卡巴斯基常见的问题和卡巴斯基整理
涉及使用最常见问题· 上网浏览含有脚本的网页时,不能正常浏览,显示不能加载jscript的语言库,请和卡巴斯基实验室联系。
· 安装卡巴斯基反病毒软件中文单机5.0版输入KEY文件时候,提示KEY文件已经损坏,应该如何处理?
· 卡巴斯基反病毒软件中文单机5.0版是否支持Microsoft Windows 2003 server?
· 如果不能访问国外网站更新反病毒数据库,如何实现卡巴斯基反病毒软件中文单机5.0版的更新?
· 安装卡巴斯基反病毒软件后,运行某些程序变得特别慢,应该如何处理?
· 安装卡巴斯基反病毒软件后,出现不能正常启动系统或启动后系统、变得特别慢甚至死机应该如何处理?
· 正常模式下不能删除木马程序,应该如何处理?
· 在不支持的存档文件中发现病毒,应该如何处理?
涉及安装的常见问题
· Kaspersky反病毒软件Windows平台的网络版产品集中统一安装的方式有哪些?
· 在WINDOWS98简体中文第二版,Windows2000Server的基于域的局域网环境中,客户机登陆域,通过域脚本自动安装,安装后,客户机不能登陆控制台?
涉及Kaspersky产品调试运行常见问题
· 如果 kaspersky 网络管理中心或Kaspersky杀毒软件客户端安装有防火墙软件,客户端不能正常升级,控制台不能管理客户端,应如何处理?
· kaspersky网络版如何预定制安装?
· kaspersky杀毒软件安装后实时监控没有启动,为什么?
· 为什么手动杀毒或定时杀毒非常慢?
· 在机器上已经有funlove病毒后,安装Kaspersky杀毒软件发现扫描程序和实时监控都不能启动并发现其他可执行文件也不能正常运行,应该如何处理?
· 为什么有时候点击文件,第一次点击提示对指定设备、路径或文件的访问被拒绝,第二次点击又正常了?
· 在病毒扫描任务开始的时候,计算机的运行很慢
· 为什么在控制台不能把安装有Kaspersky杀毒软件的机器作为客户端添加?
· 对于有硬盘保护卡的系统应如何处理?
· 在完成安装kaspersky后,启动时会有以下的提示,是什么原因?
· 机器本来可以正常使用,安装Kaspersky杀毒软件系统变得非常慢,甚至死机,为什么?
· 使用Kaspersky感觉速度有点慢,扫描一遍我的硬盘用很长时间,而且在此期间机器非常慢,不能再做任何事情
· 如何解决在Windows 98平台上Kaspersky杀毒软件产品与AutoCAD 2000冲突,如何解决?
· 在使用kaspersky单机版Pro时遇到了一个问题:用Kaspersky做了一套应急杀毒软盘,然后对一台装windows 2000 professional的机器查毒(ntfs格式),当它对一些文件查毒时,会出现如下提示:
Unicode name contains a character that can not be converted to chosen character set remount with utf8
encoding and this should work.
如何处理这种情况,在这种情况会不会影响杀毒的效果
· 为什么会出现 I/O 错误?
· 可以同时使用几个反病毒软件吗?
涉及病毒数据库升级常见问题
· 在线病毒数据库升级比较慢?
· 为何有时更新Kaspersky病毒数据库时,需要重新启动计算机?
· 在AVSERVER上的控制台上发现Kaspersky的客户端程序能够自动更新,但AVSERVE上的病毒数据库并没有更新,为什么?
· 在linux平台要实现病毒数据库通过Internet升级,为何提示缺少wget ,
而无法下载?
· for Linux Server如何实现每日数据库的自动升级?
· Kaspersky AV 程序中说知道6xxxxx个病毒,而您们却说 60000个,这是怎么回事?
· 怎样进行Linux的自动升级?
· 为什么通过Internet没有进行数据库升级?
· 怎样进行Script Checker的数据库升级?
· 从哪些地址可以进行病毒数据库的升级?
· 在运行扫描器时出现了一条消息:“发现系统安全漏洞,请安装Scriptlet.Typelib更新”
涉及 Key 文件的常见问题
· key 文件起什么作用?它的有效期有多长时间?
· Key 文件过期后软件还能否正常工作?
· 有正式的KEY文件安装Kaspersky杀毒软件,为什么控制台的各项服务都不能启动?
· 关于Key 文件License的具体限制?
· 对于试用过Kaspersky单机版的用户,key到期了,现在准备购买一套正式的产品,是否要卸载以前的程序?
· 为什么需要 xxxxxxxx.key
· 什么是演示模式,Kaspersky AV 还有哪几种工作模式?
· 卡巴斯基软件许可证 key 是什么?
· 如何获取 key 文件的信息?
设置5.0网络版本的注意事项
· 局域网Adminkit升级问题?
· Server局域网更新问题?
· 网络中远程安装Agent时的问题?
--------------------------------------------------------------------------------
· Kaspersky AV程序中说知道56922个病毒,而您们却说60000个,这是怎么回事?
Kaspersky AV报告的统计数目56922是病毒数据库中对付病毒办法的数字,而不是能够检测的病毒的数目,换句话说,一些病毒(例如Nutcracker)需要好几种手段才能清除,同时病毒数据库记录的一种清除病毒的方式也可能对付上千种病毒。所以我们说56922是处理病毒方法的数目统计,60000是能够检测病毒的数目。
· 为什么需要xxxxxxxx.key
xxxxxxxx.key文件是您需要注意保存的文件,其中有使Kaspersky AV程序完全运行的必要信息,如果没有了该文件,那么Kaspersky AV就只是个演示版,不可以完成很多工作(包括清除病毒、检查压缩打包文件、网络盘的检查等)。xxxxxxxx.key还包含得有产品协议生效期限,所以请保管好自己的xxxxxxxx.key文件。
· 什么是演示模式,Kaspersky AV还有哪几种工作模式?
Kaspersky AV一共有五种工作模式:
1. 没有key文件--在这情况下就是演示模式。该模式下程序不清除被感染的对象(只是发现它们并报告给你),不会进行病毒数据库及及各组件的自动更新,也不会加载手动加入的病毒数据库。
2. 如果有试用版的trial-key文件,那么程序的所有功能全部都运行(发现被感染对象,清除,自动更新),但是只会在试用期内生效。目前,试用期为一个月。这种key文件只可以被一次试用。
3. 如果有注册的key文件,那么程序将在key(协议)规定的期限内(比如1年,2年等),其全部功能都将正常运行。
4. 在试用期trial-key的期限结束后,程序将以演示模式运行,即第一项中所提到的。
5. 在注册key文件的有效期结束后,程序将在专门的模式下运行:可以找出病毒,并会对感染文件进行清除,但是不会进行病毒数据库和各组件的升级。也就是说,程序仅可以清除那些在key有效期内,最后一次升级的病毒数据库中的病毒。
· 在运行扫描器的时候出现了一个消息:发现系统安全漏洞。请安装Scriptlet.Typelib更新。
这只是个信息。它警告您,Kaspersky AV在您的机器上发现缺少Microsoft的补丁程序。您可以从Microsoft站点下载该补丁[url]http://www.microsoft.com/msdownload/iebuild/scriptlet/en/[/url] 125795.htm,更多关于该漏洞的信息,请参阅[url]http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP[/url]。
· 为什么会出现I/O错误?
如果Kaspersky AV尝试访问被运行程序锁定的文件时,就可能出现I/O错误。这是在多进程系统中(Windows)正常的现象。这种现象经常发生在临时文件,swap文件上。此类文件通常是无需要被检查的,所有该错误并不严重,也不会影响到程序的运行。
如果您希望知道是什么文件导致了I/O错误,那么请选上"Show clean object in the log"并创建日志文件,扫描磁盘然后察看该文件。
·可以同时使用几个反病毒软件吗?
如果您是指病毒扫描器,那么我们不会反对。您可以先用一个反病毒软件对文件进行扫描,然后使用另一个反病毒软件进行扫描。
如果是说的实时监控器,那么同时把它们加载到内存中可能会导致冲突。这可能会导致某个实时监控器不能正确的判断。所以,我们不推荐在同一时刻使用两个实时监控。
·从哪些地址可以进行病毒数据库的升级?
[url]ftp://ftp.kasperskylab.ru/updates/[/url]
[url]ftp://ftp.kaspersky.ru/updates/[/url]
[url]ftp://ftp.kaspersky.com/updates/[/url]
[url]ftp://ftp.kaspersky.ch/updates/[/url]
[url]http://www.kaspersky.ru/updates/[/url]
[url]http://updates1.kaspersky-labs.com/updates/[/url]
[url]http://updates2.kaspersky-labs.com/updates/[/url]
[url]http://updates3.kaspersky-labs.com/updates/[/url]
[url]http://downloads1.kaspersky-labs.com/updates/[/url]
[url]http://www.kaspersky-labs.com/updates/[/url]
[url]ftp://updates3.kaspersky-labs.com/updates/[/url]
[url]ftp://downloads1.kaspersky-labs.com/updates/[/url]
· 怎样进行Script Checker的数据库升级?
Script Checker不使用病毒数据库,它对Script检查是使用Kaspersky启发式分析技术来识别病毒。
· 为什么通过Internet没有进行数据库升级?
这可能是由于不同的原因引起的。
1. 默认的升级服务器可能是[url]ftp://ftp.Kaspersky.ru/updates[/url] 或者 [url]http://www.Kaspersky.ru/updates[/url], 这是Kaspersky Lab的旧服务器地址,有时它们会因为众多的升级而延时。可以使用[url]ftp://ftp.kasperskylab.ru/[/url] updates和[url]http://www.kasperskylab.ru[/url]来代替。
2. 在进行自动更新设置的时候,不要在"使用者名"和"密码"中填入任何东西,当前的Internet升级应该保持这两项为空,否则可能会出现12007错误。
如果您通过proxy服务器进行更新,那么您必须指出proxy所需要的用户名和密码,这些信息是由您公司的管理员提供的。
. 在累计升级发放后,可能会出现服务器超负荷的情况。在这种情况下,建议您手动从我们的站点下载zip累计升级文件包(<http:// [url]www.kaspersky.ru/updates.asp[/url]>),然后把它解压到一个单独的文件夹中,运行升级程序,"通过本地文件夹(via local folder)"(被解压后的文件夹)进行自动升级更新。要确定更新的顺利完成。
在此之后,把自动更新设为"通过Internet(via Internet)",并运行,以便更新其他文件(每周更新文件和每日更新文件)。
· 怎样进行Linux的自动升级?
建议建立以下Script:
#!/bin/sh
MAIL=/bin/mail
ADMIN=root
cd /opt/Kaspersky
./kasperskyupdater -y -o -uik=ftp://updates3.kaspersky-labs.com/updates -W+=/etc/kasperskyupdater.log
errorCode=$?
if [ $errorCode -eq 0 ]; then
${MAIL} -s "Update ok" ${ADMIN} < /tmp/kasperskyupdater.log
kill -HUP `head -1 /var/run/KasperskyPid`
else
$MAIL -s "Kaspersky AV Updater failed. Please run it manually" ${ADMIN} < /tmp/kasperskyupdater.log
^D
把它放到 /etc/cron.daily中。
·Kaspersky单机产品有三款:Lite、Personal 和 Pro,它们具体有哪些差别?
在Kaspersky的产品线中,单机产品有三款,分别是Kaspersky Lite 、Kaspersky Personal、Kaspersky Personal PRO,它们之间最主要的区别在于程序组件的不同,Kaspersky Lite由三个组件构成,分别是Kaspersky Anti-Virus Scanner、Kaspersky Anti-Virus Monitor、Kaspersky Anti-Virus Updater;Kaspersky Personal 拥有更多的组件,如Mail Checker等等;而Kaspersky Personal PRO除了包括Kaspersky Personal所有组件外,还包括它特有的两个组件,分别是Inspector、Office Guard,请参考相关的操作手册以获得更多的信息。
·在Windows平台网络环境的反病毒保护中,主要涉及Kaspersky的哪几款产品?
Kaspersky Administration Kit -Kaspersky集中管理控制中心
Kaspersky for NtServer --对运行在WindowsNT4.0和Windows2K Server的操作系统进行保护
Kaspersky for Workstation --对运行在Windows9X/me/XP/2K Professional的操作系统的客户端进行保护
Kaspersky for Exchange5.5/2000 -对邮件服务器进行保护
·看到Kaspersky产品线中有Kaspersky for Lotus Notes此款产品,该产品是否支持Kaspersky for Notes/Domino Solaris(sparc)?
目前Kaspersky for Lotus Notes只支持Windows和Linux平台,不支持Solaris(sparc)。
·Kaspersky目前是否支持Windows.net平台?
我们将在下一个版本中推出支持Windows.net平台的产品
·为什么在RedHat7.3、8.0、9.0等版本中Kaspersky for Linux Server/Workstation Monitor进程不能启用?
答:Linux核心开发人员 Linus Torvalds将sys_call_table从Linux kernel2.5.41版开始将其移除,而它正是Kaspersky for Linux Server/Workstation Monitor进程不能启用的关键,这将影响到以RedHat为例7.3、8.0、9.0等以上版本,目前Kaspersky 4.x版本在这些linux平台上Monitor进程都将不能工作,但2003年六月发布的Kaspersky 4.5版本将解决该问题。
·Kaspersky反病毒软件Windows平台的网络版产品集中统一安装的方式有哪些?
共分为两种,一种是基于Computer Based deployment,另一种是Login Script Based deployment,两者的区别在于前者只能分发给NT核心的Windows操作系统,并且要知道客户端机器的管理员密码,而后者可以实现对所有Windows平台的分发Kaspersky反病毒产品在,用户只需有合法的域用户登录权限。
·在WINDOWS98简体中文第二版,Windows2000Server的基于域的局域网环境中,客户机登陆域,通过域脚本自动安装,安装后,客户机不能登陆控制台。弹出如下提示时,说明该杀毒软件目标设置文件不能调用。
删除Kaspersky杀毒软件,然后登陆域进行安装,自动重新启动后不登陆域,等程序做完第一次初始化后,安装成功。
· 如果Kaspersky网络管理中心或Kaspersky杀毒软件客户端安装有防火墙软件,客户端不能正常升级,控制台不能管理客户端,应如何处理?
可以把防火墙软件的实时防护关闭。也可以把把相应的端口开启,AVSERVER开tcp8084、udp8085,如果AV SERVER上还装了Kaspersky客户端,同时需要对AVSERVER的病毒库进行同步更新的,还需要开tcp8086、udp8087。对于Kaspersky客户端,开tcp8086、udp8087。
· Kaspersky网络版如何预定制安装?
如果要预定制安装,先在一台安装有Kaspersky杀毒程序的计算机,对所有需要更改的设置进行更改,然后从此计算机上的policy.dat复制,粘贴到共享的安装目录下,客户机通过网络运行此共享目录的Kasperskydtup.exe文件,安装开始了,安装后有的计算机可能自动重新启动。此安装方法是后台进行的。
· Kaspersky杀毒软件安装后实时监控没有启动,为什么?
安装时,请先把BIOS里的防病毒功能关闭,否则Kaspersky杀毒软件完装完后,实时杀毒功能不能开启。
· 为什么手动杀毒或定时杀毒非常慢?
手动杀毒和定时杀毒属于占用系统资源比较高,杀毒时间较长,在病毒不多的情况下,不建议使用。软件安装后,实时监控可以保障系统的安全。但第一次安装后,需要对整个硬盘进行一次病毒扫描。以后建议此项任务设成手动,如果要设成定时,最好设在下班时间或机器比较空闲的时候。
· 解决卡巴斯基产品紧急恢复盘 key 过期的办法
使用卡巴斯基产品制作紧急恢复盘(四张软盘),用软盘引导进入linux系统后,会报告 key 文件过期 (expired)。
解决办法:
1. 请下载:bootdisk.img 文件
2. 复制 bootdisk.img 文件来替换 Kaspersky 产品安装驱动器下 \program files\kaspersky lab\bootdisk.img (内置1年的Key,明年年未过期)
3. 重新制做卡巴斯基产品紧急恢复盘
4. 完成
· 上网浏览含有脚本的网页时,不能正常浏览,显示不能加载jscript的语言库,请和卡巴斯基实验室联系。
这是由于从前安装的杀毒软件没有卸载干净造成的。需要重新对脚本执行模块进行注册。
解决方法:
开始→运行→在文本区输入regsvr32.exe jscript.dll确定。 开始→运行→在文本区输入regsvr32.exe vbscript.dll确定。
·安装卡巴斯基反病毒软件中文单机5.0版输入KEY文件时候,提示KEY文件已经损坏,应该如何处理?
请检查系统时间是否设置正确,如果仍然有问题,请将KEY文件发送到[email]keyp5@kaspersky.com.cn[/email]核实KEY文件的有效性。
·卡巴斯基反病毒软件中文单机5.0版是否支持Microsoft Windows 2003 server?
不支持。
卡巴斯基反病毒软件中文单机5.0版不能运行于Microsoft Windows 2000 server和Microsoft Windows 2003 server,支持的操作系统有:
Microsoft Windows 98→Me
Microsoft Windows NT 4.0
Microsoft Windows 2000 Professional
Microsoft Windows XP Home Edition→Professional
·如果不能访问国外网站更新反病毒数据库,如何实现卡巴斯基反病毒软件中文单机5.0版的更新?
从Internet访问反病毒数据库,将此目录下的所有文件,使用多线程下载工具(比如:网络蚂蚁、网际快车等)下载到本地文件夹。把本地文件夹中的内容通过移动存储设备复制到不具备连网条件的计算机。然后启动程序窗口,设置→配置更新→选择从本地文件夹。
·安装卡巴斯基反病毒软件后,运行某些程序变得特别慢,应该如何处理?
如果程序是运行在数据库上的,可以对数据库文件夹做排除扫描。
·安装卡巴斯基反病毒软件后,出现不能正常启动系统或启动后系统、变得特别慢甚至死机应该如何处理?
检查在系统中是否安装有其它杀毒软件。
检查在系统中是否有安装的其它杀毒软件的残骸(做过卸载,但没有卸载干净)。
检查是否安装其它有实时监控性质的程序在运行。
检查系统的硬件是否满足安装条件。
·正常模式下不能删除木马程序,应该如何处理?
某些时候,不能通过杀毒软件删除木马程序也不能手动删除文件。因为文件被系统锁定,所以不能删除。可以重新启动计算机,进入安全模式,然后进行病毒扫描。也可以重新启动计算机,进入带命令行的安全模式、调试模式或从系统安装盘启动,根据扫描程序的提示找到木马文件,直接删除。
·在不支持的存档文件中发现病毒,应该如何处理?
对不支持压缩包不能实现包内清毒,需要手动处理。如果确实是用户保存的文件,可以将压缩包用当时封包的工具解开,杀毒后将压缩包还原;如果是在临时文件夹中发现的病毒压缩包,可以将临时文件或临时文件夹删除。
·设置 5.0 网络版本的注意事项
·在局域网内部更新时,Admin Kit 选择反病毒数据库(更新源文件夹)不允许使用 HTTP 或 FTP 方式,请
使用本地或 Internet 更新。如果需要在该管理服务器制作更新源到共享的 Updates 文件夹,使用客户端程序
,在更新设置中,选择在更新的同时将反病毒数据库复制到准备作为更新源的文件夹。这样就在 Admin Kit 上
完成了反病毒数据库的延续。
·Server 版的局域网内部更新,建议使用从管理服务器更新。
·在网络控制台上制作远程安装时,默认下 Agent 的安装包使用主机名,为了能更好的支持 WAN ,需要将主机名更改为 IP 地址。
·卡巴斯基软件许可证 key 是什么
·卡巴斯基软件许可证 key 是一个经过特殊处理的加密文件,在文件中记录的用户的个人信息或单位信息,同时也在此文件中描述了用户使用软件的类型、使用时间和期限,是用户正常使用软件的唯一合法标识。
·如何获取 key 文件的信息
·卡巴斯基反病毒单机版和单机专业版:
启动程序。
点击支持标签。
点击授权许可文件。
key 文件的信息如图所示:
1.BMP
卡巴斯基反病毒工作站版:
启动程序;
点击支持标签;
点击许可 key。
key 文件的信息如图所示:
涉及使用最常见问题
· 上网浏览含有脚本的网页时,不能正常浏览,显示不能加载jscript的语言库,请和卡巴斯基实验室联系。
· 安装卡巴斯基反病毒软件中文单机5.0版输入KEY文件时候,提示KEY文件已经损坏,应该如何处理?
· 卡巴斯基反病毒软件中文单机5.0版是否支持Microsoft Windows 2003 server?
· 如果不能访问国外网站更新反病毒数据库,如何实现卡巴斯基反病毒软件中文单机5.0版的更新?
· 安装卡巴斯基反病毒软件后,运行某些程序变得特别慢,应该如何处理?
· 安装卡巴斯基反病毒软件后,出现不能正常启动系统或启动后系统、变得特别慢甚至死机应该如何处理?
· 正常模式下不能删除木马程序,应该如何处理?
· 在不支持的存档文件中发现病毒,应该如何处理?
涉及安装的常见问题
· Kaspersky反病毒软件Windows平台的网络版产品集中统一安装的方式有哪些?
· 在WINDOWS98简体中文第二版,Windows2000Server的基于域的局域网环境中,客户机登陆域,通过域脚本自动安装,安装后,客户机不能登陆控制台?
涉及Kaspersky产品调试运行常见问题
· 如果 kaspersky 网络管理中心或Kaspersky杀毒软件客户端安装有防火墙软件,客户端不能正常升级,控制台不能管理客户端,应如何处理?
· kaspersky网络版如何预定制安装?
· kaspersky杀毒软件安装后实时监控没有启动,为什么?
· 为什么手动杀毒或定时杀毒非常慢?
· 在机器上已经有funlove病毒后,安装Kaspersky杀毒软件发现扫描程序和实时监控都不能启动并发现其他可执行文件也不能正常运行,应该如何处理?
· 为什么有时候点击文件,第一次点击提示对指定设备、路径或文件的访问被拒绝,第二次点击又正常了?
· 在病毒扫描任务开始的时候,计算机的运行很慢
· 为什么在控制台不能把安装有Kaspersky杀毒软件的机器作为客户端添加?
· 对于有硬盘保护卡的系统应如何处理?
· 在完成安装kaspersky后,启动时会有以下的提示,是什么原因?
· 机器本来可以正常使用,安装Kaspersky杀毒软件系统变得非常慢,甚至死机,为什么?
· 使用Kaspersky感觉速度有点慢,扫描一遍我的硬盘用很长时间,而且在此期间机器非常慢,不能再做任何事情
· 如何解决在Windows 98平台上Kaspersky杀毒软件产品与AutoCAD 2000冲突,如何解决?
· 在使用kaspersky单机版Pro时遇到了一个问题:用Kaspersky做了一套应急杀毒软盘,然后对一台装windows 2000 professional的机器查毒(ntfs格式),当它对一些文件查毒时,会出现如下提示:
Unicode name contains a character that can not be converted to chosen character set remount with utf8
encoding and this should work.
如何处理这种情况,在这种情况会不会影响杀毒的效果
· 为什么会出现 I/O 错误?
· 可以同时使用几个反病毒软件吗?
涉及病毒数据库升级常见问题
· 在线病毒数据库升级比较慢?
· 为何有时更新Kaspersky病毒数据库时,需要重新启动计算机?
· 在AVSERVER上的控制台上发现Kaspersky的客户端程序能够自动更新,但AVSERVE上的病毒数据库并没有更新,为什么?
· 在linux平台要实现病毒数据库通过Internet升级,为何提示缺少wget ,
而无法下载?
· for Linux Server如何实现每日数据库的自动升级?
· Kaspersky AV 程序中说知道6xxxxx个病毒,而您们却说 60000个,这是怎么回事?
· 怎样进行Linux的自动升级?
· 为什么通过Internet没有进行数据库升级?
· 怎样进行Script Checker的数据库升级?
· 从哪些地址可以进行病毒数据库的升级?
· 在运行扫描器时出现了一条消息:“发现系统安全漏洞,请安装Scriptlet.Typelib更新”
涉及 Key 文件的常见问题
· key 文件起什么作用?它的有效期有多长时间?
· Key 文件过期后软件还能否正常工作?
· 有正式的KEY文件安装Kaspersky杀毒软件,为什么控制台的各项服务都不能启动?
· 关于Key 文件License的具体限制?
· 对于试用过Kaspersky单机版的用户,key到期了,现在准备购买一套正式的产品,是否要卸载以前的程序?
· 为什么需要 xxxxxxxx.key
· 什么是演示模式,Kaspersky AV 还有哪几种工作模式?
· 卡巴斯基软件许可证 key 是什么?
· 如何获取 key 文件的信息?
设置5.0网络版本的注意事项
· 局域网Adminkit升级问题?
· Server局域网更新问题?
· 网络中远程安装Agent时的问题?
--------------------------------------------------------------------------------
· Kaspersky AV程序中说知道56922个病毒,而您们却说60000个,这是怎么回事?
Kaspersky AV报告的统计数目56922是病毒数据库中对付病毒办法的数字,而不是能够检测的病毒的数目,换句话说,一些病毒(例如Nutcracker)需要好几种手段才能清除,同时病毒数据库记录的一种清除病毒的方式也可能对付上千种病毒。所以我们说56922是处理病毒方法的数目统计,60000是能够检测病毒的数目。
· 为什么需要xxxxxxxx.key
xxxxxxxx.key文件是您需要注意保存的文件,其中有使Kaspersky AV程序完全运行的必要信息,如果没有了该文件,那么Kaspersky AV就只是个演示版,不可以完成很多工作(包括清除病毒、检查压缩打包文件、网络盘的检查等)。xxxxxxxx.key还包含得有产品协议生效期限,所以请保管好自己的xxxxxxxx.key文件。
· 什么是演示模式,Kaspersky AV还有哪几种工作模式?
Kaspersky AV一共有五种工作模式:
1. 没有key文件--在这情况下就是演示模式。该模式下程序不清除被感染的对象(只是发现它们并报告给你),不会进行病毒数据库及及各组件的自动更新,也不会加载手动加入的病毒数据库。
2. 如果有试用版的trial-key文件,那么程序的所有功能全部都运行(发现被感染对象,清除,自动更新),但是只会在试用期内生效。目前,试用期为一个月。这种key文件只可以被一次试用。
3. 如果有注册的key文件,那么程序将在key(协议)规定的期限内(比如1年,2年等),其全部功能都将正常运行。
4. 在试用期trial-key的期限结束后,程序将以演示模式运行,即第一项中所提到的。
5. 在注册key文件的有效期结束后,程序将在专门的模式下运行:可以找出病毒,并会对感染文件进行清除,但是不会进行病毒数据库和各组件的升级。也就是说,程序仅可以清除那些在key有效期内,最后一次升级的病毒数据库中的病毒。
· 在运行扫描器的时候出现了一个消息:发现系统安全漏洞。请安装Scriptlet.Typelib更新。
这只是个信息。它警告您,Kaspersky AV在您的机器上发现缺少Microsoft的补丁程序。您可以从Microsoft站点下载该补丁[url]http://www.microsoft.com/msdownload/iebuild/scriptlet/en/[/url] 125795.htm,更多关于该漏洞的信息,请参阅[url]http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP[/url]。
· 为什么会出现I/O错误?
如果Kaspersky AV尝试访问被运行程序锁定的文件时,就可能出现I/O错误。这是在多进程系统中(Windows)正常的现象。这种现象经常发生在临时文件,swap文件上。此类文件通常是无需要被检查的,所有该错误并不严重,也不会影响到程序的运行。
如果您希望知道是什么文件导致了I/O错误,那么请选上"Show clean object in the log"并创建日志文件,扫描磁盘然后察看该文件。
·可以同时使用几个反病毒软件吗?
如果您是指病毒扫描器,那么我们不会反对。您可以先用一个反病毒软件对文件进行扫描,然后使用另一个反病毒软件进行扫描。
如果是说的实时监控器,那么同时把它们加载到内存中可能会导致冲突。这可能会导致某个实时监控器不能正确的判断。所以,我们不推荐在同一时刻使用两个实时监控。
·从哪些地址可以进行病毒数据库的升级?
[url]ftp://ftp.kasperskylab.ru/updates/[/url]
[url]ftp://ftp.kaspersky.ru/updates/[/url]
[url]ftp://ftp.kaspersky.com/updates/[/url]
[url]ftp://ftp.kaspersky.ch/updates/[/url]
[url]http://www.kaspersky.ru/updates/[/url]
[url]http://updates1.kaspersky-labs.com/updates/[/url]
[url]http://updates2.kaspersky-labs.com/updates/[/url]
[url]http://updates3.kaspersky-labs.com/updates/[/url]
[url]http://downloads1.kaspersky-labs.com/updates/[/url]
[url]http://www.kaspersky-labs.com/updates/[/url]
[url]ftp://updates3.kaspersky-labs.com/updates/[/url]
[url]ftp://downloads1.kaspersky-labs.com/updates/[/url]
· 怎样进行Script Checker的数据库升级?
Script Checker不使用病毒数据库,它对Script检查是使用Kaspersky启发式分析技术来识别病毒。
· 为什么通过Internet没有进行数据库升级?
这可能是由于不同的原因引起的。
1. 默认的升级服务器可能是[url]ftp://ftp.Kaspersky.ru/updates[/url] 或者 [url]http://www.Kaspersky.ru/updates[/url], 这是Kaspersky Lab的旧服务器地址,有时它们会因为众多的升级而延时。可以使用[url]ftp://ftp.kasperskylab.ru/[/url] updates和[url]http://www.kasperskylab.ru[/url]来代替。
2. 在进行自动更新设置的时候,不要在"使用者名"和"密码"中填入任何东西,当前的Internet升级应该保持这两项为空,否则可能会出现12007错误。
如果您通过proxy服务器进行更新,那么您必须指出proxy所需要的用户名和密码,这些信息是由您公司的管理员提供的。
. 在累计升级发放后,可能会出现服务器超负荷的情况。在这种情况下,建议您手动从我们的站点下载zip累计升级文件包(<http:// [url]www.kaspersky.ru/updates.asp[/url]>),然后把它解压到一个单独的文件夹中,运行升级程序,"通过本地文件夹(via local folder)"(被解压后的文件夹)进行自动升级更新。要确定更新的顺利完成。
在此之后,把自动更新设为"通过Internet(via Internet)",并运行,以便更新其他文件(每周更新文件和每日更新文件)。
· 怎样进行Linux的自动升级?
建议建立以下Script:
#!/bin/sh
MAIL=/bin/mail
ADMIN=root
cd /opt/Kaspersky
./kasperskyupdater -y -o -uik=ftp://updates3.kaspersky-labs.com/updates -W+=/etc/kasperskyupdater.log
errorCode=$?
if [ $errorCode -eq 0 ]; then
${MAIL} -s "Update ok" ${ADMIN} < /tmp/kasperskyupdater.log
kill -HUP `head -1 /var/run/KasperskyPid`
else
$MAIL -s "Kaspersky AV Updater failed. Please run it manually" ${ADMIN} < /tmp/kasperskyupdater.log
^D
把它放到 /etc/cron.daily中。
·Kaspersky单机产品有三款:Lite、Personal 和 Pro,它们具体有哪些差别?
在Kaspersky的产品线中,单机产品有三款,分别是Kaspersky Lite 、Kaspersky Personal、Kaspersky Personal PRO,它们之间最主要的区别在于程序组件的不同,Kaspersky Lite由三个组件构成,分别是Kaspersky Anti-Virus Scanner、Kaspersky Anti-Virus Monitor、Kaspersky Anti-Virus Updater;Kaspersky Personal 拥有更多的组件,如Mail Checker等等;而Kaspersky Personal PRO除了包括Kaspersky Personal所有组件外,还包括它特有的两个组件,分别是Inspector、Office Guard,请参考相关的操作手册以获得更多的信息。
·在Windows平台网络环境的反病毒保护中,主要涉及Kaspersky的哪几款产品?
Kaspersky Administration Kit -Kaspersky集中管理控制中心
Kaspersky for NtServer --对运行在WindowsNT4.0和Windows2K Server的操作系统进行保护
Kaspersky for Workstation --对运行在Windows9X/me/XP/2K Professional的操作系统的客户端进行保护
Kaspersky for Exchange5.5/2000 -对邮件服务器进行保护
·看到Kaspersky产品线中有Kaspersky for Lotus Notes此款产品,该产品是否支持Kaspersky for Notes/Domino Solaris(sparc)?
目前Kaspersky for Lotus Notes只支持Windows和Linux平台,不支持Solaris(sparc)。
·Kaspersky目前是否支持Windows.net平台?
我们将在下一个版本中推出支持Windows.net平台的产品
·为什么在RedHat7.3、8.0、9.0等版本中Kaspersky for Linux Server/Workstation Monitor进程不能启用?
答:Linux核心开发人员 Linus Torvalds将sys_call_table从Linux kernel2.5.41版开始将其移除,而它正是Kaspersky for Linux Server/Workstation Monitor进程不能启用的关键,这将影响到以RedHat为例7.3、8.0、9.0等以上版本,目前Kaspersky 4.x版本在这些linux平台上Monitor进程都将不能工作,但2003年六月发布的Kaspersky 4.5版本将解决该问题。
·Kaspersky反病毒软件Windows平台的网络版产品集中统一安装的方式有哪些?
共分为两种,一种是基于Computer Based deployment,另一种是Login Script Based deployment,两者的区别在于前者只能分发给NT核心的Windows操作系统,并且要知道客户端机器的管理员密码,而后者可以实现对所有Windows平台的分发Kaspersky反病毒产品在,用户只需有合法的域用户登录权限。
·在WINDOWS98简体中文第二版,Windows2000Server的基于域的局域网环境中,客户机登陆域,通过域脚本自动安装,安装后,客户机不能登陆控制台。弹出如下提示时,说明该杀毒软件目标设置文件不能调用。
删除Kaspersky杀毒软件,然后登陆域进行安装,自动重新启动后不登陆域,等程序做完第一次初始化后,安装成功。
· 如果Kaspersky网络管理中心或Kaspersky杀毒软件客户端安装有防火墙软件,客户端不能正常升级,控制台不能管理客户端,应如何处理?
可以把防火墙软件的实时防护关闭。也可以把把相应的端口开启,AVSERVER开tcp8084、udp8085,如果AV SERVER上还装了Kaspersky客户端,同时需要对AVSERVER的病毒库进行同步更新的,还需要开tcp8086、udp8087。对于Kaspersky客户端,开tcp8086、udp8087。
· Kaspersky网络版如何预定制安装?
如果要预定制安装,先在一台安装有Kaspersky杀毒程序的计算机,对所有需要更改的设置进行更改,然后从此计算机上的policy.dat复制,粘贴到共享的安装目录下,客户机通过网络运行此共享目录的Kasperskydtup.exe文件,安装开始了,安装后有的计算机可能自动重新启动。此安装方法是后台进行的。
· Kaspersky杀毒软件安装后实时监控没有启动,为什么?
安装时,请先把BIOS里的防病毒功能关闭,否则Kaspersky杀毒软件完装完后,实时杀毒功能不能开启。
· 为什么手动杀毒或定时杀毒非常慢?
手动杀毒和定时杀毒属于占用系统资源比较高,杀毒时间较长,在病毒不多的情况下,不建议使用。软件安装后,实时监控可以保障系统的安全。但第一次安装后,需要对整个硬盘进行一次病毒扫描。以后建议此项任务设成手动,如果要设成定时,最好设在下班时间或机器比较空闲的时候。
· 解决卡巴斯基产品紧急恢复盘 key 过期的办法
使用卡巴斯基产品制作紧急恢复盘(四张软盘),用软盘引导进入linux系统后,会报告 key 文件过期 (expired)。
解决办法:
1. 请下载:bootdisk.img 文件
2. 复制 bootdisk.img 文件来替换 Kaspersky 产品安装驱动器下 \program files\kaspersky lab\bootdisk.img (内置1年的Key,明年年未过期)
3. 重新制做卡巴斯基产品紧急恢复盘
4. 完成
· 上网浏览含有脚本的网页时,不能正常浏览,显示不能加载jscript的语言库,请和卡巴斯基实验室联系。
这是由于从前安装的杀毒软件没有卸载干净造成的。需要重新对脚本执行模块进行注册。
解决方法:
开始→运行→在文本区输入regsvr32.exe jscript.dll确定。 开始→运行→在文本区输入regsvr32.exe vbscript.dll确定。
·安装卡巴斯基反病毒软件中文单机5.0版输入KEY文件时候,提示KEY文件已经损坏,应该如何处理?
请检查系统时间是否设置正确,如果仍然有问题,请将KEY文件发送到[email]keyp5@kaspersky.com.cn[/email]核实KEY文件的有效性。
·卡巴斯基反病毒软件中文单机5.0版是否支持Microsoft Windows 2003 server?
不支持。
卡巴斯基反病毒软件中文单机5.0版不能运行于Microsoft Windows 2000 server和Microsoft Windows 2003 server,支持的操作系统有:
Microsoft Windows 98→Me
Microsoft Windows NT 4.0
Microsoft Windows 2000 Professional
Microsoft Windows XP Home Edition→Professional
·如果不能访问国外网站更新反病毒数据库,如何实现卡巴斯基反病毒软件中文单机5.0版的更新?
从Internet访问反病毒数据库,将此目录下的所有文件,使用多线程下载工具(比如:网络蚂蚁、网际快车等)下载到本地文件夹。把本地文件夹中的内容通过移动存储设备复制到不具备连网条件的计算机。然后启动程序窗口,设置→配置更新→选择从本地文件夹。
·安装卡巴斯基反病毒软件后,运行某些程序变得特别慢,应该如何处理?
如果程序是运行在数据库上的,可以对数据库文件夹做排除扫描。
·安装卡巴斯基反病毒软件后,出现不能正常启动系统或启动后系统、变得特别慢甚至死机应该如何处理?
检查在系统中是否安装有其它杀毒软件。
检查在系统中是否有安装的其它杀毒软件的残骸(做过卸载,但没有卸载干净)。
检查是否安装其它有实时监控性质的程序在运行。
检查系统的硬件是否满足安装条件。
·正常模式下不能删除木马程序,应该如何处理?
某些时候,不能通过杀毒软件删除木马程序也不能手动删除文件。因为文件被系统锁定,所以不能删除。可以重新启动计算机,进入安全模式,然后进行病毒扫描。也可以重新启动计算机,进入带命令行的安全模式、调试模式或从系统安装盘启动,根据扫描程序的提示找到木马文件,直接删除。
·在不支持的存档文件中发现病毒,应该如何处理?
对不支持压缩包不能实现包内清毒,需要手动处理。如果确实是用户保存的文件,可以将压缩包用当时封包的工具解开,杀毒后将压缩包还原;如果是在临时文件夹中发现的病毒压缩包,可以将临时文件或临时文件夹删除。
·设置 5.0 网络版本的注意事项
·在局域网内部更新时,Admin Kit 选择反病毒数据库(更新源文件夹)不允许使用 HTTP 或 FTP 方式,请
使用本地或 Internet 更新。如果需要在该管理服务器制作更新源到共享的 Updates 文件夹,使用客户端程序
,在更新设置中,选择在更新的同时将反病毒数据库复制到准备作为更新源的文件夹。这样就在 Admin Kit 上
完成了反病毒数据库的延续。
·Server 版的局域网内部更新,建议使用从管理服务器更新。
·在网络控制台上制作远程安装时,默认下 Agent 的安装包使用主机名,为了能更好的支持 WAN ,需要将主机名更改为 IP 地址。
·卡巴斯基软件许可证 key 是什么
·卡巴斯基软件许可证 key 是一个经过特殊处理的加密文件,在文件中记录的用户的个人信息或单位信息,同时也在此文件中描述了用户使用软件的类型、使用时间和期限,是用户正常使用软件的唯一合法标识。
·如何获取 key 文件的信息
·卡巴斯基反病毒单机版和单机专业版:
启动程序。
点击支持标签。
点击授权许可文件。
key 文件的信息如图所示:
卡巴相关已解决问题:
卡巴斯基官方下载地址:
[url]http://www.kaspersky.com.cn/KL-Downloads/KL-Product5.0.htm[/url]
key清除工具.rar
[url]http://www.kpfans.com/upimg/soft/1_060514141247.rar[/url]
卡巴授权信息清除器.rar
[url]http://www.kpfans.com/upimg/soft/[/url]卡巴授权信息清除器.rar
卡巴最新个性声音.rar
[url]http://www.kpfans.com/upimg/soft/[/url]卡巴最新个性声音.rar
卡巴斯基官方彻底卸载工具
[url]http://www.kpfans.com/upimg/soft/[/url]卡巴斯基官方彻底卸载工具.rar
卡巴斯基6.0其他常见问题
1. 卡巴斯基跳出警告窗口通知我的电脑受到攻击并且已经被成功防御拦截
2. 解决安装卡巴斯基6.0以后无法顺利使用的问题
3. 无法在标準视窗模式底下移除卡巴斯基
4. 无法执行卡巴斯基6.0的安装程序
5. 解决IE中首页或是搜寻引擎被更改问题
6. 忘记卡巴斯基6.0保护密码
7. 安装卡巴斯基时,会显示遗失Microsoft Visual C++
8. 如何开啟『停用DNS缓冲』
9. 安装KIS6.0以后,我的网络就不能连接
安装时出现以下的信息"Error 1316: A network error occurred while attempting to read from the file: c:\kis6.msi"
1. 请重新安装一次卡巴斯基
2. 若是无法安装,请使用卡巴斯基移除程式移除卡巴斯基,之后在安装一次.
卡巴斯基升级中断的解决办法:
1:关闭卡巴自我保护,(不能删除是因为没有关闭卡巴自我保护,注意:退出卡巴斯基没有作用,保护还在,一定要在卡巴中关闭自我保护)。
2:到C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Data\删除updcf*
小技巧:直接复制 *:\*ocuments and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Data\ 到我的电脑的地址栏,回车。
因为是在隐藏目录下,所以有人找不到。
整个过程不需要关闭卡巴斯基,无需重新启动,不用安全模式。
你也可以选择下面的小工具进行修复,完全关闭卡巴后,运行即可清除那个日志文件,从启卡巴就可以更新了
[url]http://www.kpfans.com/upimg/soft/CleanupUpdCfg.zip[/url]
卡巴斯基无法更新?
出现卡巴斯基无法更新的情况,有以下几种原因:
1、计算机不能够连接互联网;
如果不能则无法更新。
此种情况可以选择去卡饭论坛下载离线升级包进行升级。
2、部分服务器更新出现问题;
解决办法:在“更新”设置里面设置更新服务器(卡饭推荐使用韩国和日本服务器);
一般更改后便能正常更新,如果韩国和日本服务器同样不能更新,请尝试俄罗斯服务器。
3、所有的服务器均不能更新;
没有解决办法,这种情况只是暂时性的,请过一段时间后再尝试更新。
4、其他未知情况。
[原创]关于卡巴“反黑客”的设置
对“应用程序”的设置:
对于应用程序,我们知道他们都是以“.exe”为后缀名的,也就是可执行文件,所有程序的运行,包括病毒,都要以可执行文件来执行任务。“反黑客”里的“应用程序”项就是用来监控应用程序的联网状态的,由用户自己选择“允许”或“阻止”来控制是否联网。我们可以通过此设置来监控所有要联网的应用程序,并且“允许”、“阻止”。
一般你将“反黑客”设置成“学习(训练)模式”时,任何未设定规则而要联网的应用程序都会弹出窗口询问用户。我们也可以自主的进行设置。
进入“卡巴KIS主界面——设置——反黑客——点击第一个‘设置’ ”,便进入设置窗口,然后选择“应用程序规则”。如果你想添加规则,选择“添加”,编辑规则选择“编辑”,删除规则选择“删除”,同时还可以“导入”和“导出”数据库(没用过)。
当你想添加时,选择“添加后”,会有一个“浏览”和“应用程序”选项,“应用程序”选项里都是已经在运行的应用程序,“浏览”需要自己寻找想添加规则的应用程序。选择好之后,进入编辑界面,再点击“添加”,出现编辑窗口。规则名称最好填应用程序的名称。“远程IP地址”的意思是“是否允许程序访问此远程IP地址”,比如QQ发出后,它要连接QQ服务器的IP;“远程端口”的意思是“是否允许程序通过某IP(非自己)的某端口进行访问”,比如QQ发出后,它要连接QQ服务器的IP的某端口;“本地端口”的意思是“是否允许程序通过自己的IP的某端口访问”;“时间范围”的意思是“允许或阻止此程序在这段时间进行网络访问”。附加操作大家都知道是什么意思,就不介绍了。设完了吗?没有!!你还需要在“规则描述”里进行设置,选择“允许或阻止”,“出入网”,“TCP连接或UDP数据包”,“端口、IP和时间”等设置。
设置完之后,你可以随时在“模版”里进行规则的“允许或阻止”等设定,不需要重新进入修改。
对“包过滤规则”的设置:
“包过滤”是什么?就是通过防火墙的设置,监测包的特征来“放行或阻止”的,“允许、阻止或限制”每个IP的数据包的传送和连接数,阻挡攻击,禁止访问某些站点等。这不就是“防火墙”的最基本的特性了么?对!有了“包过滤”,就勉强算是“防火墙”了。
在设置上,和应用程序实际上差不多,只不过多了一个“本地IP地址”而已。现在,我要介绍一下怎么设置“IP地址”。和“应用程序规则”一样,进入“远程或本地IP地址”后都有很多选择,“电脑IP地址(也就是单独设置某一地址)”、“IP地址范围”和“子网地址”。“子网地址”应用的不多,本人也不是很懂,就不介绍了。“本地IP地址”的设置,输入自己局域网内的IP就行了(不包括自己),“IP地址范围”也是输入局域网内允许的范围;这是属于局域网内部的连接。“远程IP地址”应用不多,我就不介绍了。
对于包过滤,用卡巴自带的规则一般就够了,不需要添加新的规则。
对“区域”的设置:
“区域”里都是已存在和连接的网络,在这里可以添加新的网络连接的信任机制。默认的一般都有一个“Internet”,设置为“Internet”。局域网的话就会有另一个连接,最好设置为“本地网络”。隐秘模式便会隐蔽你的IP地址,保护安全。
“Internet”,“本地网络”和“可信”的区别在于:
Internet:阻止文件和打印机共享,阻止错误报告,应用应用程序规则和包过滤规则;(应用在公用网络)
本地网络:允许文件和打印机共享,允许错误报告,应用应用程序规则和包过滤规则;(应用在有网关的网络,局域网)
可信:允许文件和打印机共享,允许错误报告,不应用应用程序规则和包过滤规则。(允许任何连接)
一般自己不用设置,在连接了新网络之后便会自动提示你,让你进行选择(默认是Internet)。
“附加”里基本不用设置,用推荐项最好。
侵入探测系统:
这个为默认开启,也是肯定要开启的,根据其他人的观点,在“设置”里可以把“阻止攻击电脑”那个时间限制的勾去掉,并不会影响入侵的探测和阻止。时间限制只是用来封锁你的网络,使攻击者(黑客)不能连接你的电脑,没有太大的用处。默认的60分钟太长,意味着你在受到攻击后一个小时都不能上网。不放心的话,可以设为2分钟。
总之,卡巴的“反黑客”个人用户(不总是受到攻击)也就够用了,黑客一般不会无聊到攻击个人电脑的地步。如果不放心的话,把“反黑客”关掉,安装一个你信得过的防火墙。
卡巴斯基(AVP)内存驻留型病毒检测方法:
卡巴斯基反病毒软件(Kaspersky Antivirus),以前叫AntiViral Toolkit Pro(AVP),出于习惯和简单,这里一律称为AVP或KAV。
学习AVP的检测办法的意义一方面在于AVP的检测方法是经过理论验证和实践考验的科学合理的方法,另外DOS年代过来的朋友对于反病毒有过这样的经验:“机子感染病毒了?好,请用干净无毒的系统盘启动,然后全盘查杀。”,我记得CIH横行那会,一个朋友让我帮他清除病毒,说病毒是国内某知名AV报的,启动该AV杀了一遍还有,而且该AV自己的监控报自己也感染了CIH,我听了后告诉他用干净的启动盘启动系统全盘查杀。虽然这是一个办法,但事实上反病毒软件为什么不直接做到可以内存检测并清除病毒呢。而这是完全可以做到的,对于内存检测/清除驻留型病毒的方法,就我所知最早AVP开始使用。
一、检测方法:
在AVP病毒库中,有几种特征记录,其中一种是内存特征,这是AVP用来检测查杀内存驻留型病毒的特征集,AVP对内存驻留的感染式病毒采用了一些单独的检测方法。
AVP通过在病毒库中记录的扫描方法和地址偏移来扫描内存中驻留的感染式病毒,从地址偏移开始进行逐字节匹配,当匹配到匹配字节的时候,即:Segm:Offset + byte offset=record:Byte,然后AVP开始计算由库记录指定长度的特征码,如果恰好匹配库中的记录的话,将显示对应的病毒消息,同时根据库的修复记录所指定的修复长度、和修复字节中的内容,进行内存修复,确保修复后,使得原病毒失去活性。
此记录结构包含的字段主要有:
病毒名
搜索方法:绝对地址扫描、专用模块...
地址偏移: 段+偏移
匹配字节
特征长度
特征
专用处理过程:Obj_Link
处理偏移地址
处理字节长度:一般小于10
修复字节
二、搜索方法:
有上面可以看出,AVP能否保证快速处理,一个关键因素是AVP的搜索方法,事实上,AVP内置了众多的搜索办法,这些办法适用于MSDOS、WIN9X、WINNT/2000/XP等系统。AVP对一个病毒的处理可以采用多种内存搜索办法,所不同的是哪种方法高效一些而已。
1、绝对地址:
AVP采用绝对地址的扫描办法来扫描一些病毒,扫描器从库记录中读出相应的地址记录,到内存中进行匹配,匹配上后,进行修复处理过程。
2、段扫描:
AVP从一个内存段,单字节循环递增,从开始扫描到段结束。
3、全部扫描:
AVP从内存地址0x00000000h开始,循环递增,进行全内存匹配的扫描方法。
4、专用模块:
这是针对一些特定的“狡猾”病毒的方法。当AVP自己定义的正常扫描和检测办法无法正确识别的时候,采用一个专用的处理模块来检测清除该病毒,该模块编写完成后,编译为obj格式的文件,存储在AVP的库记录中。
5、中断跟踪:
这主要是AVP For DOS的扫描方法,通过对系统的中断INT21、INT13的来定位驻留内存的病毒代码,通过对这些指令附近的代码修改,使得病毒失去活性。
三、实例:
简单举例,比如这个病毒(网上找的一个感染COM文件的代码片段):
cmp ah,3dh
jz short @@Infect_File ;截获3d号Dos功能
@@JmpOldInt21:
cli
JmpFar db 0eah
@@Infect_File:
....
编译后应该是这个样子:
13B6:0100 80FC 3D CMP AH,3Dh
13B6:0104 74 xx JE Infect_File
13B6:0107 FA CLI
13B6:0108 xx xx XXX
对于这个病毒的检测和清除,我们生成一记录,这个病毒记录在AVP库record中,可以是这种形式,它完全可以检测和解除该病毒的活性:
搜索方法:中断跟踪
地址偏移:1000:0000
匹配字节:80FC
特征长度:6
特征:xxxxxxxx
专用处理过程:NULL
处理偏移地址:3
处理字节长度:2
修复字节:90 90
通过这样一个检测、修复库记录,AVP就可以检测和修复内存中驻留的活性病毒,然后在通过单独的文件病毒检测/修复等处理过程来全面清除磁盘文件中的病毒。
本文是(Avp Reverse Engineering)AVP逆向学习系列一节,所分析的方法在不同版本中略有不同,而基于AVP的良好架构,这些改变主要体现的处理方法的增删,和结构长度变化。
装卡巴斯基6.0后,适当提高网页浏览速度的办法:
该方法可能会被某些人认为是火星贴,如果你知道并觉得无聊的话,就请点击屏幕右上角的关闭按钮。谢谢!
最近经常能看到有朋友发帖子说,装完卡巴6.0以后,网页浏览速度变慢。其实我也一直有这样的感觉,尤其是用默认的“极速”模式打开163信箱的时候,非得要等个2、3秒才可以。这里可以通过这样的设置,适当提高网页的打开速度。
在“设置”--“保护”--“web反病毒保护”的“保护级别”中,点击自定义,将“扫描方法”设置成“协议流扫描”。当然,如果你想使用更完善的“缓冲区扫描”,那么就将“限制子缓冲区的时间”这个子选项选项,设置成0秒即可。这样,就可以达到一个比较理想的网页速度了。打开163信箱速度也特别的快。而且,也不会影响卡巴防护功能。因为“子缓冲区”这项功能,仅仅是限制将文件分段发送到http的时间。因此,不影响对web安全防护的整体检查。这点我发过多封邮件向卡巴斯基官方证实,并亲自找了几个带病毒的网页进行了试验且卡巴完全可以和以前一样检查出来。
但是,对163的邮件无法正常显示和附件正常下载的问题,始终无法得到一个妥善的解决。目前只能是关闭“web反病毒设置”中的“扫描http通讯”或者在“服务”--“网络设置”--“端口设置”中,将80端口取消(基本上跟关闭http通讯没啥大区别了 -_-!),才可以。但这两种方法,几乎相当于关闭了web反病毒保护,仅仅是保留了5.0中就有的“阻止危险脚本”功能。因此,感觉仅仅为了一个邮箱而几乎关闭一个防护模块似乎不太值得。
这里也跟大家讨论一下,如何设置才能在正常电脑使用和系统安全保护之间达到一个平衡?
卡巴斯基病毒库更新的一些小小心得:
突然的不知道怎么回事
几个升级的服务器。。。升级几乎都出错。 。
不是超时就是出错。。 很多人都怨声四起。 。
然后我以为。自己不会碰到这种情况
后来还是碰到了。 。 升级 超时。。或者错误。
病毒库更新错误 什么的。。
然后偶就换了个服务器 升级。。 ( 有几个服务器不错 英国。。 韩国 俄国 )
嘿嘿。 。果然是有的服务器人太多了。 。 有时候升就出错。。
所以偶一碰到这种情况 就换个服务器。。 基本上每个服务器都试过了。 。忽忽
看到论坛有的人说。 。 服务器不同
会升的不同的病毒库什么的。 。 偶认为是不对的。
偶看到。 。所有 服务器。 。都是一个FTP。。升级点
无非是 有的服务器是从 FTP1号 或 2号 更新。其实都是一样的病毒库
如果出现更新出错 换个服务器更新的话
因该不会 有什么不妥。。
还有。。 中断问题。。 从新版里提取的文件
能够解决了此问题了。 。 。
305正式版官方首发韩国官方网站。
[url]http://www.kasperskylab.co.kr/download.php?code=kis60[/url]
刚才把韩国的305版下载了下来,解包发现其相比303更新了4个文件,其中中断文件PrKernel.ppl更新到了6.0.0.304,比台湾那个中断补丁6.0.0.301要更新不少,然后又对比了300发现更新了12个,299是16个,所以提取这16个文件,方便6.0.0.299~6.0.0.303的所有版本更新,版本语言和语言文件有关,故此升级文件非韩国专用,KAV/KIS通用,喜欢的朋友下!
使用方法:
1. 下载升级文件后解压缩
2. 先关闭卡巴斯基的自我保护:在卡巴斯基的「设置」里面点「服务」,
可以找到「自我保护」选项,将它取消勾选。
3. 重新启动您的电脑!
4. 关闭卡巴,在桌面右下角卡巴斯基图标点鼠标右键按“退出”
5. 将解压后的16个文件放到
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0
或C:\Program Files\Kaspersky Lab\Kaspersky Anti Virus 6.0里
(此路径为默认安装路径,实际中要根据你自己的安装路径),并替换已存在的文件。
6. 接着启动卡巴斯基,再到卡巴斯基里找到「自我保护」选项,将它勾选。
下下来是个305的补丁包。 。 如果你家是300 或者303
又不想换成305 只要中断补丁的话 可以提取 补丁包里的 PrKernel.ppl 此文件
复制。。305补丁包里的 此文件。 。 然后 粘贴到卡巴的安装文件夹里
( 注 : 非要关掉。 。卡巴的自我保护。。和开机启动先。 。 然后重启 在复制 不然可能复制不进去。 然后 复制进去后
在把自我保护打开。。和开机启动 )
还有。 。 。玩游戏的人。。不适合开KIS。 开个KAV 加个其他墙 比如 天网或者瑞星( 我用的瑞星)
KAV 可以在看网站的时候才开。。 玩网络游戏的时候。。 可以不用开 有个防火墙 足够了
还可以节省内存占用率
以上纯属个人小小的心得.
卡巴斯基卸载与重装问题的解决:
卡巴斯基卸载与重装问题的解决
卡巴斯基以其强大的杀毒功能、简洁的界面以及方便快捷的病毒数据库更新,揽来了越来越多的忠实用户。然而,使用过程中的各种问题也随之而来,其中不能正常的安装与卸载就是典型问题之一。
现象一 托盘区图标为灰色,重启仍然如此,且不能结束进程
启动计算机时,卡巴斯基的托盘区图标为灰色,但是右键单击图标无反应,重新启动计算机仍然如此。这种现象的主要原因可能是计算机的非法操作,或者是电脑突然断电所至。既然如此,那就把它卸载了重新安装吧,事情并不像想象的那么简单,当卸载时,却弹出对话框提示先关闭应用程序再卸载(如下图所示)。
既然右键无反应,那怎么关闭?利用任务管理器结束进程吧,当结束进程时也出现对话框,提示无法结束进程(如下图所示)。
现象二 能结束进程,但是既不能安装也不能卸载
虽然没有出现上面的情况结束不了进程,但是不能卸载。想到有些软件可以直接重新安装来解决所有问题,于是重新安装吧。但是当打开安装软件时,却不能安装,提示已经有更新版本的软件,必须先卸载(如下图所示)。
根据提示进行卸载,但是通过控制面板卸载时出现卸载错误(如下图所示)。这种情况的主要原因可能是软件本身受到破坏。
解决方法一 安全模式卸载
在电脑启动时,按住F8键,选择安全模式进入电脑安全模式。在安全模式下,删除卡巴斯基所安装的目录,然后重新安装卡巴斯基,再通过卡巴斯基自带的卸载软件卸载,如果需要安装新版的卡巴斯基,回到正常模式安装就可以了。
解决办法二 利用优化大师
启动Windows优化大师软件,或者其他类似软件也可以。选择“系统清理维护”面板,选择“注册信息清理”选项,点击右边的“扫描”按钮。等扫描完之后,找到与卡巴斯基相关的项,注意不要删除而是选择“恢复”按钮(如下图所示)。
到这里工作并没有完成,这只是为卸载做了个准备,通过这样的操作之后,再通过控制面板来卸载就不会出现不能卸载的对话框了。如果需要,重新安装就可以了.
页:
[1]