高手愛嘗鮮防身“魔法盾”

痛并快樂著

說到國內知名的優化軟件《超級兔子》，我想大家一定不會感到陌生。最近我發現，《超級兔子》又開始涉足系統安全領域，推出了“魔法盾”功能模塊。它是不是真的能給我們的系統帶來全方位防護呢？試試看吧！初識“魔法盾”

“魔法盾”是《超級兔子》新版本中的一個功能模塊，在安裝《超級兔子》時，需要勾選“魔法盾”的復選框，才能將它安裝到系統中。

安裝完成，在《超級兔子》主界面中點擊“時刻全方位保護系統”（如圖1），即可打開“魔法盾”了。

基本安全管理

點擊“魔法盾”窗口中的“進程管理器”，可以立即查看到當前系統的進程信息。程序以進程樹的形式，將不同類型的進程信息進行了清晰地劃分（如圖2）。這樣，想要找出可疑進程就會很方便了。

在工具欄中，“魔法盾”還提供了“結束進程”、“查找模塊”等功能，這些功能在我們手工查殺以線程插入方式加載的惡意文件時，會顯得非常有用。

現在很多惡意程序，都會先悄悄地關閉安全軟件，然后再在系統中肆無忌憚地作惡?，F在“魔法盾”可以對付它們了。

點擊“選項”中的“密碼保護”標簽，將“請選擇需要密碼保護的功能”中的“退出程序”和“關閉程序”選中，然后在“密碼驗證”中設置密碼。這樣，在關閉程序時“魔法盾”就會自動彈出密碼窗口。如果你不輸入正確的密碼，那程序就無法被關閉了。

主動防御功能

“魔法盾”和其他HIPS軟件一樣，也是通過設置各種相應的安全規則，實現對系統的主動保護。一旦有程序在運行過程中觸發了安全規則，“魔法盾”就會彈出提示要求用戶審核。這樣，未經允許的操作將全部被它擋住，無法對系統產生作用。

“魔法盾”中，已經預置了最常用的安全規則?？紤]到用戶需求的不同，程序還準備了“普通模式”和“學習當前模式”兩套系統保護方案。在實際應用中，只要通過“系統保護”標簽中的“切換模式”，就可以在不同的模式之間進行切換。為了避免誤操作所導致的安全級別變動，我們還可以將它切換到“鎖定模式”中去，這可是很貼心的設計喲！

下面，我們來看看，如何對“魔法盾”中的安全規則進行個性化的調整。

首先，在右側窗格中找到要調整的安全模塊，比如應用程序保護、注冊表保護、文件保護等。然后點擊后面的“設置”按鈕，在彈出的窗口進行該模塊的具體設置。比如選擇注冊表保護選項，那么在彈出窗口可以看到諸如系統自動運行、文件類型關聯等規則組。接著，選擇你要修改的規則，就可以在右側選項窗口中對攔截設置進行改動了（如圖3）。

經過觀察，我發現“魔法盾”并沒有針對系統服務的監控規則，正好自己來手工創建一個。選擇“系統自動運行”選項后，點擊右側窗口中的“添加注冊表”按鈕，然后在彈出的“選擇注冊表”窗口的“注冊表路徑”中，通過注冊表界面依次選擇系統服務的路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”，然后在“注冊表名稱”中用通配符*表示任意名稱，點擊確定按鈕完成添加工作（如圖4）。最后選擇剛剛添加的注冊表路徑，在右側的“攔截操作”里面進行設置即可。另外通過自己創建規則，還可以對木馬病毒常見的破壞行為（比如它們對殺毒軟件等進行映像劫持操作）進行攔截。

除了上面的這些以外，點擊“選項”按鈕中的“系統保護”標簽，然后點擊“全局保護設置”鏈接。在彈出的窗口也可以根據需要進行保護設置（如圖5）。寫到這里忍不住還是要提點意見：每次有程序觸發安全規則，“魔法盾”都會跳出來詢問用戶。但是，要讓普通用戶判斷被攔截到的是不是惡意程序，往往是比較困難的。如果“魔法盾”的判斷能更加智能就好了。

沙盤技術的應用

有時我們下載的軟件包中，可能捆綁有木馬程序或流氓軟件。有經驗的用戶常常會使用虛擬機或影子系統來對下載的軟件包進行驗證。可是對于普通用戶來說，也很難通過這些方式發現危險。

而“魔法盾”提供的沙盤技術，可以在一個虛擬的空間中，嚴格地監控對應程序的運行。它對虛擬系統所作的任何操作，都會一目了然地展現在我們面前。

在使用沙盤功能前，我們先得點擊“魔法盾”的“選項”按鈕，選擇“任務隔離區”中的“隔離區文件保存目錄”設置虛擬空間的存放位置。接著勾選“將魔法盾EQSecure整合到資源管理器”（如圖6），以便隨時調用。

以后如果要測試某個文件的話，只需要在文件上右擊鼠標右鍵，選擇“EQSecure E盾”中的“在任務隔離區中運行”命令。這時該文件就會像通常那樣正常運行，等文件運行完畢以后，我們可以像在正常系統那樣進行操作。然后再選擇“魔法盾”中的“任務隔離區”選項，并且點擊窗口中的“瀏覽隔離區數據”鏈接。這時由該文件所生成的文件以及注冊表信息，便會一目了然地出現在我們面前了（如圖7）。有了這個功能，以后那些歹人再想騙我們運行捆綁有木馬的文件，可就沒有那么容易了！

我們還可以點擊“任務隔離區”選項中的“＋”號，手工添加需要監控的文件。比如將瀏覽器程序文件添進這里，以后這個瀏覽器上網產生的所有信息，都只會出現在虛擬空間中（如圖8），這就不必再擔心網頁木馬了。

通常情況下，隔離區中的內容將一直保存，不會像影子系統那樣在重新啟動后消失掉。而點擊工具欄中的“清空”按鈕，則可以將緩存信息等從虛擬空間中手工清除。

總結

通過上面的介紹，我們看到“魔法盾”采用了目前兩種最流行的防護方法。因此無論是在真實系統中，還是虛擬的沙盤系統里面，都可以有效防范絕大多數惡意程序。

不過我也同時發現，“魔法盾”還存在著一個比較大的問題——系統資源的占用率過高。希望在以后的版本中，這個問題能得到妥善的解決。