流氓軟件都是紙老虎主動防御
2007-04-12 00:00:00Aoouch@cnBeta
計算機應用文摘 2007年5期
清理只是亡羊補牢,要抵御流氓軟件,預防才是重中之重。今天請來的這位專家可厲害了,你要是用好了它,別說流氓軟件,連只蚊子都飛不進來。
我們知道,進入驅動層的流氓軟件是最難清理的。但是,如果能在流氓軟件進入之前讓防御軟件先進駐驅動層,就能夠有效地阻止流氓軟件的入侵。這就是本文要介紹的最強必殺技——主動防御(HIPS)軟件,也叫系統防火墻。
主動防御
主動防御軟件最大的特色就是具有3D防御體系:應用程序防御體系(AD)、注冊表防御體系(RD)以及文件防御體系(FD)。
比如,當某個程序要向System32文件夾(FD功能)或是往注冊表的Services主鍵(RD功能)下寫入任何文件或者鍵值時,只要配置了相關防御規則,主動防御軟件就能阻擋此操作并報警。
我們也可以把可信任的程序加入到規則當中,讓它們能夠任意地進行操作而不引起警報。此外,在使用主動防御軟件后,那些不請自來的流氓程序甚至根本不能運行(AD功能)了,因為應用程序防御體系可以在非信任的程序啟動之前詢問我們是否允許啟動它。
來自軍方的Tiny Firewall
介紹了這么多,大家一定對主動防御軟件非常感興趣了吧,那么,哪些軟件具有主動防御功能呢?
常見的有System Safety Monitor(SSM)、Parador、SafeSystem等,而《卡巴斯基6.0》本身就自帶了RD功能。這里要向大家推薦的是集成了全部3D功能的Tiny Firewall,它還具有網絡防火墻功能,規則定義功能極其強大。
Tiny Firewall最新的版本為6.5.126,雖然是共享軟件,只有30天的試用期,但是我們可以通過重復安裝來延長使用時間。安裝Tiny Firewall的時候要注意,如果你已經安裝了網絡防火墻軟件就應該選擇“Custom”(自定義)一項,同時取消安裝選擇“FirewallModule”功能,以免產生防火墻沖突(圖1)。
安裝完成之后重新啟動系統,之后就可以在系統托盤區看到防火墻的圖標了。在圖標上點擊右鍵,選擇“Run Administration Center”即可啟動管理中心。管理界面分為兩個主要區域,左側是各種主動防御功能的列表,右側則是羅列防御規則的區域(圖2)。
小試牛刀
首先,我們來定義一條“記事本不能向Windows文件夾中寫入數據”的規則,在管理界面的左側依次選擇“File
Protection→Simple Rules(簡單規則)”,接著在右側點選“Add New Rule”,軟件會彈出一個分三步的向導框。
我們在第一步的“ S E L E C TO B J E C T ”處選擇“Wi n d owsDirectory”,并選取“ReadO n l y ”( 只讀),然后點選Next(圖3)。
第二步選擇“By Name”(按程序名稱),并在下拉列表中找到“Notepad”,接著取消選擇“Enable”這一單選框,表示禁止執行。
最后一步的配置默認即對所有的用戶生效,故不用更改。這樣,一條文件防御規則就配置完成了。
現在,我們啟動記事本進行測試,在向Windows文件夾保存文件時Tiny Firewall第一時間彈出了報警框,在選擇“Deny”(拒絕)后,記事本的寫入操作徹底失敗(圖4)。
防住流氓的第一步
接下來我們再訂制一條注冊表高級規則,禁止所有程序向HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run寫入或刪除任何值。
在管理中心依次選擇“SystemProtection→Registry→Add NewRule”,可以看到彈出的對話框比剛才的簡單規則要詳細得多。
在管理中心依次選擇“SystemProtection→Registry→Add NewRule”,可以看到彈出的對話框比剛才的簡單規則要詳細得多。其中,“Genernal”選單下可以填入規則名稱和優先級等(圖5);“Application”選單默認就是對所有程序有效,所以不必更改;在“Access”(訪問方式)中,我們把“Create”(創建)、“Write”(寫入)以及“Delete”(刪除)這三項操作全部改為“Prevent”(禁止),而右邊針對每項操作的報警方式全部保留“Ignore”(忽略,不報警)即可;在“Object”(對象)選單下選擇“RunKeys”,這個內置對象已經包括了我們剛才提到的兩個主鍵;其他選單無關緊要,保留默認設置即可。
OK,現在打開注冊表編輯器一試,在Run鍵下,無論是創建還是刪除操作均無法執行(圖6)。不僅是注冊表編輯器,現在任何使用API寫入注冊表的程序都不能更改在這些位置的數據了,流氓軟件自然也不例外,我們的規則生效了。
寫在最后
以上是兩個典型的主動防御規則配置示例,由于篇幅的關系,其他的規則配置方法在這里就不一一贅述了。Tiny Firewall的規則配置對于初次接觸的朋友們來說還是略顯繁瑣的,要慢慢摸索才能靈活運用。總之,你配置的規則有多嚴格,Tiny Firewall的防御力就能有多強大!
就算安裝了主動防御軟件,我們還是不能對日新月異的流氓手段掉以輕心。常常用Ghost備份系統是很必要的操作,有備無患嘛,即便是遇到再致命的攻擊在Ghost的幫助下也能輕松地恢復系統。所以,筆者建議Windows的用戶每一至兩周就完全備份一次操作系統,千萬不要為了偷懶而把常規的系統維護步驟省略掉。
本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。
