為系統(tǒng)打造一個(gè)無毒的空間

從云查殺到文件鑒定技術(shù)，現(xiàn)在的殺毒軟件會(huì)推出花樣百出的新技術(shù)，不過它們中的絕大多數(shù)都是通過病毒數(shù)據(jù)庫的對比達(dá)到查殺的目的，所以面對利用0day漏洞或是還沒被發(fā)現(xiàn)的病毒變種時(shí)，就會(huì)失去防御能力。“無毒空間”使用了一套新的基于內(nèi)核白名單的防范系統(tǒng)，不但節(jié)約了大量系統(tǒng)資源，而且跟其它主動(dòng)防御軟件相比，無毒空間不存在誤判漏判的問題。

設(shè)置操作

在安裝的過程中，軟件會(huì)提示用戶“請選擇需要掃描的驅(qū)動(dòng)器”，此處按照默認(rèn)勾選全部磁盤即可（如圖1）。接下來安裝程序就會(huì)對計(jì)算機(jī)系統(tǒng)進(jìn)行文件夾目錄及文件的免疫識(shí)別，以區(qū)別那些以后新安裝的程序文件。

在系統(tǒng)托盤上找到軟件圖標(biāo)，點(diǎn)擊鼠標(biāo)右鍵并選擇“詳細(xì)記錄/分析”選項(xiàng)，并在彈出菜單中勾選“隱藏已簽名程序”和“過濾知名廠商（自動(dòng)）”的選項(xiàng)。另外在過濾輸入框中設(shè)置要過濾的關(guān)鍵詞，不同的關(guān)鍵詞需要用分號分隔，設(shè)置完成以后直接回車就可以完成設(shè)置操作并掃描。掃描完成以后如果列表中沒有任何信息，那么就證明你的系統(tǒng)是非常安全的。

分析可疑文件

如果列表中存在某些文件的話，那么就要看“提示信息”這欄中的信息（如圖2）。需要注意的是標(biāo)識(shí)為“認(rèn)證未通過”的文件未必是病毒木馬，也可能是某些程序剛更新的文件；如果標(biāo)識(shí)為“非windows文件”的文件，那么說明這些文件是微軟公司的程序，但是卻不能通過微軟簽名的認(rèn)證程序，許多病毒木馬都喜歡冒充微軟的程序，所以“非windows文件”的文件是病毒的可能性比標(biāo)識(shí)為“認(rèn)證未通過”的文件更大（當(dāng)然光憑經(jīng)驗(yàn)是不可靠的，用戶還需要對這些可疑文件進(jìn)行專業(yè)的驗(yàn)證）。

接下來右鍵單擊文件并選擇“上傳”，這時(shí)軟件就會(huì)把可疑文件上傳到過最新的病毒庫對文件進(jìn)行分析掃描，所以可以比較全面的對上傳文件進(jìn)行分析。如果這個(gè)文件的確是病毒文件的話，那么返回到軟件的分析列表中，選中被判定為是病毒文件的那個(gè)文件名稱。用戶可以直接將其刪除，或是鼠標(biāo)右鍵選擇“禁止”命令讓該程序無法運(yùn)行。

攔截文件

通過分析掃描和文件清除，用戶創(chuàng)建了一個(gè)無毒的系統(tǒng)環(huán)境，不過自己的系統(tǒng)畢竟不是一成不變的，在安裝新的軟件時(shí)就需要攔截可疑文件。如果用戶知道自己的軟件是絕對安全的，那么直接點(diǎn)擊“知道了”即可（如圖3），這時(shí)軟件會(huì)將新文件收錄下來，將來再運(yùn)行的時(shí)候就不會(huì)提醒。

當(dāng)無毒空間發(fā)現(xiàn)不熟悉的文件運(yùn)行時(shí)，就會(huì)使用氣泡來提醒用戶注意這些文件的運(yùn)行，彈出這個(gè)提示窗口就說明有病毒木馬運(yùn)行。這時(shí)就需要點(diǎn)擊“查看詳情”按鈕，可以順藤摸瓜找到病毒文件的目錄，從而將還沒有運(yùn)行的病毒木馬就地刪除。不過這里要提醒用戶一下：有的病毒木馬或者流氓軟件，是和程序的安裝文件捆綁在一起的。所以一旦提示窗口顯示的是“未知廠商”，或者顯示的是和運(yùn)行軟件出品商不同的廠商名稱，就說明軟件捆綁了第三方插件，需要用戶酌情取消安裝或更換安裝程序。

體驗(yàn)感受

雖然從功能上講，無毒空間在各種殺毒套裝程序面前還略顯單薄，但是它的防毒效果卻是釜底抽薪的：由于惡意程序的特殊使命，為避免用戶發(fā)現(xiàn)，它們必然使用偷襲戰(zhàn)術(shù)，但這些招數(shù)在無毒空間的監(jiān)測下完全無效，用戶只要看見無界面的程序悄悄執(zhí)行，就能及時(shí)發(fā)現(xiàn)惡意程序的活動(dòng)蹤跡，再輔以無毒空間提供的啟動(dòng)分析、上傳檢測及禁止執(zhí)行等技術(shù)手段，完全可以將病毒木馬等惡意程序撲殺在搖籃里。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文