（配合34320 、evlian、龙芳、lwb_1211提供的资料）

【主动防御的设置补充见2楼，优化设置的补充见3楼，版本的特征、性能对比见4楼】

卡巴斯基6.0提供了四重立体防御体系，现在几乎所有类型的安全威胁，卡巴斯基都能进行有效防护：     

1.文件保护，最为传统的反病毒功能。      2.邮件保护，邮件病毒已经很普遍，它让你远离邮件病毒。

    3.Web反病毒保护，网络作为现今病毒的主要传播源头，该功能的加强非常有必要。

    4.主动防御，卡巴斯基6的最大亮点，它会分析安装在你计算机上应用程序的行为，监控系统注册表的改变。这些组件使用启发式分析，助你及时发现隐蔽威胁，以及各种类型的恶意程序。

    当然，功能强劲的背后也是有代价的，主要问题集中在如下几点：

    1.资源占有点高。     2."病毒"提示太多。

这是怎么回事呢：

    1.资源占用高：软件功能强劲的同时，带来了资源占用的攀升。目前卡巴斯基自有的4种保护功能全开的情况下，资源占用是较高的。

    2.提示超多，因为现在卡巴斯基提供了全方位的安全防护，也就是说，部分提示与病毒无关，只能作为杀毒参考，普通用户完全不必理会。

卡巴斯基6.0是一个需要精心设置的杀毒软件，下面给大家介绍一下卡巴斯基6的一些优化设置。

   卡巴斯基安装成功后，会在系统任务栏区显示软件图标，鼠标右键点击图标调用。



      选择"打开 卡巴斯基防病毒软件 6.0"进入软件主界面



    卡巴斯基的主界面比较简单，它分为成左右两个窗口，

左边窗口是导航栏，帮助您快速找到并运行程序模块，执行扫描任务和获取程序的相关支持；
右边窗口部分是通知面板界面，它显示你在左边窗口选择组件的相关信息，您也可以通过这个窗口实现病毒扫描、隔离文件、备份文件、管理许可文件等操作。

注：程序中所有带下划线的文字均可点击进入相关设置。（对于测试版的卡巴+汉化，有些设置是需要再英文状态下编辑的，F5、F12中英文切换）

    要高效的允许软件，合理设置是必须的，点击主窗口右上"设置"按钮，进入软件设置，下面我们所有的内容均围绕"设置"展开。

卡巴斯基6对于"风险软件"的定义又有了许多变化，分为三种：



     1.病毒，蠕虫，Trojan/Index.shtml" target="_blank">木马以及rootkits程序。

    2.间谍软件，广告软件以及拨号软件。

    3.潜在的危险软件：远程控制软件，恶作剧程序。

    可以看到，对"风险软件"的广泛定义，也意味着系统报警几率的提升，除了第1类是必选之外，2、3类别是否启用，就看大家如何取舍了。

    例：软件中都捆绑了 "流氓程序"，在卡巴斯基的监控下无所遁形。这不，系统自动弹出警告提示：
检测到广告程序，原来安装程序中加载有流氓程序：



如果你怕了这个东西了，直接点击"删除"了事。当然，你执意要安装，请点击"添加到信任区域"链接，系统会自动转入"排除内容"对话框，点击"确定"即可。

   我们可以自行设置不必由软件监控的项目，点击卡巴主界面－设置－"信任区域"按钮进入



    对于我们来说，被系统定义为危险软件的某些程序，可能不具有恶意功能，我们仍然打算使用它，这时不妨将这些文件添加进排除列表中。在对话框中可以看到目前所有的排除项目，你也可以添加自己定义排除规则。它可以是某个文件夹、文件，甚至是某个特定类型的风险软件定义。

     点击"添加"按钮进入"排除内容"对话框，大家可以看到规则描述中的文字都带有下划线，点击进入自定义设置。



    步骤一：点击"对象名：指定"，创建排除文件



   你可以指定文件名，文件夹名或关键字来设置排除保护，当然最简单的还是点击"浏览"按钮，然后浏览选择排除的文件夹、文件即可。不过你还可试试使用关键字的方法：
    *.exe，排除所有*.exe的文件。
    C:\dir\*.exe，排除在C:\dir\中所有扩展名为.exe的文件。

    步骤二：点击"判定类型：指定"，创建判定类型。



    可以填写的内容都是软件内部定义的名称，如：not-a-virus:AdWare.Win32.Dudu.c这样的。当然如果你并不明白该如何填写，下面规则适合大家。
    not-a-virus*，从扫描中排除存在潜在危险的程序，比如玩笑程序。
    *Riskware.*，从扫描中排除风险软件。
    *RemoteAdmin.*，从扫描中排除所有远程控制程序。

   卡巴斯基提供的四重防御体系中，文件保护、邮件保护、Web反病毒保护都是较传统的反病毒手段，大家根据自己的需要确定是否启用，重点讲讲"主动防御"的设置。

    卡巴斯基的主动防御，简单说就是让电脑免受已知威胁和未知新威胁的感染，它主要由四个项目组成：程序活动分析、程序完整性保护、注册表防护、Office防护。



   "主动防御"既然是防护未知病毒，那么误报也自然难免。虽然程序并没有将可疑程序定义为病毒，但不停的警告用户有可疑程序，足以让普通用户晕菜，

如下图"主动防御"中的"程序活动分析"是警告频繁的根源。


"程序活动分析"开启后，警告提示明显增多。例：运行著名的QQ珊瑚虫版外挂，软件会提示一个危险的进程试图注入另外一个进程



    对于"主动防御"，特别是其中的"程序活动分析"是否启用，建议是：你有一定的电脑基础，又十分在意安全，那么不妨启动它。如果你对于电脑不是太了解，不停的报警实在让人不知如何是好，那么还是关闭这个功能好啦。

总结：可以看到，卡巴斯基的设置是相当自由的，丰简由人，你完全可以根据自己的情况作设置。只要大家进行适当的设置，可以说除非发现病毒，软件的提示会变得非常之少，让大家安心上网。

[ 本帖最后由 lwb_1211 于 2006-11-4 18:05 编辑 ]



附件
2006-11-2 15:03

优化设置1.jpeg (52.66 KB)
  

2006-11-2 15:03

优化设置2.jpeg (86.72 KB)
  

2006-11-2 15:03

优化设置3.jpeg (92.12 KB)
  

2006-11-2 15:03

优化设置4.jpeg (73.81 KB)
  

教你如何用好卡巴斯基6的主动防御功能

用好卡巴的主动防御
　　卡巴6有个主动防御，用不好会带来麻烦，用得好的话还是能够派上大用场的。
　　先大概看看卡巴主动防御的模块。



这里要说明的是程序完整性保护要关掉，它在大多数电脑上会导致卡巴狂占CPU（有可能是经常HASH文件的结果），除非你对你的电脑非常有自信，否则最好不要打开它。
　　还有程序活动性分析，这个模块是很多兼容性问题的来源，如果出现兼容性问题可以把这个模块关掉，或者把有兼容性问题的程序（比如讯雷主程序）加入信任区域不控制其活动性。
　　程序活动分析：
　　


上面是我的设置。
　　“运行IE浏览器参数”可以勾掉，因为虽然有木马通过此方法穿墙，但是例子不多，反而误报却很多。“隐藏进程”的周期可以适当缩小。顺便说一说，卡巴的隐藏进程功能还是非常出色的，几乎所有Rootkit都会被找到（连可以躲过早期IceSword的Futo都逃不了哦）。“Windows钩子”最好阻止掉，键盘嗅探型木马会用到，但很少有正常程序会用（一般是鼠标、键盘辅助程序，但不多）。顺便说一下，卡巴主动防御比较令我郁闷的是，它居然没有对抗GetKeyState和GetAsyncKeyState这种白痴键盘嗅探方法的防御，现在解决的方法就是密码复杂点，大小写混合。
　　这里特别要提一下“侵入到进程”，DLL注入木马等会用到，但是还是有正常程序会用的，比如珊瑚虫QQ（CoralQQ.exe）、金山词霸（XDICT.exe），最好把它们统统加到信任区域（设置->信任区域）让卡巴不控制它们的活动性。
　　再提一下金山词霸，金山词霸2006以前的版本在使用屏幕取词的时候不单单会侵入到其他进程，还会导致其他的进程数据执行（Data Execution，溢出利用程序的特点），所以如果要用它的话，还要把危险行为的钩去掉。
　　注册表防护：
　　


先以HOSTS File为例：HOSTSFile这个文件就是本地域名解析，正常程序不会用到。



双击HOSTS File后，选择“规则”，请配置卡巴修改“阻止”，删除“阻止”。
　　System Startup（系统启动项）：如果你的系统极少有程序变动的话也可以考虑如上修改，这样可以让大多数木马失去作用。
　　Internet Security和System Security，网络安全与系统安全，这两个正常程序几乎不会用到，可以大胆地全部阻止。
　　Internet Plugins（IE插件），这两个是流氓软件、广告程序的目标，阻止掉。不过也有一些正常程序会用到，比如讯雷有个LanguageSetter.exe，每次启动时都会重新创建那个“用讯雷下载”菜单。可以把特例加进信任区域（不会很多的）。
　　Internet Settings（IE设置），建议保留默认。
　　System Services（系统服务，也可算作自启动一种）这项在安装新软件时和使用一些与系统比较紧密的软件（比如IceSword、FileMon、RegMon等）会用到。建议这项保留默认设置，由用户根据情况决定。
　　再提一点，最好把Internet Explorer和X:\Windows\System32\msiexec.exe加入信任区域不控制注册表。前者是因为有些IE插件（如GoogleToolbar）和IE自己会修改IE设置。后者是因为现在很多软件是通过Windows Installer安装，在安装这些正常程序时没必要控制它们（你可能会想到捆绑的流氓软件，不必担心，大多数情况下流氓软件都是独立的EXE，仍然会被监视到）。
　　Office防护：
　　这个就没什么好说的，防宏病毒的。先把操作改成终止吧。
　　

卡巴监控了几个宏病毒使用频率极高的行为，其中也只有和ActiveX相关的行为正常宏代码可能会用到，可以酌情勾掉。