何为卡巴斯基主动防御？

杀毒软件大体分为“杀”和“防”说到防，大家却似乎都把重心放在了“主动”两字，特别是随着现在计算机病毒频繁变种，传统病毒库升级技术存在必然的缺陷。相对于新病毒，传统防火墙的所谓“特征码侦测”技术，随着其技术上的缺陷，如只能先截获病毒再升级病毒库，之后才能进行查杀而被逐渐淘汰和弹出，因为即使现在反病毒厂商的反应机制足够快，但从截获样本，到下发给用户升级到最新病毒库，必然存在一个时差问题，甚至即时分秒内更新不及时，威胁也会随之降临。所以，正由于对实际情况的考虑，“主动防御”技术应运而生。

卡巴斯基安全部队2011的主动防御系统

和早期的防护方式不同，通过“主动防御”技术可自动识别、明确报出未知病毒，并自动清除，且提示信息更加明确，告知用户究竟原因何在？方便我们了解究竟，同时可以自动分析，当前系统中的文件或程序的威胁指数，抢先一步，为用户预知可能存在的潜在隐患。

主动防御的实现方式

主动防御技术，在计算机启动后，防护体系会自动监控运行在计算机上的每个程序的所有行为。主记录程序运行的历史记录和脚本信息，并保持和危险程序运行时的行为来进行对比。用包含在自身中的危险行为列表来扫描它们以排除威胁。

另外，除对行为的有效判断外，好的“主动防御”软件，还会扫描已经安装到您计算机中的所有程序的模块，这将有助于避免应用程序模块版本，被潜在的威胁信息、恶意代码、黑客的远程指令替换，并避免恶意程序打开这些程序，对植入的威胁程序试图运行或设定修正权限，来实现一定程度上的写保护操作等。

卡巴斯基主动防御系统可拦截黑客对注册表进行篡改的行为

另外，每个试图修改系统注册表的行为（删除或者添加系统注册表键值，并输入可疑的键值等等）也都会被“主动防御”系统快速识别，提示用户这是否是由用户自己设定导致，如果非用户设置，而弹出预警，则表明系统中潜在严重隐患，甚至有被黑客远程控制的可能。同时分析时会使用主动防御规则和被指定的排除对象。还可详细设定相关的防护规则，来自定防护体系。

根据需要还可设定卡巴斯基“主动防御”设定规则

如果程序的行为满足拦截的规则，那下一步就会执行在规则记录中指定的匹配的操作。像这种行为通常会被拦截，同时会在屏幕上显示应用程序的详细说明，行为类型以及行为运行的历史记录等等，这样就可以真正做到“主动”防御，杜绝恶意威胁。

卡巴系统的防护结构

卡巴斯基安全部队2011“主动防御”系统，为用户提供的提供的预防技术可以避免赶在新威胁破坏您计算机之前的智能分析潜在因素，从而避免遭遇威胁。比如，会通过分析技术代码，预防黑客通过由某种应用程序或进程执行的“行为序列”，来扫描系统中潜在威胁，从而试图执行攻击操作。如果应用程序的活动类似于“危险对象”活动的特征，那么这种应用程序就会被杀毒产品被定义为危险对象，并且处理的操作会被应用到处理那种类型的规则中。一个危险活动对象的例子包括：

1.改变文件系统设定、试图修改核心组件

2.出现多个重复进程，并有嵌入到其他进程中的行为。

3.出现试图修改Windows操作系统系统注册表/组策略键值的行为。

卡巴斯基安全部队2011主动防御系统

主动防御体系可智能识别各类威胁和窃听行为