殺毒軟件功能全模擬

引言：網絡中的病毒木馬，即使專業水平再高的工作人員，有時也不能幸免攻擊。為上網安全，很多人使用殺毒軟件，現在某些殺毒軟件動輒推送一些通知，誘惑用戶收費升級，這雖然可以增加一些新的安全功能，但是它們中的大多數都能通過系統配置免費獲得！本文就對殺毒軟件一些安全功能進行全模擬，愿大家能從中受到啟發。

Internet網絡中既有日暖風香，也有狂風暴雨，網絡中瘋狂傳播的病毒木馬，讓人們對 Internet“愛之深、責之切”，即使專業水平再高的工作人員，有時也不能幸免病毒木馬的攻擊。為了讓上網安全無憂，很多人使用殺毒軟件作幫手，網絡安全的確得到了有效保障。然而，現在某些殺毒軟件動輒推送一些通知，誘惑用戶收費升級，這雖然可以增加一些新的安全功能，但是仔細推敲之后不難發現，它們中的大多數都能通過系統配置免費獲得！本文對殺毒軟件一些安全功能進行全模擬，希望大家能從中受到啟發。

模擬上網控制功能

某些殺毒軟件的收費版本支持上網控制功能，合理利用該功能，可以對單位內網中的特定帳號用戶上網時間進行按需控制，確保內網上網安全穩定。其實，這種上網控制功能，完全可以通過系統自身力量模擬獲得。

圖1 設置向導

例如，要想讓本地系統中的標準用戶帳號每上網一小時后，自動斷開網絡連接時，可以進行如下設置操作：首先用鼠標右擊桌面上的“計算機”圖標，從右鍵菜單中選擇“管理”命令，切換到計算機管理窗口，依次展開該窗口左側區域中的“系統工具”、“事件查看器”、“Windows日志”、“系統”節點上，在“系統”節點右側區域處，找到系統開機事件，也就是ID標識為“12”的 事件記錄。用鼠標右鍵單擊該記錄選項，從彈出的快捷菜單中，單擊“將任務附加到此事件”命令，展開任務計劃創建對話框。

在這里將任務計劃名稱輸入為“控制上網連接”，當出現如圖1所示的向導提示時，勾選“Start a Program” 選項，單擊“Next”按鈕； 下面 單 擊“Browse”按 鈕，從彈出的文件選擇對話框 中，將“C：WindowsSystem32Netsh.exe”文件選擇并導入進來，同時將該文件參數設置為“Interface Set Interface‘本 地 連接’Disabled”，該參數作用主要是切斷本地系統的網卡連接，以達到控制上網連接目的，最后單擊“Finish”按鈕完成設置操作。

將鼠標定位到“系統工具”、“任務計劃程序”、“事件查看器”節點上，打開該節點下對應事件的設置對話框。選擇“觸發器”標簽，進入對應標簽設置頁面，勾選“發生事件時”選項，單擊“編輯”按鈕，選中其后界面中的“延遲任務時間”選項，并將延遲時間設置為“60分鐘”，“確認”后保存設置操作。如此一來，任何用戶以標準帳號登錄進入本地系統后，上述事件任務都會自動觸發運行，那么該用戶在上網訪問1小時后，對應系統的網卡設備將會被強行禁用掉，這時本地系統自然就無法繼續上網連接了。

模擬訪問攔截功能

支持個性化的訪問攔截，避免惡意連接偷偷進入服務器或其他重要系統，是許多收費版殺毒軟件對外兜售的一個重要“賣點”。實際上，要保護重要主機或服務器中的隱私安全，避免惡意用戶連接并進入其中，只要使用好Windows系統內置的防火墻就行。比方說，需要禁止任何用戶通過外網連接重要主機系統時，我們完全可以在重要主機系統中通過定義防火墻入站規則，來達到這種控制目的。

圖2 高級防火墻設置

對于連接了外網的重要主機系統來說，要想攔截惡意用戶對它的連接訪問，可以配置防火墻規則，讓其切斷所有入站連接。依次單擊“開始”、“運行”命令，彈出系統“運行”對話框，輸入字符串命令“secpol.msc”，單擊“確定”按鈕，打開重要主機系統的本地安全策略控制臺窗口。

在該窗口左側顯示區域，將鼠標定位在“安全設置”、“高級安全Windows防火墻”節點上，通過雙擊鼠標方法，進入如圖2所示的高級防火墻屬性對話框。選擇“公用配置文件”標簽，在對應標簽設置頁面中，將防火墻狀態設置為“啟用”，將入站連接設置為“阻止所有連接”，將出站連接設置為“未配置”，單擊“應用”按鈕讓設置正式生效。同樣地，依次切換到“域配置文件”標簽頁面、“專用配置文件”標簽頁面，將防火墻狀態啟用起來，同時將入站連接選擇為“阻止所有連接”。完成上述設置任務后，惡意用戶就不能從外網連接訪問重要主機系統中的任何隱私數據了。

當然，上述設置有點極端，容易造成合法的遠程桌面連接、局域網訪問不能成功。為了保證正常工作不受影響，我們在進行了上述設置操作后，將鼠標定位到高級安全防火墻下的“入站規則”節點上，打開它的右鍵菜單，單擊“新建規則”命令，在其后彈出的“新規則創建”對話框中，為正常的網絡連接設置允許入站規則，這樣就能達到安全于工作兩不誤的目的。

模擬假冒識別功能

伴隨在線支付的興起，針對在線交易進行的網絡詐騙現象層出不窮，例如許多網站通過虛假購物、虛假中獎、虛假廣告等方式進行網絡釣魚假冒詐騙。為避免假冒詐騙現象，現在很多殺毒軟件的收費版，開始集成假冒偽劣發現功能，通過識別釣魚網站的技術來拒絕訪問存在假冒偽劣現象的惡意站點。其實，對付這些假冒詐騙現象，只要使用IE8以上版本瀏覽器內置的“SmartScreen篩選器”功能（相關功能在其他類型瀏覽器中也存在），同樣能模擬出收費殺毒軟件的假冒識別功能。

當使用IE8以上版本瀏覽器嘗試訪問某個疑似釣魚網站時，如果該網站已經被微軟公司的惡意網站數據庫記錄，那么“SmartScreen篩選器”功能就會自動打開阻止對話框，提醒用戶謹防假冒詐騙。當然，IE8以上版本瀏覽器的“SmartScreen篩選器”功能還沒有被開啟的話，我們不妨在IE瀏覽器窗口中依次單擊“安全”、“SmartScreen篩選器”，打開“SmartScreen篩選器”選項，就能開啟該功能了。

微軟公司惡意網站數據庫收錄的內容往往有一定的時間延遲，也就是說“SmartScreen篩選器”功能有時不能自動識別出某個網站究竟是否是釣魚網站，這個時候我們可以根據訪問現象，自己判斷陌生網站是否存在釣魚現象，一旦確認該網站也是釣魚網站的時候，必須及時向微軟公司在線匯報，謹防其他用戶再次上當受騙。在匯報不安全站點時，可以在IE瀏覽窗口中，依次點選“安全”、“SmartScreen篩選器”、“報告不安全網站”選項，之后在如圖3所示的頁面中設置好報告內容。

圖3 反饋設置

當然，假冒詐騙有時還會用虛假鏈接的方式誘導用戶，一旦用戶隨意點擊了這個虛假鏈接，不但會被引誘到其他惡意網站中而造成數據隱私的外泄，而且還可能直接遭遇病毒、木馬的襲擊。因此，預防這類假冒詐騙現象最有效的辦法，就是不主動點擊任何陌生的網頁鏈接，要是實在無法避開必須訪問的頁面時，可以使用專業掃描工具進行安全測試。

對于安全要求較高的一些在線交易操作，為了更好地防止誤入假冒詐騙陷阱，不妨在訪問了真實的在線交易站點后，及時將其手工添加到瀏覽器收藏夾中，日后再次交易時直接通過收藏夾進入在線交易頁面。安全、可信的在線交易頁面，幾乎都是以“HTTPS”協議作為前綴的加密頁面，同時在初次訪問時都要進行安全控件下載安裝操作，在對應頁面的地址框中，應該會出現安全證書標識，點擊之后能訪問到站點的證書內容，也能從這些細節中識別出假冒偽劣的在線交易站點。

模擬Ping防護功能

大家知道，惡意用戶使用Ping命令，反復地、大量地向局域網中重要主機或服務器系統發送數據測試信息，可以急劇消耗對應系統的CPU資源以及內存資源，從而導致重要主機或服務器系統無法及時回應出現癱瘓現象。為了避免非法Ping命令攻擊，管理員往往只要在局域網重要主機或服務器系統中安裝專業的收費安全工具，進入到相關功能界面，勾選“不允許別人用Ping命令探測本機”之類的功能選項即可。當然，如果我們不想使用專業殺毒軟件的收費功能時，也能通過Windows系統內置防火墻程序，來模擬Ping攻擊防護功能。

如在Windows Server 2008服務器系統中模擬Ping防護功能時，先以超級用戶身份登錄服務器系統，在該系統桌面中逐一單擊“開始”、“所有程序”、“管理工具”命令，從彈出的管理工具列表窗口中雙擊“高級安全Windows防火墻”圖標，打開如圖4所示的Windows Server 2008服務器系統的高級安全防火墻界面。

接著將鼠標定位到該界面左側顯示區域中的“入站規則”節點上，再單擊操作列表區域處的“新規則”選項，屏幕上將會自動彈出新建入站規則向導對話框。依照向導提示，將新建防火墻的規則類型設置為“自定義”選項，當屏幕要求我們指定與該防火墻規則保持匹配的應用程序完整路徑時，選中“所有程序”選項，將該新建防火墻規則協議類型設置為“ICMPv4”，并從低端口下拉列表以及遠程端口下拉列表選中“所有端口”，再將這個新創建的防火墻規則調整為“匹配所有IP地址”，最后勾選“阻止連接”選項，“確認”后執行設置保存操作。這樣，Windows Server 2008服務器系統就具有了Ping攻擊防護功能，惡意用戶即使使用“ping -1 65500 -t xx.xx.xx.xx”之類的字符串命令（“xx.xx.xx.xx”為服務器IP地址），來實施攻擊操作，服務器系統運行性能一點也不會受到影響。

圖4 高級安全防火墻界面設置

圖5 向導設置對話框

模擬下載限制功能

為防止某些惡意用戶通過FTP程序利用默認開放的21端口，對局域網中的服務器系統進行上傳、下載操作，現在一些殺毒軟件的收費功能已將下載限制包含其中。其實，善于使用Windows系統的高級防火墻功能，生成一個限制21端口連接的入站出站規則，達到模擬下載限制功能的目的。

例如，要讓Windows Server 2008服務器系統禁止使用下載功能時，只要先進入系統高級防火墻配置界面，選中“入站規則”選項，右擊打開“新規則”命令，展開“入站規則新建向導”對話框。勾選“端口”選項，按“下一步”按鈕，切換到如圖5所示的“向導設置”對話框。接著逐一選中“TCP”選項、“特定本地端口”選項，并輸入默認下載端口號碼“21”，點擊“下一步”按鈕；當高級防火墻配置向導詢問用戶要執行何種操作時，選中“阻止連接”選項，之后選中“域”或“公用”、“專用”選項，最后指定好安全規則名稱，點擊“完成”按鈕退出向導對話框，這樣服務器系統就會禁止來自21端口的上傳操作了。按照相同方法再生成一個出站規則，禁止來自21端口的下載操作。