排除
受信任区域是由系统管理员配置的、Kaspersky Endpoint Security 在活动期间不予监控的对象和应用程序的列表。
考虑到所处理对象的特点和安装在计算机上的应用程序,管理员可以自主创建受信任区域。当 Kaspersky Endpoint Security 阻止访问特定对象或应用程序时,如果您确定此对象或应用程序是无害的,则有必要将其包含在受信任区域中。管理员也可以允许用户为特定计算机创建他们自己的本地受信任域。这样,除了策略中的常规受信任域,用户可以创建他们自己的本地排除项和受信任应用程序列表。
从 Kaspersky Endpoint Security 12.5 for Windows 开始,您可以将 EDR 遥测添加到受信任区域。这允许优化应用程序发送到卡巴斯基反针对性攻击平台 (EDR) 解决方案的遥测服务器的数据。
扫描排除项
“扫描排除项”是一组条件,必须满足这些条件,Kaspersky Endpoint Security 才不会扫描特定对象是否存在病毒和其他威胁。
扫描排除项可确保用户安全地使用入侵者用以损害计算机或用户数据的合法软件。尽管此类应用程序并不具备任何恶意功能,但它们可被入侵者利用。有关可被犯罪分子用来破坏计算机或用户个人数据的合法软件的详细信息,请访问 Kaspersky IT 百科全书网站。
这类应用程序可以被 Kaspersky Endpoint Security 阻止。若要防止它们被阻止,您可以为正在使用的应用程序排除扫描排除项。为此,请将 Kaspersky IT 百科全书中列出的名称或名称掩码添加到受信任区域。例如,您经常使用 Radmin 应用程序来远程管理计算机。Kaspersky Endpoint Security 会将这些活动看做可疑活动并进行阻止。若要防止应用程序被阻止,请使用 Kaspersky IT 百科全书中列出的名称或名称掩码创建扫描排除项。
如果您计算机上安装的某个应用程序收集信息并将其发送以供处理,则 Kaspersky Endpoint Security 可能会将其归类为恶意软件。若要避免该信息,您可以按照文档所述通过配置 Kaspersky Endpoint Security 从扫描中排除该应用程序。
扫描排除项可用于下列特定应用程序组件和系统管理员配置的任务:
受信任应用程序列表
受信任应用程序列表是一个应用程序列表,其中所包含应用程序的文件和网络活动(包含恶意活动)以及对系统注册表的访问不受 Kaspersky Endpoint Security 的监控。默认情况下,Kaspersky Endpoint Security 将监控任何应用程序进程打开、执行或保存的对象,并控制所有应用程序的活动及其产生的网络流量。将应用程序添加到受信任应用程序列表后,Kaspersky Endpoint Security 将停止监控该应用程序的活动。
扫描排除项和受信任的应用程序之间的区别在于,对于排除项,Kaspersky Endpoint Security 不扫描文件,而对于受信任的应用程序,它不控制启动的进程。如果受信任的应用程序在未包含在扫描排除项中的文件夹中创建恶意文件,Kaspersky Endpoint Security 将检测该文件并消除威胁。如果该文件夹被添加到排除项,Kaspersky Endpoint Security 将跳过该文件。
例如,如果您认为被标准 Microsoft Windows 记事本使用的对象是安全的,也即您信任此应用程序,则可将 Microsoft Windows 记事本添加到受信任的应用程序列表中,从而不监控该应用程序所使用的对象。这将提高计算机性能,这在使用服务器应用程序时尤为重要。
此外,被 Kaspersky Endpoint Security 分类为可疑操作的某些操作,在很多应用程序的功能环境中可能是安全的。例如,拦截键盘键入的文本,是自动键盘布局切换器中的一种例行程序(例如 Punto Switcher)。考虑到此类程序的特点并将其行为从监控中排除,我们建议您可将此类程序添加到受信任应用程序列表中。
受信任的应用程序有助于避免 Kaspersky Endpoint Security 与其他应用程序之间的兼容性问题(例如,Kaspersky Endpoint Security 和另一个反病毒应用程序对第三方计算机的网络流量进行双重扫描的问题)。
同时,受信任应用程序的可执行文件和进程仍然会扫描病毒和其他恶意软件。您可以通过扫描排除项将应用程序从 Kaspersky Endpoint Security 扫描中完全排除。
排除项设置
参数
|
描述
|
检测到的对象类型
|
不管应用程序设置的配置如何,Kaspersky Endpoint Security 始终会检测并阻止病毒、蠕虫和木马。它们可能会给计算机带来巨大的损害。
- 病毒和蠕虫
子分类:病毒和蠕虫 (Viruses_and_Worms)
威胁级别:高
典型的病毒和蠕虫会执行未经用户授权的操作。它们会创建可自我复制的副本。
典型病毒
典型病毒侵入计算机后,会感染文件,激活并执行恶意操作,以及将自身的副本添加到其他文件中。
典型病毒仅在计算机本地资源上复制副本,不会自行侵入其他计算机。仅当该病毒将其副本添加至存储在共享文件夹或放入计算机中的 CD 中的文件时,或者在用户发送附有受感染文件的电子邮件消息时,该病毒才会传染给其他计算机。
典型病毒代码可以入侵计算机、操作系统和应用程序的各种区域。根据具体的环境,病毒可分为文件病毒、引导区病毒、脚本病毒和宏病毒。
病毒可以使用多种不同的技术来感染文件。覆盖病毒会使用其代码覆盖受感染文件的代码,从而抹除文件的内容。感染的文件会停止发挥作用,且无法恢复。寄生病毒会修改文件,从而使自身发挥全部或部分功能。伴随病毒不会修改文件,而是创建副本。当您打开受感染的文件时会启动该文件的副本(实际上是病毒)。您也会遇到以下类型的病毒:链接病毒、OBJ 病毒、LIB 病毒、源代码病毒和许多其他病毒。
蠕虫
与典型病毒一样,蠕虫在侵入计算机后,其代码将激活并执行恶意操作。之所以称为蠕虫,是因为它们能够从一台计算机“爬”到另一台计算机,并不需用户权限即可通过许多数据通道来传播副本。
可用于区分各种类型蠕虫的主要特征是蠕虫的传播方式。下表提供了各种类型蠕虫的概览,这些蠕虫按其传播方式进行了分类。
蠕虫传播方式
类型
|
名称
|
描述
|
电子邮件蠕虫
|
电子邮件蠕虫
|
这些蠕虫通过电子邮件传播。
受感染的电子邮件消息包含带有蠕虫副本的附件,或指向上传到可能已被攻击或者专门创建用于传播蠕虫的网站上某文件的链接。打开该附件时,蠕虫将被激活。在您单击该链接,进行下载,然后打开文件时,蠕虫还会开始执行其恶意操作。之后,蠕虫会继续传播其副本,搜索其他电子邮件地址,并向它们发送受感染的邮件。
|
IM 蠕虫
|
IM 客户端蠕虫
|
它们通过 IM 传播。
通常,此类蠕虫会利用用户的联系人列表发送消息,其中包含指向某网站上带有蠕虫副本的文件的链接。用户下载并打开文件时,蠕虫将被激活。
|
IRC 蠕虫
|
互联网聊天蠕虫
|
这些蠕虫会通过互联网中继聊天(允许通过互联网与其他人实时通信的服务系统)传播。
这些蠕虫会在互联网聊天中年发布包含自身副本的文件或指向该文件的链接。用户下载并打开文件时,蠕虫将被激活。
|
网络蠕虫
|
网络蠕虫
|
这些蠕虫通过计算机网络传播。
与其他类型的蠕虫不同,典型的网络蠕虫不需用户参与即可传播。它会扫描本地网来寻找安装了有漏洞的程序的计算机。为此,它会发送特殊格式的网络数据包(漏洞),其中包含蠕虫代码或部分蠕虫代码。如果网络上存在“有漏洞”的计算机,该计算机会接收到此种网络数据包。蠕虫完全入侵计算机后,将被激活。
|
P2P 蠕虫
|
文件共享网络蠕虫
|
它们通过点对点文件共享网络传播。
为了渗透到 P2P 网络,蠕虫会将自身复制到通常位于用户计算机上的文件共享文件夹中。P2P 网络会显示有关该文件的信息,以便用户可以在网络中像任何其他文件一样“找到”受感染的文件,然后下载并打开该文件。
更加狡猾的蠕虫会模仿特定 P2P 网络的网络协议:它们会返回对搜索程序的积极响应,并提供自身的副本供下载。
|
蠕虫
|
其他类型的蠕虫
|
其他类型的蠕虫包括:
- 通过网络资源传播自身副本的蠕虫。通过使用操作系统的功能,它们扫描可用的网络文件夹,连接到互联网上的计算机,并尝试获取对磁盘驱动器的完全访问。与之前描述的蠕虫类型不同,其他类型的蠕虫不会自行激活,而是在用户打开包含蠕虫副本的文件时激活。
- 不使用上表中所述的任何方法进行传播的蠕虫(例如,通过手机传播的蠕虫)。
|
- 木马(包含勒索软件)
子类别:木马
威胁级别:高
与蠕虫和病毒不同,木马不能进行自我复制。例如,用户访问受感染的网页时,它们会通过电子邮件或浏览器侵入计算机。木马通过用户参与而启动。木马启动后即会开始执行恶意操作。
在受感染的计算机上,不同的木马会表现出不同的行为。木马的主要功能包括阻止、修改或破坏信息,以及禁用计算机或网络。木马还可以接收或发送文件,在屏幕上显示消息,请求网页,下载和安装程序,以及重启计算机。
黑客通常使用各种不同木马的“集合”。
下表中介绍了木马行为的类型。
受感染计算机上木马行为的类型
类型
|
名称
|
描述
|
木马炸弹
|
木马 –“压缩文件炸弹”
|
解压缩时,这些压缩文件的大小会急剧增加,从而影响计算机的操作。
用户尝试解压缩这种压缩文件时,计算机可能会运行缓慢或停止运行;硬盘可能会充满“空白”数据。“压缩文件炸弹”对于文件和邮件服务器尤为危险。如果服务器使用自动系统处理接收信息,则“压缩文件炸弹”可能会中断服务器运行。
|
后门
|
用于远程管理的木马
|
此种木马被视为最危险的木马类型。在功能方面,这些木马与安装在计算机上的远程管理应用程序相似。
这些程序会在不被用户发觉的情况下将自身安装到计算机上,以便入侵者远程管理计算机。
|
木马
|
木马
|
木马包括以下恶意应用程序:
- 典型木马。这些程序仅执行木马的主要功能:阻止、修改或破坏信息,以及禁用计算机或网络。它们没有任何高级功能,与表中描述的其他类型的木马不同。
- 万能木马。这些程序具有多种典型木马类型的高级功能。
|
勒索木马
|
勒索木马
|
这些木马将用户信息作为“人质”,修改或阻止信息,或者影响计算机的操作,以使用户无法使用信息。入侵者向用户进行勒索,许诺发送应用程序来恢复计算机的性能以及计算机上存储的数据。
|
木马点击器
|
木马点击器
|
这些木马通过自行向浏览器发送命令或更改在操作系统文件中指定的网址的方式,从用户的计算机访问网页。
通过使用这些程序,入侵者进行网络攻击并提高网站访问量,从而增加条幅广告的显示次数。
|
木马下载器
|
木马下载器
|
这些木马会访问入侵者的网页,从中下载其他恶意应用程序,并将它们安装到用户的计算机。这些木马包含要下载的恶意应用程序的文件名,或从访问的网页中接收该文件名。
|
木马释放器
|
木马释放器
|
这些木马包含安装在硬盘驱动器上并随后进行安装的其他木马。
入侵者可能会使用木马释放器类型的程序来达到以下目的:
- 未通知用户就安装恶意应用程序:木马释放器类型的程序不会显示消息,或者会显示虚假消息,例如通知压缩文件中存在错误或操作系统的版本不兼容。
- 保护另一个已知恶意应用程序不被检测:并非所有反病毒软件都可检测到木马释放器类型应用程序中的恶意应用程序。
|
通知型木马
|
通知型木马
|
这些木马会通知入侵者受感染的计算机可供访问,并向入侵者发送有关计算机的信息:IP 地址、已开放端口号或电子邮件地址。它们通过电子邮件、FTP、访问入侵者的网页或以其他方式与入侵者联系。
通知型木马类型的程序通常用于包含多种木马的集合中。这些木马会通知入侵者其他木马已成功安装到用户的计算机。
|
代理型木马
|
代理型木马
|
这些木马允许入侵者使用用户的计算机匿名访问网页,它们通常用于发送垃圾邮件。
|
盗号木马
|
密码盗窃软件
|
密码盗劫软件是盗窃用户账户(如软件注册数据)的一种木马。这些木马会查找系统文件和注册表中的机密数据,并通过电子邮件、FTP、访问入侵者的网页或以其他方式将其发送给“攻击者”。
部分这些木马分类为此表中描述的单独类型。这些木马会盗窃银行账户(网银窃贼木马),窃取 IM 客户端用户的数据(IM 木马),以及盗窃在线游戏用户的信息(游戏窃贼木马)。
|
间谍木马
|
间谍木马
|
这些木马暗中监视用户,收集有关用户使用计算机时所做的操作的信息。它们可能会拦截用户通过键盘输入的数据,截取屏幕,或收集活动应用程序的列表。收到信息后,这些木马会通过电子邮件、FTP、访问入侵者的网页或以其他方式将信息传输给入侵者。
|
分布式拒绝服务攻击木马
|
木马网络攻击者
|
这些木马会从用户计算机将大量请求发送至远程服务器。服务器缺少资源来处理所有请求,因此会停止运行(拒绝服务,或简称为 DoS)。黑客通常会使用这些程序感染许多计算机,以使用这些计算机来同时攻击一个服务器。
DoS 程序在用户知悉的情况下从一台计算机发起攻击。DDoS(分布式 DoS)程序在不被受感染计算机用户发觉的情况下从多台计算机发起分布式攻击。
|
盗号木马
|
从 IM 客户端用户那里窃取信息的木马
|
它们会窃取 IM 客户端用户的帐号和密码。这些木马会通过电子邮件、FTP、访问入侵者的网页或以其他方式将数据传输给入侵者。
|
Rootkit
|
Rootkit
|
这些木马会掩盖其他恶意应用程序及其活动,从而延长这些应用程序在操作系统中持续存在的时间。它们还会隐藏文件、受感染计算机内存中的进程或运行恶意应用程序的注册表键。Rootkit 会掩盖用户计算机上的应用程序与网络上其他计算机之间进行的数据交换。
|
SMS木马
|
SMS格式的木马
|
这些木马会感染手机,向额外收费的手机号码发送 SMS。
|
游戏窃贼木马
|
从在线游戏用户那里窃取信息的木马
|
这些木马会窃取在线游戏用户的账户凭据,然后将这些凭据通过电子邮件、FTP、访问黑客的网页或以其他方式发送给黑客。
|
网银窃贼木马
|
窃取银行账户的木马
|
这些木马会窃取银行账户数据或电子货币系统数据;将这些数据通过电子邮件、FTP、访问黑客的网页或以其他方式发送给黑客。
|
邮件侦测木马
|
收集电子邮件地址的木马
|
这些木马会收集存储在计算机上的电子邮件地址,然后通过电子邮件、FTP、访问入侵者的网页或以其他方式将它们发送给入侵者。入侵者可能会向收集到的地址发送垃圾邮件。
|
- 恶意工具
子类别:恶意工具
危险级别:中
与其他类型的恶意软件不同,恶意工具在启动过后不会执行其操作。恶意工具可以在用户的计算机上安全地存储和启动。入侵者通常使用这些程序的功能来创建病毒、蠕虫和木马,对远程服务器进行网络入侵,攻击计算机或执行其他恶意操作。
恶意工具的各种功能按下表中所述的类型进行分组。
恶意工具的功能
类型
|
名称
|
描述
|
构建器
|
构建器
|
通过它们可以创建新的病毒、蠕虫和木马。一些构建器扬言构建了基于窗口的标准界面,用户可在该界面中选择要创建的恶意应用程序的类型,对付调试程序的方式,以及其他功能。
|
拒绝服务攻击
|
网络攻击
|
这些木马会从用户计算机将大量请求发送至远程服务器。服务器缺少资源来处理所有请求,因此会停止运行(拒绝服务,或简称为 DoS)。
|
漏洞
|
漏洞
|
“漏洞”是一组数据或程序代码,利用处理它们的应用程序的缺陷对计算机执行恶意操作。例如,漏洞可以写入或读取文件,或请求“受感染”的网页。
不同的漏洞会利用不同应用程序或网络服务的缺陷。漏洞会伪装成网络数据包通过网络传输到许多计算机,然后搜索网络服务存在缺陷的计算机。DOC 文件中的漏洞会利用文本编辑器的缺陷。在用户打开受感染的文件时,它可能会开始执行黑客编程的操作。嵌入在电子邮件消息中的漏洞会搜索电子邮件客户端的缺陷。用户在电子邮件客户端中打开受感染的邮件时,漏洞会立即开始执行恶意操作。
网络蠕虫会使用漏洞通过网络进行传播。Nuker 漏洞是可禁用计算机的网络数据包。
|
文件加密器
|
加密器
|
加密器会加密其他恶意应用程序,以隐藏它们不被反病毒应用程序发现。
|
洪水攻击器
|
用于“污染”网络的程序
|
这些程序会通过网络通道发送大量邮件。例如,该类型的工具包括污染互联网中继聊天的程序。
洪水攻击器工具不包括“污染”电子邮件、IM 客户端以及移动通信系统所使用通道的程序。这些程序可分为表中介绍的各种类型(电子邮件洪水攻击器、IM 洪水攻击器和 SMS 洪水攻击器)。
|
黑客工具
|
黑客工具
|
这些工具可以破坏其所在的计算机,或攻击其他计算机(例如,未经用户许可添加新系统账户,或清除系统日志以隐藏在操作系统中的存在路径)。这种类型的工具包括一些具有恶意功能的嗅探器,例如密码截取。嗅探器是允许查看网络流量的程序。
|
恶作剧程序
|
恶作剧程序
|
这些程序会警告用户类似病毒的消息:它们可能会在未受感染的文件中“检测到病毒”,或通知用户磁盘已被格式化,尽管这些情况实际并未发生。
|
地址欺骗程序
|
地址欺骗工具
|
这些工具使用伪造的发件人地址发送邮件和网络请求。例如,入侵者会使用地址欺骗程序类型的工具来掩盖他们作为邮件实际发件人的事实。
|
病毒修改工具
|
修改恶意应用程序的工具
|
通过这些工具可以修改其他恶意软件,隐藏它们不被反病毒程序发现。
|
电子邮件洪水攻击器
|
“污染”电子邮件地址的程序
|
这些程序会向各种电子邮件地址发送大量邮件,从而“污染”这些地址。大量的接收邮件会妨碍用户查看收件箱中的有用邮件。
|
IM 洪水攻击器
|
“污染”IM 流量的程序
|
它们向 IM 的用户发送大量消息。大量的信息会妨碍用户查看有用的接收信息。
|
SMS 洪水攻击器
|
使用 SMS“污染”流量的程序
|
这些程序向手机发送大量 SMS。
|
- 广告软件
子类别:广告软件;
威胁级别:中
广告软件向用户显示广告信息。广告软件程序会在其他程序的界面中显示条幅广告,并将搜索查询重定向至广告网页。某些广告软件程序会收集有关用户的营销信息,并将其发送给开发者:该信息可能包括用户访问的网站的名称,或用户搜索查询的内容。与间谍木马类型的程序不同,广告软件程序会在用户许可的情况下将该信息发送给开发者。
- 自动拨号程序
子类别:可能会被犯罪分子用来破坏计算机或个人数据的合法软件。
危险级别:中
大多数这些应用程序都很有用,因此有许多用户使用它们。这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码实用程序以及用于 FTP、HTTP 和 Telnet 的互联网服务器。
但是,如果入侵者获得了这些程序的访问权限,或如果他们在用户的计算机上安置这些程序,应用程序的某些功能可能会被用来危害安全。
这些应用程序具有不同的功能,下表介绍了它们的类型。
类型
|
名称
|
描述
|
客户端 IRC
|
互联网聊天客户端
|
用户安装这些程序与他人进行互联网中继聊天。入侵者使用这些程序来传播恶意软件。
|
拨号器
|
自动拨号程序
|
它们可以在隐藏模式下通过调制解调器建立电话连接。
|
下载器
|
用于下载的程序
|
这些程序可以在隐藏模式下从网页下载文件。
|
监控器
|
用于监控的程序
|
这些程序可监控其安装到的计算机上的活动(查看哪些应用程序正在活动,以及它们如何与安装在其他计算机上的应用程序交换数据)。
|
密码工具
|
密码恢复器
|
通过它们可以查看和恢复已忘记的密码。入侵者出于相同的目的,秘密地将它们安置在用户的计算机上。
|
远程管理程序
|
远程管理程序
|
系统管理员广泛使用的一些程序。通过这些程序可以获取对远程计算机界面的访问权限,以监控和管理该计算机。入侵者出于同样的目的,秘密地将它们安置在用户的计算机上:用于监控和管理远程计算机。
合法的远程管理程序与实现远程管理的后门类型的木马不同。木马能够独自入侵操作系统并自行安装;合法的程序则无法做到这些。
|
FTP 服务程序
|
FTP 服务器
|
这些程序可起到 FTP 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 FTP 对该计算机的远程访问。
|
代理服务程序
|
代理服务器
|
这些程序可起到代理服务器的作用。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。
|
Telnet 服务程序
|
Telnet 服务器
|
这些程序可起到 Telnet 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 Telnet 对该计算机的远程访问。
|
Web 服务程序
|
Web 服务器
|
这些程序可起到 Web 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 HTTP 对该计算机的远程访问。
|
风险工具
|
在本地计算机上工作的工具
|
在用户自己的计算机上工作时,这些工具会为用户提供其他选项。通过这些工具,用户可以隐藏文件或活动应用程序的窗口,并终止活动的进程。
|
网络工具
|
网络工具
|
与网络上的其他计算机配合工作时,这些工具会为用户提供其他选项。通过这些工具可以进行重启,检测开放的端口,以及启动安装在计算机上的应用程序。
|
P2P 客户端
|
P2P 网络客户端
|
通过它们可以在对等网络中工作。入侵者可能会利用它们传播恶意软件。
|
客户端 SMTP
|
SMTP 客户端
|
它们未经用户的同意便发送电子邮件。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。
|
Web 工具栏
|
Web 工具栏
|
它们会向其他应用程序的界面中添加工具栏,以使用搜索引擎。
|
欺骗工具
|
欺骗程序
|
这些程序将自己伪装为其他程序。例如,一些欺骗反病毒程序会显示有关恶意软件检测的信息。但实际上,它们并未找到任何内容或进行清除。
|
- 可能会被入侵者利用以破坏您的计算机或个人数据的合法软件
子类别:可能会被犯罪分子用来破坏计算机或个人数据的合法软件。
危险级别:中
大多数这些应用程序都很有用,因此有许多用户使用它们。这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码实用程序以及用于 FTP、HTTP 和 Telnet 的互联网服务器。
但是,如果入侵者获得了这些程序的访问权限,或如果他们在用户的计算机上安置这些程序,应用程序的某些功能可能会被用来危害安全。
这些应用程序具有不同的功能,下表介绍了它们的类型。
类型
|
名称
|
描述
|
客户端 IRC
|
互联网聊天客户端
|
用户安装这些程序与他人进行互联网中继聊天。入侵者使用这些程序来传播恶意软件。
|
拨号器
|
自动拨号程序
|
它们可以在隐藏模式下通过调制解调器建立电话连接。
|
下载器
|
用于下载的程序
|
这些程序可以在隐藏模式下从网页下载文件。
|
监控器
|
用于监控的程序
|
这些程序可监控其安装到的计算机上的活动(查看哪些应用程序正在活动,以及它们如何与安装在其他计算机上的应用程序交换数据)。
|
密码工具
|
密码恢复器
|
通过它们可以查看和恢复已忘记的密码。入侵者出于相同的目的,秘密地将它们安置在用户的计算机上。
|
远程管理程序
|
远程管理程序
|
系统管理员广泛使用的一些程序。通过这些程序可以获取对远程计算机界面的访问权限,以监控和管理该计算机。入侵者出于同样的目的,秘密地将它们安置在用户的计算机上:用于监控和管理远程计算机。
合法的远程管理程序与实现远程管理的后门类型的木马不同。木马能够独自入侵操作系统并自行安装;合法的程序则无法做到这些。
|
FTP 服务程序
|
FTP 服务器
|
这些程序可起到 FTP 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 FTP 对该计算机的远程访问。
|
代理服务程序
|
代理服务器
|
这些程序可起到代理服务器的作用。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。
|
Telnet 服务程序
|
Telnet 服务器
|
这些程序可起到 Telnet 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 Telnet 对该计算机的远程访问。
|
Web 服务程序
|
Web 服务器
|
这些程序可起到 Web 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 HTTP 对该计算机的远程访问。
|
风险工具
|
在本地计算机上工作的工具
|
在用户自己的计算机上工作时,这些工具会为用户提供其他选项。通过这些工具,用户可以隐藏文件或活动应用程序的窗口,并终止活动的进程。
|
网络工具
|
网络工具
|
与网络上的其他计算机配合工作时,这些工具会为用户提供其他选项。通过这些工具可以进行重启,检测开放的端口,以及启动安装在计算机上的应用程序。
|
P2P 客户端
|
P2P 网络客户端
|
通过它们可以在对等网络中工作。入侵者可能会利用它们传播恶意软件。
|
客户端 SMTP
|
SMTP 客户端
|
它们未经用户的同意便发送电子邮件。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。
|
Web 工具栏
|
Web 工具栏
|
它们会向其他应用程序的界面中添加工具栏,以使用搜索引擎。
|
欺骗工具
|
欺骗程序
|
这些程序将自己伪装为其他程序。例如,一些欺骗反病毒程序会显示有关恶意软件检测的信息。但实际上,它们并未找到任何内容或进行清除。
|
- 可能被用来保护恶意代码的打包对象
Kaspersky Endpoint Security 会扫描 SFX(自解压)存档中的压缩对象和解包工具模块。
为了隐藏危险程序不被反病毒应用程序发现,入侵者会使用特殊解包工具存档将这些程序,或创建多重压缩文件。
Kaspersky 病毒分析人员已识别出黑客最常使用的解包工具。
如果 Kaspersky Endpoint Security 在文件中检测到此种打包工具,则该文件很可能包含恶意应用程序或可被犯罪分子用来破坏计算机或个人数据的应用程序。
Kaspersky Endpoint Security 挑选出了以下类型的程序:
- 可能带来危害的压缩文件 – 用于压缩恶意软件,例如病毒、蠕虫和木马。
- 多重压缩文件(中等威胁级别)– 通过一个或多个打包工具对对象进行了三次压缩。
- 多层打包对象
Kaspersky Endpoint Security 会扫描 SFX(自解压)存档中的压缩对象和解包工具模块。
为了隐藏危险程序不被反病毒应用程序发现,入侵者会使用特殊解包工具存档将这些程序,或创建多重压缩文件。
Kaspersky 病毒分析人员已识别出黑客最常使用的解包工具。
如果 Kaspersky Endpoint Security 在文件中检测到此种打包工具,则该文件很可能包含恶意应用程序或可被犯罪分子用来破坏计算机或个人数据的应用程序。
Kaspersky Endpoint Security 挑选出了以下类型的程序:
- 可能带来危害的压缩文件 – 用于压缩恶意软件,例如病毒、蠕虫和木马。
- 多重压缩文件(中等威胁级别)– 通过一个或多个打包工具对对象进行了三次压缩。
|
排除项
|
此表包含扫描排除项的相关信息。
可以使用以下方法从扫描中排除对象:
- 指定文件或文件夹的路径。
- 输入对象哈希。
- 使用掩码:
* (星号)字符代表任意一组字符,但 \ 和 / 字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\*\*.txt 将包括位于 C: 驱动器的文件夹(但不包括子文件夹)中所有具有 TXT 扩展名的文件的路径。- 两个连续
* 字符在文件或文件夹名称中代表任意一组字符(包括空集),包括 \ 和 / 字符(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\Folder\**\*.txt 将包括位于 Folder 嵌套子文件夹(除了 Folder 本身)中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 C:\**\*.txt 不是有效掩码。 ? (问号)字符代表任意单个字符,但 \ 和 / 字符除外(这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符)。例如,掩码 C:\Folder\???.txt 将包括位于 Folder 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。您可以在文件或文件夹路径中的任何位置使用掩码。例如,如果您希望扫描范围包括计算机上所有用户账户的下载文件夹,请输入 C:\Users\*\Downloads\ 掩码。
Kaspersky Endpoint Security 支持环境变量
使用 Kaspersky Security Center 控制台生成排除项列表时,Kaspersky Endpoint Security 不支持 %userprofile% 环境变量。要应用条目到所有用户账户,您可以使用 * 字符(例如,C:\Users\*\Documents\File.exe )。无论何时添加新的环境变量,都需要重新启动应用程序。
- 根据 Kaspersky 百科全书输入对象类型名称(例如,
Email-Worm 、Rootkit 或 RemoteAdmin )。您可以使用带有 ? 字符(取代单个字符)和 * 字符(取代任意数量字符)的掩码。例如,如果 Client* 掩码被指定,应用程序从扫描中排除 Client-IRC 、Client-P2P 和 Client-SMTP 对象。
如果管理员在控制台中阻止扫描排除项的配置(“关闭锁”符号)并且本地扫描排除项被禁止( 允许使用本地排除项 复选框被清除),则 Kaspersky Endpoint Security 会在应用程序的用户界面中隐藏扫描排除项的综合列表。
|
受信任应用程序
|
此表列出了受信任应用程序,其活动在操作过程中不受 Kaspersky Endpoint Security 监控。
当输入掩码时,Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。
在 Kaspersky Security Center 控制台上生成受信任应用程序列表时,Kaspersky Endpoint Security 不支持 %userprofile% 环境变量。要应用条目到所有用户账户,您可以使用 * 字符(例如,C:\Users\*\Documents\File.exe )。无论何时添加新的环境变量,都需要重新启动应用程序。
“应用程序控制”组件控制每个应用程序的启动,不管该应用程序是否包括在受信任应用程序表中。
如果管理员在控制台中阻止受信任应用程序的配置(“关闭锁”符号)并且本地受信任应用程序被禁止( 允许使用本地受信任应用程序 复选框被清除),则 Kaspersky Endpoint Security 会在应用程序的用户界面中隐藏受信任应用程序的综合列表。
|
继承时合并值
(仅在 Kaspersky Security Center 控制台可用)
|
这将合并 Kaspersky Security Center 父策略和子策略中的扫描排除项和受信任应用程序列表。要合并列表,子策略必须被配置为继承 Kaspersky Security Center 的父策略设置。
如果该复选框被选中,Kaspersky Security Center 父策略中的列表项目显示在子策略。这样,您可以为整个组织创建受信任应用程序的统一列表。
子策略中继承的列表项目无法被删除或编辑。在继承过程中合并的扫描排除项列表项目和受信任应用程序列表项目仅在父策略中可以被删除和编辑。您可以添加、编辑或删除较低级别策略中的列表项目。
如果子策略和父策略中的列表项目匹配,这些项目被显示为父策略中的相同项目。
如果未选中该复选框,则在继承 Kaspersky Security Center 策略设置时不会合并列表项。
|
允许使用本地排除项 / 允许使用本地受信任应用程序
(仅在 Kaspersky Security Center 控制台可用)
|
本地排除项和本地受信任应用程序(本地受信任域) – 用户为特定计算机在 Kaspersky Endpoint Security 中定义的对象和应用程序列表。Kaspersky Endpoint Security 不监控受信任域中的对象和应用程序。这样,除了策略中的常规受信任域,用户可以创建他们自己的本地排除项和受信任应用程序列表。
如果该复选框被选中,用户可以创建扫描排除项本地列表和受信任应用程序本地列表。管理员可以使用 Kaspersky Security Center 在计算机属性中查看、添加、编辑或删除列表项目。
如果复选框被清空,用户仅可以访问策略中生成的扫描排除项和受信任应用程序常规列表。
|
EDR 遥测
(仅在 Kaspersky Security Center 控制台可用)
|
此表包含 EDR 遥测排除项的相关信息。
|
受信任的系统证书存储
|
如果受信任的系统证书存储之一被选择,Kaspersky Endpoint Security 从扫描排除使用受信任数字签名签署的应用程序。Kaspersky Endpoint Security 自动分配此类应用程序到“受信任”组。
如果不使用被选择,Kaspersky Endpoint Security 扫描应用程序而不考虑其是否具有数字签名。Kaspersky Endpoint Security 会将应用程序放置在某个信任组中,具体取决于该应用程序可能对计算机造成的危险级别。
|
页面顶部