弹出广告、软件的强制随机启动等。
我们先看看卡巴斯基应用程序控制的默认规则，打开卡巴斯基的设置——应用程序控制——设置，这里就是卡巴斯基默认的保护规则，如图，


这里分为“隐私数据”和“操作系统”两大类点击类别会看到更多选项。
其中“隐私数据”包括“用户文件”，如cookies等。
“程序设置”，其包括，IE浏览器和opera浏览器的保护规则。还有 文件管理器、
邮件客户端、即时通讯、电子钱包。
卡巴斯基会根据用户运行的软件的情况，自动添加。
操作系统包括，启动设置、系统文件、安全设置、系统服务、受保护的应用程序（根据用户的软件情况，自动添加）。默认的规则用户不能删除。
我们可以在左下角的“添加”、添加类别“添加自定义规则，其中“添加”是指，在已有的类别里面添加新规则，“添加类别”是指，添加新类别。
  如，我们在隐私数据——程序设置下的IE保护下，添加阻止程序修改IE7.（IE8）的搜索项目和主页的规则，打开程序设置的Internet浏览器，点击左下角的“添加类别”。输入，“阻
止修改的IE项目”(随便写)，然后点击新建的“阻止修改的IE项目”，点击左下角的添加，选择添加注册表键，在“键”输入“*\SOFTWARE\Microsoft\Internet Explorer\SearchScopes”，
“值”输入“*”。
然后继续选择，添加注册表项，
在“键”，输入“*\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\*”，
值输入“*”，这是阻止修改IE搜索的规则。
继续添加注册表项，
“键”输入“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main”，
值输入“Start Page”。
继续添加注册表项，“键”输入，“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”，
“值”输入，“Start Page”。这是阻止修改IE主页的设置。
添加以上规则后，我们还需要打开，设置——应用程序控制的“应用程序规则状态”下的“配置规则”选项，如图，

设置我们的新添加的规则在不同分组下的具体实施方案。默认情况下，卡巴斯基会自动设置为我们自定义的规则处理方式为为“提示操作”，这样，在交互模式下，卡巴斯基会弹出窗口，由用户决定，在自动模式下，可能会被允许。如果我们不希望在受限组的应用程序修改IE的项目，而且由卡巴斯基自动阻止。我们就需要双击“低限制”组，找到，我们刚才设置的规则。
文件和注册表——程序设置——Internet浏览器下的阻止修改的IE项目，如图，

右键点击写入，设置为“拒绝”删除和创建，也设置为“拒绝”。这样卡巴斯基就可以自动阻止应用程序修改IE的主页和搜索了！如果选择“记录事件”，卡巴斯基会将触发该规则的事件记录到报告中，如果在“事件通知的设置打开”已触发的应用程序控制规则“通知，卡巴斯基亦会弹出气球窗口。
高限制组也需要如此设置。未信任组不需要设置。

我们也可以单独对指定应用程序设置规则，我们打开卡巴斯基安全中心的应用程序活动，这里是经过卡巴斯基分析分组后的应用程序，如图，


这里的“由用户指定”的程序指的是，经过分析威胁较大，而用户选择了“是”后，被添加到低限制组的，或者用户自己移动的。“自定义设置”是指，经过用户自定义规则的。
我们可以双击要制定规则的应用程序，如，目前最新版本的超级兔子，只要运行就会随机启动，我们可以通过卡巴斯基限制其修改系统的注册表的启动项目，让他无法随机启动，首先，我们需要使用一些工具删除被创建的启动项（如360.或者超级兔子自己），然后我们双击超级兔子的主程序，如果我们知道名字，可以通过左上角的“查找”找到。
超级兔子的主程序是“x:\program files\super rabbit\magicset\srgui9.exe”（X：为盘符），名称为“super rabbit magic set”，如图，

我们双击超级兔子的主程序，将“规则”选项的“文件和注册表”下的启动设置的，“写入”、“删除”、“创建“通过右键设置为“拒绝”如图，


这样超级兔子将不能修改注册表的启动项了。
这里，一点需要注意，就是“继承父进程（应用程序）的限制”，




如果这个功能被开启，所有通过超级兔子的主程序“srgui9.exe”打开的子程序都将继承阻止修改注册表启动项的规则。比如，超级兔子的子功能“魔法设置”，“SRMS.EXE”，是通过主程序“srgui9.exe”打开的，那么魔法设置也会被限制阻止修改注册表启动项，如图，


如果，我们要卡巴斯基不限制“魔法设置”的修改注册表启动项规则，需要将“魔法设置的规则下的”继承父进程（应用程序）的限制的钩去掉即可，如图，

抑郁使者

如果我们要限制应用程序弹出窗口，可以设置拒绝应用程序修改“权限”下的，“使用命令行参数启动浏览器和使用浏览器程序秘密发送数据。如图，


如果我们想不让某些应用程序的子程序启动，则可以设置拒绝“权限”下的“启动自身”，比如迅雷的右下角广告，

kbwudi

写玩后感觉累不？
不过还是顶下....很好很强大....

dongwenqi

支持楼主写的教程，我把它收藏了

2714785

把它收藏了

tianyu520

真是详细啊 进来学习了 收藏了以后备用

iyou

没有时间看啊~

tina叶

收藏了，谢谢楼主哦！

jwlc68

俺要好好学习

守望星空

楼主总结的好详细哦！还有配图讲解真好！

哭泣小追

写的是2010的

可我的是2009的啊

steenk

先回复，再慢慢看

卡巴勇士

谢谢版主

shzdlzt

分享学习了，受益匪浅。楼主辛苦了。

烟水散人

就在找这个呢，太实用了

cliusn

学习一下，谢谢。

笨死活该

我是新手，正需要这个，学习中！

13zhan

多谢!好人啊!!