小鬼當差，黑客莫進

大家一定看過電影《小鬼當家》，劇中的“小鬼”同一伙盜賊斗智斗勇，最終將他們抓獲，保護了自己的家園。今天，我們也請位“小鬼”來看家。

今天筆者要為大家介紹的“小鬼”的來頭可不小，這款網路防火墻就是灰鴿子工作室開發的《小鬼當差》，沒被嚇著吧，有膽量嘗試下嗎？

《小鬼當差》不但小巧精悍，而且是完全免費的綠色軟件，下載解壓后直接運行Xiaogdc.exe就可以啟動防火墻了。啟動后，“小鬼”縮小到系統欄里立即開始工作。在該圖標上點擊鼠標右鍵，在彈出的菜單中選擇“系統設置”命令來配置防火墻（圖1），下面就來看看“小鬼”的厲害之處。

別把我的賬號偷偷帶走

很多惡意程序，為了盜取用戶的賬號密碼，都編寫了專門記錄鍵盤操作的鉤子插件。“攔截探測密碼等操作”和“啟用鍵盤鉤子防火墻”這兩項功能都是為了保護系統中的賬號密碼設置的。“攔截探測密碼等操作”可以保護當前系統中所有密碼框中的密碼不被第三方軟件探測取走，默認是選擇了的。

惡意程序在盜取了用戶的賬號密碼后，通常會通過電子郵件將獲取的內容發送到指定的信箱。通過“啟用郵件發送防火墻”功能就不怕了，當有程序發送郵件時，防火墻就會彈出提示框（圖2 ），讓用戶選擇是否允許發送郵件，這樣就可以很好地防范那些專門盜竊密碼并發送到遠程用戶信箱的擊鍵程序，使正常的郵件發送不受影響。

鍵盤鉤子要明辨忠奸

“啟用鍵盤鉤子防火墻”可以在有程序啟動鍵盤鉤子時彈出提示框，讓用戶判斷是否允許安裝鍵盤鉤子（圖3），《小鬼當差》支持對WH_KEYBOARD，WH_JOURNALRECORD類型的鍵盤鉤子的攔截。但是，有的程序在使用快捷鍵、老板鍵的時候，也會調用鍵盤鉤子函數(圖3)。

由于“HyperSnap-DX 5”是一個截圖軟件，筆者要使用快捷鍵進行截圖，所以就要防火墻通過“鍵盤記錄”功能。點擊一次“添加規則”按鈕，同樣在“程序進程”中設置該程序的路徑，然后在“操作類型”中選擇鍵盤記錄，最后點擊“允許”選項后增加即可。

還可以通過“過濾規則”對每個進程進行編輯和配置，例如，我不想讓“HyperSnap-DX5”這個程序訪問網路，就在“程序進程”中設置該程序的路徑，并在“操作類型”中選擇連接網路，然后點擊“禁止”選項，再點擊“增加”按鈕（圖4）。

大義滅親

很多人對“灰鴿子”聞名心驚，那么“小鬼”能防住這個師出同門的師兄嗎？很多木馬都采用了線程插入技術，灰鴿子也使用這個技術，最常見的就是將木馬服務端程序插入到IE瀏覽器或資源管理器的進程中。

這兩個進程是系統進程，而《小鬼當差》默認允許系統進程訪問網絡，為了避免他們被木馬程序所利用，可以在“過濾規則”中禁用IE瀏覽器的規則刪除或者，這樣即使IE瀏覽器被木馬利用，也無法連接到互聯網被黑客利用。所以，只要將這個規則打開，“灰鴿子”也會被攔截。

另外，《小鬼當差》現在還不能自定義數據包過濾規則，但程序本身已經內置了一些規則，比如我們可以對QQ發送信息進行過濾（圖5）。

《小鬼當差》畢竟還小，存在一些不足，現在它暫時還不能作為一款真正的防火墻，而只能作為一款輔助性的個人防火墻，說它對一些木馬的針對性比較強，是一個很好的補充。如果作者能不斷改進，假以時日，“小鬼”定能成材。

小知識

鉤子

鉤子是Windows中消息處理機制的一個要點，通過安裝各種鉤子，應用程序能夠設置相應的子例程來監視系統里的消息傳遞以及在這些消息到達目標窗口程序之前處理它們。鉤子的種類很多，每種鉤子可以截獲并處理相應的消息，如鍵盤鉤子可以截獲鍵盤消息，鼠標鉤子可以截獲鼠標消息，外殼鉤子可以截獲啟動和關閉應用程序的消息，日志鉤子可以監視和記錄輸入事件。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。