網絡防火牆的種類有很多,但你的電腦適合用哪種呢?如果需要集木馬防火牆和普通防火牆於一體的類型,不妨試試筆者最近使用的“風雲防火牆”。它不但包括了數據包攔截、進程檢測等網絡防火牆的常規功能,還獨創了很多功能,比如“數據包特征碼攔截”、“檢測隱藏進程和服務”、“密碼保護功能”等。它們的出現將進一步保護電腦的安全運行,避免惡意程序的侵擾,下面我們就來看看它個性化的防護功能。
一、顯示遠程物理地址
現在的網絡防火牆都有一項功能,就是對要求訪問互聯網的程序進程進行提示,詢問用戶是否允許該進程訪問網絡,風雲防火牆自然也不缺這項功能。它不但可以連接進程的文件名稱、文件版本、文件路徑等,還可以顯示出該進行使用的網絡協議,以及顯示出連接的遠程IP地址和相對應的物理地址,讓用戶清楚地了解該連接情況,從而進行判斷。
一天當筆者和一位網友聊天時,突然屏幕彈出一個提示窗口(如圖1)。從圖中我們可以清楚地看到,一個IE浏覽器的進程請求訪問網絡。IE浏覽器訪問網絡並沒有什麼奇怪的,但是它連接的地址“四川省德陽市”,以及端口“8000”引起了我的注意。我們知道,浏覽器最常見的連接端口是80端口,8000端口最常見的是QQ服務端使用的端口,更加奇怪的是我並沒有使用IE浏覽器。毋庸置疑,我的IE浏覽器被惡意程序“綁架”了。
二、數據包特征碼攔截
當我正在琢磨IE浏覽器被什麼所挾持的時候,風雲防火牆在任務欄的圖標不停閃爍,並彈出一個氣球提示(如圖2),提示用戶發現“遠程控制-灰鴿子 VIP 2005”,以及它的進程、對方IP和端口,並且自動對這些發送的數據進行攔截。Tw.winGWiT.cOm通過對比發現這些信息和前面的信息完全相同,這樣我就可以肯定IE浏覽器是被灰鴿子木馬所劫持了,因為灰鴿子木馬使用了線程插入技術,正好將服務端程序的進程插入到了IE浏覽器的進程之中。風雲防火牆之所以能夠進行如此准確的判斷,是因為使用了獨特的木馬數據包特征碼攔截技術,木馬程序一旦被列入病毒庫,無論如何加殼偽裝都能加以攔截,因為這些都是該木馬程序的基本特性。
三、確定加殼程序是否運行
確認是灰鴿子木馬作祟後,馬上運行金山毒霸的升級程序,准備將軟件的病毒庫更新到最新版本。可是當升級程序啟動後,防火牆馬上又彈出了一個提示窗口(如圖3),由於很多木馬程序都進行了加殼處理,而風雲防火牆全新智能的偵測、攔截、詢問已知加殼的程序的運行功能,能夠讓用戶安全確定加殼程序的運行是否安全,避免木馬程序的運行。由於該升級程序通過UPX加殼程序進行了加殼處理,所以防火牆同樣彈出了一個提示窗口。
四、檢測隱藏進程和服務
使用最新版本的金山毒霸對系統進行掃描,但是並沒有檢測出一個病毒文件,看來這個灰鴿子木馬是剛剛發布的最新版本,只有通過手工方式進行檢測了。雙擊任務欄中的風雲防火牆圖標,彈出程序的操作主界面。
點擊“特洛伊檢測”選項中的“進程查殼”命令,防火牆程序會自動對系統中當前使用的進程進行檢測,同時還能檢測出隱藏的進程,並且可以對進程進行定位、查看屬性、終止進程等一系列操作。經過檢測,發現系統中一共有26個進程,並且發現1個隱藏的進程。這個隱藏的進程會被防火牆紅色高亮加以顯示,而這個隱藏的進程正好就是被灰鴿子木馬利用的IE浏覽器進程(如圖4)。選擇這個被利用的進程,點擊“終止選中進程”按鈕即可結束它。
下面我們來檢測木馬的啟動項,點擊“系統啟動項”中的“服務啟動項”命令,因為在Windows XP系統中,灰鴿子木馬是利用系統服務進行啟動的。同樣,防火牆可以對隱藏的系統服務進行檢測,使隱藏服務的木馬無處隱藏、瞬時顯現,並通過紅色高亮進行顯示。最終檢測到一個隱藏的服務,正好就是灰鴿子木馬的啟動項,並且通過該服務所指的“路徑”找到了木馬的路徑。可以看出,黑客將灰鴿子木馬偽裝成系統進程svchost.exe。選擇這個木馬的啟動項服務,點擊“刪除選定”按鈕將這個啟動服務刪除。然後按照路徑所指,找到木馬的服務端程序並刪除,最終通過手工的方式清除掉灰鴿子木馬。
五、其它功能
除了上面檢測木馬時所使用的功能外,風雲防火牆還包括其他很多優秀的功能,密碼保護功能就是其中的一項。防火牆通過對WH_KEYBOARD、WH_JOURNALRECORD、WH_GETMESSAGE、SendMessage等常用的鉤子函數進行徹底地攔截,防止木馬程序通過鍵盤記錄功能對用戶的網銀、網游等賬戶信息進行記錄,進而被黑客所竊取,造成用戶經濟、精神上的多重損失。
From:http://tw.wingwit.com/Article/Software/201309/780.html