为系统打造一个无毒的空间

从云查杀到文件鉴定技术，现在的杀毒软件会推出花样百出的新技术，不过它们中的绝大多数都是通过病毒数据库的对比达到查杀的目的，所以面对利用0day漏洞或是还没被发现的病毒变种时，就会失去防御能力。“无毒空间”使用了一套新的基于内核白名单的防范系统，不但节约了大量系统资源，而且跟其它主动防御软件相比，无毒空间不存在误判漏判的问题。

设置操作

在安装的过程中，软件会提示用户“请选择需要扫描的驱动器”，此处按照默认勾选全部磁盘即可（如图1）。接下来安装程序就会对计算机系统进行文件夹目录及文件的免疫识别，以区别那些以后新安装的程序文件。

在系统托盘上找到软件图标，点击鼠标右键并选择“详细记录/分析”选项，并在弹出菜单中勾选“隐藏已签名程序”和“过滤知名厂商（自动）”的选项。另外在过滤输入框中设置要过滤的关键词，不同的关键词需要用分号分隔，设置完成以后直接回车就可以完成设置操作并扫描。扫描完成以后如果列表中没有任何信息，那么就证明你的系统是非常安全的。

分析可疑文件

如果列表中存在某些文件的话，那么就要看“提示信息”这栏中的信息（如图2）。需要注意的是标识为“认证未通过”的文件未必是病毒木马，也可能是某些程序刚更新的文件；如果标识为“非windows文件”的文件，那么说明这些文件是微软公司的程序，但是却不能通过微软签名的认证程序，许多病毒木马都喜欢冒充微软的程序，所以“非windows文件”的文件是病毒的可能性比标识为“认证未通过”的文件更大（当然光凭经验是不可靠的，用户还需要对这些可疑文件进行专业的验证）。

接下来右键单击文件并选择“上传”，这时软件就会把可疑文件上传到过最新的病毒库对文件进行分析扫描，所以可以比较全面的对上传文件进行分析。如果这个文件的确是病毒文件的话，那么返回到软件的分析列表中，选中被判定为是病毒文件的那个文件名称。用户可以直接将其删除，或是鼠标右键选择“禁止”命令让该程序无法运行。

拦截文件

通过分析扫描和文件清除，用户创建了一个无毒的系统环境，不过自己的系统毕竟不是一成不变的，在安装新的软件时就需要拦截可疑文件。如果用户知道自己的软件是绝对安全的，那么直接点击“知道了”即可（如图3），这时软件会将新文件收录下来，将来再运行的时候就不会提醒。

当无毒空间发现不熟悉的文件运行时，就会使用气泡来提醒用户注意这些文件的运行，弹出这个提示窗口就说明有病毒木马运行。这时就需要点击“查看详情”按钮，可以顺藤摸瓜找到病毒文件的目录，从而将还没有运行的病毒木马就地删除。不过这里要提醒用户一下：有的病毒木马或者流氓软件，是和程序的安装文件捆绑在一起的。所以一旦提示窗口显示的是“未知厂商”，或者显示的是和运行软件出品商不同的厂商名称，就说明软件捆绑了第三方插件，需要用户酌情取消安装或更换安装程序。

体验感受

虽然从功能上讲，无毒空间在各种杀毒套装程序面前还略显单薄，但是它的防毒效果却是釜底抽薪的：由于恶意程序的特殊使命，为避免用户发现，它们必然使用偷袭战术，但这些招数在无毒空间的监测下完全无效，用户只要看见无界面的程序悄悄执行，就能及时发现恶意程序的活动踪迹，再辅以无毒空间提供的启动分析、上传检测及禁止执行等技术手段，完全可以将病毒木马等恶意程序扑杀在摇篮里。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文