一招擊破你的電腦防御

最近，電腦安全領域可謂風生水起。以前只做安全輔助軟件的360公司推出了一款叫《360殺毒》的免費殺毒軟件，頓時使得不少老牌的商業殺毒軟件也爭先恐后地打起了免費牌，彼此間也展開了一場沸沸揚揚的商場口水戰。雖然我是一名閑得無聊的安全技術愛好者，但對于商業炒作始終提不起興趣。我只對如何攻破各種殺毒軟件和安全輔助軟件的防御系統著迷！別的不說，光把各安全廠商吹噓得固若金湯的軟件神話打破，就很有技術勝利的成就感，呵呵！本次，就請大家看看我是如何模擬病毒和黑客行為，來一招放倒這些安全軟件的吧！

小小文件夾，放倒《360安全衛士》

首先，拿很多電腦中都安裝了的《360安全衛士》開刀吧！試試能否一招放倒它。

啟動《360安全衛士》后，在上方工具欄中切換到“高級”項，選中里面的“360tray.exe”進程。看到它下方的進程中有一個名為“WS2_32.dll”的進程沒有？就是其后面還有Windows Socket 2.0等描述字樣的那個（如圖1）。讓我們記下“WS2_32.dll”這個名字，然后進入《360安全衛士》的安裝目錄（一般是“C:\\Program Files\\360safe”）。在安裝目錄中點擊鼠標右鍵，新建一個名為“WS2_32.dll”的文件夾，就大功告成了！

現在把系統任務托盤中的《360安全衛士》退出，再次運行它試試！看是不是不能啟動，彈出了一個錯誤提示的警告窗口（如圖2）？就這樣，新建一個小小的文件夾，就能搞死《360安全衛士》。其中的原因，我稍后解釋。

一波兩折，殺毒軟件奈我何

下面請出大名鼎鼎的殺毒軟件——《江民2008》和《卡巴斯基7.0》。之所以請它們兩位，是因為前者是國內老牌的殺毒軟件，后者是國際知名的殺毒軟件，各有其代表性。我測試的步驟與前面的基本相同，打開資源管理器分別進入這兩款殺毒軟件的安裝目錄，使用鼠標右鍵建立一個名為“WS2_32.dll”的文件夾。

結果——我可以告訴你，我失敗了！原因是這兩款殺毒軟件都拒絕我建立“WS2_32.dll”文件夾，這是它們的主動防御功能在起作用。此路不通，我換種思路：在資源管理器中不能建立文件夾，那就換到命令行下建立。具體步驟如下：先依次點擊菜單“開始→程序→附件→命令提示符”進入命令行窗口；再輸入“cd\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security7.0”命令進入《卡巴斯基7.0》的安裝目錄；最后用“md ws2_32.dll”命令創建文件夾，成功！

現在來檢查一下效果。把《卡巴斯基7.0》的監控程序退出，再重新運行它，結果無法運行，它失效了！同樣的方法，也適用于《江民2008》。為了證實這一漏洞對其他安全軟件也有影響，我還選擇了“趨勢”、“終截者”等安全軟件，結果一一應驗，全部中招！不過，由于我的條件有限，沒有測試最新的《卡巴斯基2009》，而更多的殺毒軟件和安全輔助軟件，有技術研究興趣的讀者朋友也可以用以上的方法去測試。

揭露真相，其實不是我的錯

大家都知道，電腦安全是不允許有任何短板的，一個小小的漏洞往往會造成很嚴重的后果。以上問題的關鍵，就出在“WS2_32.dll”描述中的那個Windows Socket 2.0！這說明“WS2_32.dll”是用于支持Internet和網絡應用程序所必需的動態鏈接庫文件。而如今的殺毒軟件和安全輔助軟件都毫無例外地整合了自動在線更新的功能，因此它們在運行時必然會調用該文件。

動態鏈接庫文件的調用順序，首先是訪問相關軟件的安裝目錄，其次才是系統目錄。在正常情況下，殺毒軟件和安全輔助軟件的安裝目錄中都不存在“WS2_32.dll”，因此這些軟件運行時只能從系統目錄中調用它（如圖3）。而在剛才，我人為地在這些軟件的安裝目錄中創建了一個與此文件同名的文件夾，則干擾了這些軟件對此文件的正常調用，從而導致調用出錯，軟件無法正常運行。

知己知彼，防患于未然

由于此漏洞的技術含量不高但破壞效果大，因而一旦被黑客或病毒利用，那我們電腦中由殺毒軟件和安全輔助軟件筑起的安全防線就會瞬間崩潰！

幸好，要防范它也比較容易。譬如使用《微點主動防御軟件》或《瑞星殺毒軟件》，它們就不受這個漏洞的影響。只要這兩款殺毒軟件的實時監控功能處于開啟狀態，那么任何在其安裝目錄中新建文件或文件夾的行為都會被即時攔截和拒絕。

《微點主動防御軟件》官方網址：http://www.micropoint.com.cn/

《瑞星殺毒軟件》官方網址：http://www.rising.com.cn/

而對于動手能力較強的人，只要把自己電腦中殺毒軟件和安全輔助軟件的監控措施設置到位，嚴格拒絕通過腳本或命令行的方式在其安裝目錄中創建文件和文件夾就行了。

雖然目前還未看到有黑客或病毒利用此漏洞興風作亂，但將來難以保證，因此我們還是早早提防為妙。