雙料防火墻保安全

傳統防火墻的工作模式相信大家已經非常熟悉了。但目前各種惡意程序層出不窮，有些惡意軟件又不是傳統意義上的病毒，傳統防火墻顯然管不了這么多。

Ghost Security Suit(以下簡稱GSS)集成了進程防火墻和注冊表防火墻功能，同時將進程和注冊表保護起來，任何程序的運行以及修改注冊表的非法操作都會被GSS及時攔截，這樣不管病毒等惡意程序有多大的“神通”，在GSS的“雙料”防火墻面前也無技可施。相反，根據GSS提供的提示信息，可以輕松發現惡意程序的行蹤，進而徹底刪除。

進程防火墻

在GSS主窗口左側的“AppDefend”面板的列表中選擇“ADSecure”項，就可以激活GSS內置的進程防火墻。

實戰進程防火墻

這里以Xploit木馬為例，當Xploit木馬通過各種途徑潛入到系統中后，木馬主程序Server．exe試圖運行時，當即被GSS發現并進行了攔截，GSS同時立即彈出“ProcessStarting(進程開始)”詢問對話框(如圖1)，在其中的“This process is being started(進程開始)”面板中顯示被攔截的程序的名稱和路徑信息，在“Parent Process(宿主進程)”面板中顯示該進程的宿主進程。在“ExtraInformation(附加信息)”面板中顯示額外的描述信息，例如該程序試圖啟動時的時間等。根據運行的程序名稱，我們很容易判斷它是否正常的程序，并進行相應操作。

詳細設置監控權限

GSS不僅可以及時阻止可疑程序運行，對于已經運行的程序，同樣可以進一步限制它的“活動范圍”。在GSS主窗口中打開“AppDefend”面板(如圖2)，在左側的列表中顯示當前的所有進程信息。選中一個程序，在“Permissons(許可)”欄中可以設置該程序的運行權限。在其中的所有列表中都包括“Block(阻止)”、“Allow(允許)”、“Ask User／Block(詢問／運行)”、“Ask User／Allow(詢問／允許運行)”、“Default(默認狀態)”等權限項目。

在其中的“Execution”列表中可以設置是否允許該程序正常運行；在“Start Application(啟動程序)”列表中可以設置是否允許該進程啟動其它程序；在“NetworkAccess(網絡接入)”列表中可以設置是否允許該程序訪問網絡；在“Terminate(終結)”列表中可以設置是否允許該進程程序結束其它進程，在“Keylogging(鍵盤記錄)”列表中設置是否允許該進程記錄鍵盤操作等等。

注冊表防火墻

注冊表是病毒、黑客軟件、木馬等惡意程序最常“光顧”的地方。面對“窮兇極惡”的惡意程序，怎樣才能全面保護注冊表的安全呢?

管理注冊表防火墻

GSS基于注冊表內核保護，能在其它程序讀寫注冊表之前激活保護功能。GSS采用規則機制保護注冊表安全，規則隸屬于相應的組。GSS默認內置了“Global RegistryRules”和“Application Rules”兩種類型的規則組，可以對注冊表進行全面監控。

當有程序試圖修改注冊表時，GSS內置的注冊表防火墻即可對其進行攔截，并且彈出詢問對話框(如圖3)，除了常規選項外，還可以點擊“Kill Process(關閉進程)”按鈕和“Kill Thread(關閉線程)”按鈕，從而直接關閉可疑的進程或對應的線程。

添加新規則

GSS還允許用戶添加新的保護規則：在配置面板左側選中合適的類別，輸入新的組名，點擊“Add Group”按鈕建立新組。在窗口底部的“Registry Key(主鍵名)”欄中顯示選中的主鍵名。在“Registry Value(主鍵值)”欄中顯示選中的鍵值名，兩者都支持“*、**、?”三種通配符。其中“*”代表任意字符串，遇到“＼”符號則中止。“?”代表單個字符， “**”代表任意字符串，遇到“＼”不中止。例如在“Registry Key”欄設置為“HKEY_LOCAL_MACHINEISoftware＼Microsoft＼Windows＼Currentversion＼Run**”，在“RegistryValue”欄中設置“*”，即可對所有的注冊表啟動項以及其中包含的鍵值進行全面監控。

在配置面板的規則列表中選中新建規則，在下面的“1．On these events”欄中顯示6種注冊表讀寫操作，包括“Read Keys(讀取主鍵)”、“Create Key(建立主鍵)”、“Modify Keys(修改主鍵)”等，并且以上各項可任意組合。接下來可以在“2．Perform these actions”欄中設定當滿足此條規則時，是執行觸發“Block(阻止)”操作，“Log to Disk(寫入日志)”操作，還是“Ask User(詢問用戶)”操作(如圖4)。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。