卡巴斯基7.0 新技术
新技术:
1、新的基于模拟器的启发引擎
2、反Rootkit的巨大改进
3、出站保护方面的改进(反泄漏方面)
4、新的隐私控制方案
5、检测新的键盘记录程序
6、改进了主动防御
7、改进了自我保护
新的启发引擎:
KAV 3,4,5 基于特征码扫描
KAV 6 加上了主动防御,基于程序行为分析
KAV 7 加上了基于模拟器的启发引擎
启发引擎使用了与主动防御模块相同的判断逻辑(规则)
但启发引擎和主动防御的事件(event)来源不同,一个是模拟器,一个是内核驱动
内核模块与实际的文件系统、系统注册表、网络等交互
模拟器通过模拟执行程序代码来获得相同的信息
对系统性能的影响:
新的模拟器不会使系统变慢,因为:
默认设置下,实时监控使用特征码和主动防御
扫描任务时使用特征码和启发引擎
反Rootkit技术:
检测隐藏文件:
1、主要的方法是交错扫描:通过Windows API获得文件列表,再通过直接的硬盘访问获得相同的文件列表,然后进行对比
2、Rootkit扫描:通过直接硬盘访问扫描所有文件及所有文件夹的NTFS交换数据流
3、高级Rootkit扫描:基本扫描加上所有文件的NTFS交换数据流扫描(会慢得多但在有些情况下是必要的)
防火墙出站保护:
不论怎样,KIS都将超过ZoneAlarm和SSM。我们认为我们最好的成绩是第三位,那是因为我们并不打算瞄准Comodo和Jetico的特殊解决方案(区别只是默认设置不同——我们认为我们的设置对于95%的用户来说取得了最好的平衡)
网友评论