HIPS：安全好搭檔

很多HIPS安全軟件使用了復雜的規則，讓沒有經驗的用戶難以熟練掌控，而且其頻繁的彈出警告窗口，會讓人感到有些繁瑣。

巧設暗哨 化解危機于無形之中

使用DefenseWall這款人性化的安全軟件，就可以避免上述弊端，無需升級其特征庫，不需要高超的使用技巧，無需頻繁的面對攔截窗口，就可以最大限度地抗擊病毒、木馬等惡意程序的攻擊。簡單易用堪稱DefenseWall最大特點，安裝之后無需任何配置就可以保護系統安全了。

圖1 Defense Wall主界面

例如，當某款木馬試圖侵入系統時，對系統進行的所有破壞均被DefenseWall化解，用戶幾乎無需參與，該木馬就已經束手就擒了。在系統托盤中雙擊DefenseWall圖標，在其主界面（如圖1所示）中點擊“Event Log”按鈕，可以查看監控信息，對其進行簡單的分析，可以看到，該木馬試圖在各磁盤根目錄下創建名為“Autorun.inf”和“wmidx.exe”的文件，其中的“wmidx.exe”就是木馬文件，“Autorun.inf”則指向該文件，如果用戶雙擊了磁盤就會激活木馬，同時該木馬會對注冊表進行惡意修改，包括添加啟動項允許木馬自動運行、禁用任務管理器、破壞安全模式讓用戶無法對其清除、禁用系統自動更新、鎖定IE主頁、禁止顯示隱藏文件等。

為了逃避殺毒軟件追捕，該木馬還在注冊表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”分支下針對常用的殺毒軟件，創建了映像劫持項目，讓這些殺毒軟件無法順利運行，同時在系統路徑釋放了一些可疑文件等。不過這些伎倆沒有逃過DefenseWall的眼睛，不僅逐一破解了木馬的所有破壞行為，而且將其行蹤徹底暴露在用戶面前。用戶只需點擊“Stop attack”按鈕，之后點擊“File and registry tracks”按鈕，在彈出窗口中選擇病毒創建的文件或者注冊表項目，點擊“Rollback to”按鈕將其逐一刪除，就可以讓其徹底消失。

一般基于沙盤技術的安全軟件，都會創建一個虛擬環境，讓指定的程序在其中活動，使其無法接觸到真實的系統，從而避免危險的發生。DefenseWall的運 模式與之不同，在其眼中程序分為信任和非信任兩大類，非信任程序運行在一個虛擬的空間，但是程序之間并沒有隔離，只是和系統中的信任空間隔離開，其權限會受到一定的控制。DefenseWall不會監控信任程序，而只對非信任程序進行監控。DefenseWall并沒有大量使用虛擬技術，放行的文件操作都是在真實的文件系統中進行。在默認狀態下，DefenseWall運行在常規模式下。在其菜單上點擊“Expert Mode”項可以進入專家模式。在DefenseWall主界面中點擊“Untrusted Applications”按鈕，在非信任列表（如圖2所示）中可以看到其預設了一些常用的程序，例如IE、tftp.exe等，對于非信任程序來說，其調用的程序或者常見的文件都被DefenseWall視為非信任對象，利用其中的按鈕，可以執行添加（包括進程、文件等）、刪除、標記為信任、激活/禁用、移動、排除等操作。

圖2 管理非信任程序

對于可疑程序來說，可以在其右鍵菜單上點擊“DefenseWall HIPS”→“Change status to untrusted”項，將其添加到非信任列表中，也可以點擊其中的“Run as untrusted”項，讓其以非信任身份運行，全程受到DefenseWall的監控。如果發現其有不軌行為，DefenseWall會自動對其進行攔截。當然，在安裝某些合法的軟件時，如果因為DefenseWall的保護作用而出錯的話，可以點擊上述菜單中的“Run as trusted”項，讓其自由運行。對于文件夾和磁盤來說，也可以在其右鍵菜單點擊上述“Run as untrusted”項，來安全將其打開，防止遭到“Autorun.inf”之類文件的攻擊。對于非信任的程序來說，DefenseWall可以防止其修改可執行文件、進程間通訊、修改系統重要文件、增加或者修改啟動項、驅動文件和系統服務、修改桌面和瀏覽器設定、插件和擴展、全局鉤子、注入信任進程、截屏等具有威脅性的操作。為了發揮非信任區的威力，應該將所有可能被病毒利用的途徑全部添加進來。

當然，為了避免DefenseWall對常見的操作造成影響，可以根據需要在其菜單中點擊“Disable Protection”項，暫時禁用其保護功能，之后及時將其激活即可。對于高級用戶來說，需要開啟DefenseWall的警報功能，在其主界面中點擊“Advanced” 和“Options”按鈕，在彈出窗口中勾選“Alarm notification via tray icon”項即可。點擊“File and Registry Protection Excludes”項，可以將選定的文件或者注冊表項目排除在保護范圍外；點擊“Secured Files”按鈕，可以將文件放在安全區中，非信任程序將無法訪問這些文件；點擊“Download Areas”按鈕，可以設置保存下載文件的目錄，讓各種下載工具順利保存文件。對于下載區中的文件來說，非信任程序可以對其進行訪問或者修改操作；點擊“Password Protection”按鈕，可以為DefenseWall設置保護密碼；點擊“Resource Protection”按鈕，可以針對不同的非信任程序，額外地添加需要保護的文件、文件夾或者注冊表路徑，例如將密碼文件、注冊信息等敏感數據保護起來，讓非信任程序無法對其進行訪問。當然，如果DefenseWall攔截到高級鍵盤記錄動作，會自動彈出攔截窗口，讓用戶進行決斷。除了抗擊一般的病毒外，DefenseWall還可以對付狡猾的NTFS數據流病毒、RootKit病毒等。

保護系統安全的“小尖兵”

現在的安全軟件雖然功能強大，可是操作起來并不簡單，不斷彈出的各種警告攔截窗口不免讓用戶產生抱怨。其實，使用小狐貍防護系統這款小巧的綠色軟件，就可以有效保護系統安全，而且其運作模式更加智能和安靜。將該軟件解壓后，運行其中的“Yasbox.exe”程序，就可以讓其為您服務了。在其主界面中顯示進程列表信息，進程其實是具有不同的運行權限的，針對不同的進程設置不同的權限，對于系統安全關系重大。

在列表中選擇目標進程，在其右鍵菜單中點擊“查看進程權限”項，在彈出的窗口（如圖3所示）中可以按照窗口、進程/線程、內存、注冊表、文件系統、其他等類別，進行不同權限的設定操作。

圖3 管理進程權限

注意：其中的某些權限不要選用，以免對系統構成威脅，例如在“窗口”欄中不要選擇“鍵盤鉤子”項，防止其盜取輸入的敏感信息（賬戶密碼等）；在“進程/線程”欄中不要選擇“遠程線程”項，避免其非法注入其他合法進程；在“文件系統”欄中不要選擇“創建文件”和“IO控制碼”項，避免執行其非法修改其他文件或者創建不法文件等操作。

不管病毒、木馬等惡意程序多么狡詐，要想對系統造成破壞，其必須獲得運行權，只要對其活動進行監控和攔截，病毒就會無計可施。在窗口左側點擊“系統設置”按鈕，在彈出窗口中的“其他設置”欄中建議勾選所有的項目，例如運行進程時詢問、加載驅動時詢問、運行非數字簽名進程時詢問、可以感染文件運行時詢問等項目，來最大限度地降低病毒的危害。在“信任進程”列表的右鍵菜單中點擊“添加”按鈕，可以將信任的程序添加進來。在其下列表中按照同樣的方法，可以將不受信任的程序添加進來。這樣，可以構建信任和非信任文件列表。對于非信任列表中的文件來說，其活動將會受到嚴密監控。在“全集規則設置”欄中點擊“設置”鏈接，可以針對新建進程配置管控規則，其操作界面和上面提到的進程權限管理窗口完全一致，可以對新建進程的所有動作進行管控。

為了保護文件安全，避免對其進行非法操作，可以在窗口左側點擊“文件設置”按鈕，在彈出窗口中的“路徑/文件”欄中輸入文件路徑，例如輸入“C:*.doc”，表示保護C盤根目錄的所有DOC文件。如果勾選“繼承子目錄”項，則可以表示保護C盤中的所有DOC文件。在窗口底部選擇針對特定文件可以執行的權限，包括允許寫入、刪除文件、移動文件、創建文件等。如果不選擇對應的項目，表示無法對文件執行該操作。例如不能選擇“刪除文件”項，那么將無法刪除目標文件等。點擊“添加”按鈕，完成該文件訪問規則的創建。同理，可以創建多個文件訪問規則，實現對文件的全面保護。注冊表可謂系統的關鍵部位，自然是該軟件重點保護對象，點擊窗口左側的“注冊表設置”按鈕，在彈出窗口中顯示受到保護的注冊表項目。點擊“開啟整個注冊表保護”鏈接，那么整個注冊表都將處在保護范圍內。

在互聯網時代，上網沖浪是每個用戶幾乎每天的必修課，在網絡環境中，可謂充滿了危機，稍不注意，就可能遭到來自網絡的攻擊，因此，對網絡訪問進行全面保護，就顯得極為重要了。在窗口左側點擊“網絡設置”按鈕，在彈出窗口（如圖4所示）中點擊“啟動網絡保護”鏈接，激活網絡防護模塊。在“全部設置”欄中可以自由開啟或者禁止收發不同類型的網絡包，包括TCP、UDP、ICMP、IGMP、ARP 等 數 據包。對于內網用戶，最好點擊“ARP防護”鏈接，將ARP攻擊拒之門外。勾選“禁止下列服務”項，就可以毫不費力的關閉 137、138、139、445 等具有潛在隱患的網絡端口。在“網絡設置”面板中的“開始IP”和“結束IP”欄中分別輸入對應的IP，點擊“添加”按鈕，就可以該地址范圍添加到禁用列表中，之后該范圍的IP將無法和本機通訊。

防殺一體 為系統筑起安全墻

圖4 網絡安全設置界面

同以上軟件相比，火絨安全軟件是一款功能強悍的安全工具，可以對系統的方方面面進行防護，讓病毒木馬無隙可鉆，當其運行后，會隱藏在系統托盤中，對系統進行全面監控。無需進行任何設置，該軟件就可以對系統的各個關鍵部分進行保護。例如，可以對病毒進行實時防御、對未知病毒進行攔截、對下載文件和聊天內容進行監控、防御優盤病毒、對各種可疑動作進行攔截和防御等。在默認情況下，無需用戶過多干預，該軟件就可以抗擊各種安全威脅，當然，如果其發現有可疑文件試圖對系統進行破壞，就會彈出警告窗口引起用戶的注意。

在系統托盤中雙擊火絨安全圖標，在其主界面中點擊“實時防護”按鈕，可以在病毒防御、系統防護、網絡管理等面板中調整各個安全模塊的開啟或者關閉狀態。除了上面談到的保護項目外，還可以激活始針對瀏覽器主頁、ARP防護、通訊防護等模塊的保護功能。其實，火絨安全本身就是一款功能強悍的殺毒軟件，利用其內置的小巧高效的殺毒引擎，可以對病毒執行快速有效的清除操作。點擊“病毒查殺”按鈕，可以執行全盤查殺、快速查殺、自定義查殺等清掃模式。同別的殺毒軟件相比，火絨安全具有掃描速度快等優點。

點擊“網絡管理”按鈕，在打開窗口中可以對網絡活動進行全面監控。在流量監控界面中可以對處于活動狀態的各種網絡程序進行管理，設置其上傳或者下載的帶寬。在網絡連接界面中可以查看所有的網絡連接信息，不僅可以查看遠程主機的地理位置信息，而且可以執行關閉連接、定位文件、結束進程等操作。在歷史流量界面中可以查看不同網絡程序使用的總流量信息，找出消耗帶寬的“大戶”，對其進行合理限速。對于來歷不明的網絡程序，還可以為其配置安全規則，將其加入到阻止聯網程序列表中，切斷其連接通道。

在聯網控制界面中可以列出當前所有的聯網程序。也可以點擊“添加規則”按鈕，選中其他程序，將其添加到控制列表中來。在“規則范圍外程序聯網時”列表中如果選擇“阻止聯網”項，則禁止控制列表之外的程序訪問網絡。選擇“詢問我”項，則可以由您決定是否允許列表之外的程序訪問網絡。在“控制方式”列表中可以針對不同的程序，將其加入信任程序或者阻止聯網列表。如果選擇“自定義”項，在彈出窗口可以靈活控制其聯網行為。點擊“添加端口”按鈕，在端口規則編輯窗口中選擇合適的協議（TCP或者UDP），端口（單個端口或者某個端口范圍）、動作（外聯或者監聽）以及操作類型（允許聯網，阻止聯網），點擊確定按鈕，可以為該程序配置合適的端口規則。同理，可以添加多個端口規則，對該程序的聯網行為進行精確控制。

除了基本的防護功能外，火絨安全還自帶了一些實用的小工具。在其主界面中點擊“工具大全”按鈕，利用常用工具欄中提供的小工具，可以執行清掃垃圾、管理右鍵菜單、修改Host文件等操作。在“高級工具”欄中提供了一些實用性很強的安全工具，例如點擊“火絨劍”項，啟動系統安全高級分析工具，在其主界面中的“進程”面板中顯示所有的活動進程信息，選中對應的進程，可以查看其模塊列表、句柄列表、內存列表信息。在“系統”面板中點擊“開啟監控”按鈕，在監控范圍內的程序活動情況盡收眼底，包括執行監控、文件監控、注冊表監控、進程監控、網絡監控、行為監控等。

在“啟動項”面板中列出了所有的啟動項信息，可以讓隱藏其中的病毒木馬徹底現出原形。在窗口左側可以分門別類選擇啟動項類型，所有的可疑項目全部以紅色進行標記。對于病毒木馬啟動項，直接將其刪除或者禁用即可。在“服務”、“內核”、“鉤子”、“驅動”等面板中，可以讓您管理和查看所有的系統核心項目，對于標記為紅色或者黃色的項目，表示其非常可疑需要小心提防。在“網絡”面板中顯示所有的網絡連接項目，對于沒有數字簽名的對象，要仔細對其進行安全性檢測。如果病毒封鎖了注冊表編輯器，隱藏了相關文件，可以在“注冊表”或者“文件”面板中對注冊表進行編輯，對文件進行查看或者訪問。在“高級工具”欄中點擊“通訊防護”項，可以管理通信防護項目，可以對ICMP規則、端口規則、IP規則、IP黑名單等對象進行修改、添加、激活等管控操作，這對于提高網絡安全意義非凡。

火絨安全的一大特點是具有主動防御功能，可以對未知病毒的活動進行監控。點擊“防護規則”項，在規則管理界面左側點擊“系統防護項目”項，在右側可以管控針對文件系統保護，不同的模塊其中包含了數量不等的規則項目，在默認情況下，火絨安全已經開啟了一些最關鍵的保護項目，有些次要一些的安全項目并未開啟，您可以根據需要來激活所需的項目，例如，針對越來越多的病毒采用驅動文件的行為進行加載的情況，可以在“敏感動作攔截”欄中選擇“驅動加載”項，讓這些高級病毒無法隱藏自己的蹤跡。當然，您也可以自定義規則，進一步提高防御能力。在窗口左側點擊“自定義防護項目”項，在右側窗口點擊“添加規則”項，輸入規則名稱，選擇規則類型（包括文件保護和注冊表保護），添加所需的規則。對于文件保護規則來說，可以為選定的文件配置保護動作，包括創建、讀取、寫入、刪除、執行等。對于注冊表保護動作來說，可以對選中的注冊表路徑配置保護動作、。對于受到保護的項目來說，對其訪問必須安裝規則進行。例如，對與注冊表中的某個啟動項來說，如果為其設置禁止創建、刪除、寫入等規則，那么別的程序就無法對其執行修改動作了。當然，您也可以使用現成的安全規則。點擊“導入”按鈕，選擇后綴為“.json”的規則文件，就可以將其中的規則項目全部添加進來。打開網址“http://bbs.huorong.cn/forum-45-1.html”，可以在線搜索所需的規則文件。