风云防火墙使用方法详解(3)
通俗理解,shell插件就是IE浏览器插件,虽然IE的功能越来越强大完备,但并非就是全能,很多时候我们可能还是不得不借助某些第三方软件来完成一些特殊任务。如果你不想为了某一个功能安装其他浏览器的话,可以安装相应的插件,这样就可以为浏览器强身健体,实现功能扩展,从而使其完成一些过去看起来无法完成的任务,例如让IE支持断点续传、快速搜索关键词、多窗口打开新页面、自动填写表单、网页翻译、直接查看EXIF信息等。同时,这也很容易被某些恶意软件或广告程序利用,打开浏览器之后自动加载一些影响用户上网操作和网络性能的Shell,也带来很多安全方面的威胁,称为恶意插件!按照其危险破坏程度的一般分为高中低三类。对于确认的恶意或无用插件,选定后可以立即进行删除。如下图是删除恶意插件后的界面:
这里需要提到的是该功能现今对于某些顽固流氓恶意插件,例如百度搜霸,网络实名等尚不能做到彻底成功清除,可以适当考虑进一步改进,增强广谱查杀能力。为用户省却需再另外安装其他恶意流氓软件查杀工具的麻烦岂不功德圆满,皆大欢喜。
下是进程查看界面:
此界面可查看系统目前运行的所有进程及其进程路径,进程ID,软件厂商,行为描述,子模块调用等详细信息,可找出隐藏进程,并可对危险进程进行选定后,点击终止选中进程窗口按钮进行强制性终止。
下为防范规则界面:
这里所指的防范规则就是对加壳程序,线程注入程序运行所指定的特殊规则。与前面讲到的程序规则设置基本相同,可以在程序初次运行时出现如下应答提示窗口时选择允许禁止,也可在这个界面中进行规则的增删修改,同样支持导入导出规则。这里还要提到几个常识性概念。
【加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。解压原理,是加壳工具在文件头里加了一段指令,通知CPU进行运算。,只有你机器配置极低,才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时,其实就是令可执行的程序在内存中解开,解开后,以后的就交给真正的程序。所以,这些工作只是在内存中运行的,难于了解具体运行的指令方式。通常说的对外壳加密,都是指软件被一些专门的加壳程序加壳,基本上是对程序的压缩过程。因为有的时候程序过大,需要压缩。但是大部分的程序是因为防止反跟踪调试,防止算法被别人静态分析。加密代码和数据,保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。鉴于这个原理,很多病毒为了防止遭遇查杀,隐藏运行,都会进行加壳处理,甚至使用不同的加壳工具层层加壳。】
【线程注入:一种常见的程序运行特殊手段,往往木马服务端通过代码注入,将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, OICQ, IIS等)的地址空间中,然后或者可以以一个新线程的形式运行,或者只是修改宿主进程,截获宿主进程的网络系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行,那么然后或者可以被动侦听,或者可以主动连接。在系统运行过程中,一些正常合法软件(大多是即时通信类)也往往会有线程注入其他系统服务或模块的行为,这需要自己积累一定的相关经验,加以正确判断。】
下面是体现风云防火墙侦壳与防止危险线程注入功能的一组实测图片(限于篇幅只能部分提供),经过多种类型的测试足以表明它的这个特色功能是很强大完善的。
最下是文件监控窗口:
这个功能是实时监控指定文件路径,文件格式(扩展名)所有相关文件的属性变更,它的主要作用在于防止病毒,恶意软件隐形进行非法的后台安装,扫描用户文件被未经授权的更改。这是风云防火墙新增的另一个很实用的特色功能。在上面的界面中用户可以点击文件监控自定义参数进行自主修改,各类型的扩展名以".*"格式依次填入,例如要增加对.txt文件的监控在文件监控类型框里.EXE.DLL紧跟输入.TXT按确定即可。这个设置的变更需要重新程序方可生效。不宜随意增加监控文件目录或类型否则会触发频繁气泡提示或声音报警以及文件监控日志记录。
下为监控事件记录:
再返回程序主界面,打开文字标题栏设置--详细设置或图标工具栏系统设置,首先出现如下监控设置界面,建议普通用户全部选择开启以达到全方位的保护目的。
向右依次是注入线程排除程序:
系统默认设置里排除了XDICT.EXE(金山词霸),GAMECLIENT.EXE(浩方对战平台客户端)。在这里你可以手动增加确认安全的注入线程程序名称或进行删除。
ARP保护:
点击选择启用ARP保护功能, 将本地及网关IP地址分别填入,按“读取MAC”按钮得到如上图二者MAC值,确认退出即可。(MAC是媒体存取控制的简称,MAC地址是数据链路层的 MAC子层的地址,用于在局域网上通讯时确定发送方和接收方。MAC地址即是网卡的硬件地址。也就是IP实际地址,)
【IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP 目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些主机或服务器,或对数据流进行简单的修改。这就是ARP欺骗的简单原理。】
其他设置:
对启用声音提示,日志记录,图标闪烁,任务栏气泡提示开启关闭的选项设置。顺便提一下任务管理器增强插件。在打开此选项后,风云防火墙会直接插入系统TASKMGR(任务管理器进程)对系统当前运行进程实时监控。图中蓝色标识的是系统关键进程(系统正常运行的高优先级必要进程),不可被外部强行终止。
密码保护功能:
对用户输入的密码提供保护,防止密码泄露。彻底拦截WH_KEYBOARD,WH_JOURNALRECORD,WH_GETMESSAGE, SendMessage等键盘记录软件.这里需要注意的是不可与其他类似功能安全防护软件同时开启。防止内存溢出,造成系统错误。
密保功能和密码记忆2006同时开启的情况下,QQ登录对话框密码栏的红色异常警示:
断开网络功能:
关闭所有端口,切断一切网络连接。在风云防火墙遇到其他不明程序进程非法终止后会自动断开网络,保护主机安全,这种情况比较罕见,不做赘述。
修复IE故障与Hosts文件编辑:
上网冲浪,IE是最首当其冲的必要软件,也正因为如此,使它成为众多木马病毒恶意软件集中攻击下手的目标,稍有不慎即会少腿断脚面目全非,无法正常运行,所以这个修复功能就显的很有必要了。
