卡巴斯基6以后就多了主动防御(PDM模块,其实就是HIPS的一种),它可以通过分析一个程序的行为来探测可疑的动作。而按照默认设置来说,很多在中国来说很正常的程序都会弹出一个黄色的警告框,而有些人一看到杀毒软件弹出的框框第一反应就是“病毒!!”(典型的小白)。所以,有些人要不就不用卡巴,要不就把杀软关了再用。或者不厌其烦的点击Allow,甚至于给卡巴扣上一个误杀王的帽子。PS:我听到的最经典的说法就是“卡巴就是爱误杀,一开金山词霸、QQ都要弹病毒框框。”…………
我们就先说几个常见的提示。
Invader和Invader(loader)
Invader,是指对一个进程试图向另一个进程进行代码注入,那么它就是个Invader。它和HIPS程序行为分析中的”插入到进程”选项相对应。Invader(loader)尽管和Invader名字差不多,但是它们的行为是不同的。它是试图将一个模块插入到另一个进程中(DLL注入)。这个和程序行为分析中的”Windows Hook”选项相对应。
Invader:
Invader(loader):
有Invader和Invader(loader)行为的程序是非常有限的,所以可以非常容易的识别出它。所以你可以通过搜索论坛或是搜索引擎来获得这个进程的详细信息。如果你发现这个程序是安全的,你可以添加它到信任区域中。比如有些安全程序比如COMODO、Spyware,Windows美化程序比如Windows Blinds,几乎所有的词典内程序比如金山词霸、灵格斯等等。
Trojan.generic
Trojan.generic是一个你在日常使用中经常看到的提示,特别是在安装软件的过程中。这个行为探测是非常简单的,如果一个程序在另一个地方创建了一份它的副本然后将之注册为一个自动启动项,那么它会被识别为Trojan.generic。大量的有害程序通过这个方法来将它们”安装”到电脑上。一些应用程序也有这样的行为,其中大多数是程序安装文件和可执行文件是同一个文件时。当然卸载动作也会导致这个提示出现,因为有些时候需要创建一个临时的可执行文件来在下次系统启动时移除某些部分。如果出现这个提示的时候你正在安装/卸载应用程序,或者点击了软件中的”开机自动启动”(很多程序都有这个选项吧,大家应该很常见),那么十有八九这个提示是由这些动作导致的,你可以认为这个程序是安全的(当然,凡事皆有例外…)。但如果那是个安装程序的话,你只会看到这个提示一到两次,所以一般来说选择”跳过”更合适些。
Trojan.cryptor
Trojan.cryptor是另一个常见的信息提示,但不如Trojan.generic那么容易重现。当一个程序试图加密某些数据时,该弹出窗口提示会出现。由于有有害程序会加密用户数据并勒索用户交钱才能提供解密密码,所以这个检测是非常重要的。在这里说个我们日常中常见的Trojan.cryptor提示,也是一个经常被当作所谓”误报”的提示。在我们首次启动QQ时,卡巴会对QQ报Trojan.cryptor,这说明QQ是有加密某些数据的动作,并非是说QQ就是木马(大汗,其实现在QQ有些行为和流氓没什么区别,但是说它是木马还是过分了些)。
看了这些,你应该知道有些时候杀软弹出来的框框不一定就是病毒了。不要什么东西都是阻止,特别是这两年开始,各种安全软件都在上HIPS模块,以后的安全软件框框会更多~~
另,祝COMODO,EQ、Avast、小红伞等免费安全软件发展兴旺
