网络防火墙的种类有很多,但你的电脑适合用哪种呢?如果需要集木马防火墙和普通防火墙于一体的类型,不妨试试笔者最近使用的“风云防火墙”。它不但包括了数据包拦截、进程检测等网络防火墙的常规功能,还独创了很多功能,比如“数据包特征码拦截”、“检测隐藏进程和服务”、“密码保护功能”等。它们的出现将进一步保护电脑的安全运行,避免恶意程序的侵扰,下面我们就来看看它个性化的防护功能。
一、显示远程物理地址
现在的网络防火墙都有一项功能,就是对要求访问互联网的程序进程进行提示,询问用户是否允许该进程访问网络,风云防火墙自然也不缺这项功能。它不但可以连接进程的文件名称、文件版本、文件路径等,还可以显示出该进行使用的网络协议,以及显示出连接的远程IP地址和相对应的物理地址,让用户清楚地了解该连接情况,从而进行判断。
一天当笔者和一位网友聊天时,突然屏幕弹出一个提示窗口(如图1)。从图中我们可以清楚地看到,一个IE浏览器的进程请求访问网络。IE浏览器访问网络并没有什么奇怪的,但是它连接的地址“四川省德阳市”,以及端口“8000”引起了我的注意。我们知道,浏览器最常见的连接端口是80端口,8000端口最常见的是QQ服务端使用的端口,更加奇怪的是我并没有使用IE浏览器。毋庸置疑,我的IE浏览器被恶意程序“绑架”了。
二、数据包特征码拦截
当我正在琢磨IE浏览器被什么所挟持的时候,风云防火墙在任务栏的图标不停闪烁,并弹出一个气球提示(如图2),提示用户发现“远程控制-灰鸽子 VIP 2005”,以及它的进程、对方IP和端口,并且自动对这些发送的数据进行拦截。wWW.ItcOMputer.COm.CN通过对比发现这些信息和前面的信息完全相同,这样我就可以肯定IE浏览器是被灰鸽子木马所劫持了,因为灰鸽子木马使用了线程插入技术,正好将服务端程序的进程插入到了IE浏览器的进程之中。风云防火墙之所以能够进行如此准确的判断,是因为使用了独特的木马数据包特征码拦截技术,木马程序一旦被列入病毒库,无论如何加壳伪装都能加以拦截,因为这些都是该木马程序的基本特性。
三、确定加壳程序是否运行
确认是灰鸽子木马作祟后,马上运行金山毒霸的升级程序,准备将软件的病毒库更新到最新版本。可是当升级程序启动后,防火墙马上又弹出了一个提示窗口(如图3),由于很多木马程序都进行了加壳处理,而风云防火墙全新智能的侦测、拦截、询问已知加壳的程序的运行功能,能够让用户安全确定加壳程序的运行是否安全,避免木马程序的运行。由于该升级程序通过UPX加壳程序进行了加壳处理,所以防火墙同样弹出了一个提示窗口。
四、检测隐藏进程和服务
使用最新版本的金山毒霸对系统进行扫描,但是并没有检测出一个病毒文件,看来这个灰鸽子木马是刚刚发布的最新版本,只有通过手工方式进行检测了。双击任务栏中的风云防火墙图标,弹出程序的操作主界面。
点击“特洛伊检测”选项中的“进程查壳”命令,防火墙程序会自动对系统中当前使用的进程进行检测,同时还能检测出隐藏的进程,并且可以对进程进行定位、查看属性、终止进程等一系列操作。经过检测,发现系统中一共有26个进程,并且发现1个隐藏的进程。这个隐藏的进程会被防火墙红色高亮加以显示,而这个隐藏的进程正好就是被灰鸽子木马利用的IE浏览器进程(如图4)。选择这个被利用的进程,点击“终止选中进程”按钮即可结束它。
下面我们来检测木马的启动项,点击“系统启动项”中的“服务启动项”命令,因为在Windows XP系统中,灰鸽子木马是利用系统服务进行启动的。同样,防火墙可以对隐藏的系统服务进行检测,使隐藏服务的木马无处隐藏、瞬时显现,并通过红色高亮进行显示。最终检测到一个隐藏的服务,正好就是灰鸽子木马的启动项,并且通过该服务所指的“路径”找到了木马的路径。可以看出,黑客将灰鸽子木马伪装成系统进程svchost.exe。选择这个木马的启动项服务,点击“删除选定”按钮将这个启动服务删除。然后按照路径所指,找到木马的服务端程序并删除,最终通过手工的方式清除掉灰鸽子木马。
五、其它功能
除了上面检测木马时所使用的功能外,风云防火墙还包括其他很多优秀的功能,密码保护功能就是其中的一项。防火墙通过对WH_KEYBOARD、WH_JOURNALRECORD、WH_GETMESSAGE、SendMessage等常用的钩子函数进行彻底地拦截,防止木马程序通过键盘记录功能对用户的网银、网游等账户信息进行记录,进而被黑客所窃取,造成用户经济、精神上的多重损失。
From:http://www.itcomputer.com.cn/Article/Software/201309/780.html