Storm_Center

　　我在相当长的时间内使用的杀毒软件是瑞星，没别的原因，主要是熟悉了。也有试过其它的软件，一装上就觉得陌生，不知道怎么下手，所以如果使用杀毒软件，关键是要能熟练使用，用熟就能上手。当然如果你的电脑基本没什么中毒机会，装个杀软是为了以防万一，保个心理平安，随便选一个就得，按默认设置，也不用专门打理。
　　说下瑞星的主动防御，以前一直听说瑞星的主动是最烂的，后来看了一些介绍，发现即使真的是烂也有它的用处，尤其是看了卡卡论坛版主调侃“磁碟机”病毒的文章，看来至少是那些没什么太高技术的病毒是过不了的，现在真有技术的病毒并不多(估计是深度的电脑知识还不普及，基本走老路，什么毒王，无非是替换EXE文件中的内容，这打有病毒那年头就有了，不新鲜，有危害没技术，和抢劫一样，没技术含量)。而问题是我们大多是把瑞星的主动防御关闭或使用默认设置，这才是问题。
...

　　办公室翻到一本旧的计算机教材，是关于计算机病毒的，清华大学1996年出的教材。1996年，想想中国计算机教材的滞后性(早年更严重，看看计算机等级考试中DOS考了几年)就知道这里面讲述的内容有多老，基本都是DOS下的内容，虽然那时windows95这个划时代产品已经问世。

　　不过，技术这东西还是有通用性的，看了看，果然有收获，虽然书上说当时全世界的病毒只有1318种(当时的杀毒软件厂商一定很闲)：

1、感染可执行文件病毒，原来在电脑“远古”时代就有了，虽然是在DOS下的，但其插入EXE、COM文件的技术已经出现。完了，李俊最后的遮羞布也被扯掉了，熊猫烧香的技术水平大打折扣。

　　新版杀毒软件陆续上市，各种评测文章纷纷出马，你说这个好，他说那个好，评到最后还是一头雾水。……

　　代码：X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*　　上面这段代码相信常访问IT网站或社区的网友们并不陌生，而且往往被灌上神秘的色彩，将这段代码复制到Google的搜索框，敲回车，有41000个网页收录了这样的信息，其中首当其冲的就是太平洋和中关村，然后太平洋的出处表明是网易，作者是佚名；然后中关村的出处又是hacker.cn，又不清楚这个网易和hacker.cn的出处又是哪里了？？这个和很多假新闻类似。……

[Symantec Eraser Control driver / eeCtrl]
  <\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>

Cmicnfg.cpl是C-Media程序文件﹑声卡驱动文件。

[HOSTNT / HOSTNT][Stopped/Auto Start]
       <\??\C:\WINDOWS\system32\hostnt.sys>
 

[AntiyNF / AntiyNF][Running/Auto Start]
    <system32\drivers\AntiyNF.sys><N/A>

[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>

网上该文件的相关信息：

一、老外的XPROTEXTOR加壳保护的软件。
这个和DBPE保护层次上差不多，但狠毒劲则比DBPE过之。
总体上来说：
1、XPRO与DBPE一样，都是利用驱动程序来在WINNT系统上获得R0级权限。
...

　　瑞星的卡卡助手6.0的文件，插入注册表的AppInit_Dlls，而不是以前版本的ieprot.dll。有的杀毒软件或安全工具会对kmon.dll报警，因为AppInit_Dlls是注册表敏感位置，默认值为空，很多病毒会在此处加入自己的文件、用于启动，但卡巴斯基、卡卡等安全程序也会在此处插入自己的文件。