1. 首頁 > 生活百科 > >

風云防火墻使用方法詳解新系統了解的東西( 三 )

電腦知識


下圖為服務啟動項界面:

風云防火墻使用方法詳解新系統了解的東西

文章插圖

紅色圖示為檢查服務啟動項目時,找到的一個隱藏服務--灰鴿子服務端程序 。 【灰鴿子木馬分兩部分:客戶端和服務端 。 攻擊者操縱著客戶端,利用客戶端配置生成出一個服務端程序 。 服務端文件的名字默認為G_Server.exe 。 (上面這個2006最新版本的灰鴿子木馬病毒服務端名稱為 Windows XP Vista,可謂與時俱進) 。 G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT 下為系統盤的Winnt目錄),然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下 。 G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作 。 注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll 。 Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出 。 G_Server.dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒 。 因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務項 。 隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在 Explorer.exe的進程空間中,有時候則是附在所有進程中 。 】
一般來講絕大多數的木馬病毒都會尋找隱藏的服務和進程自動運行以達到隨時發動而不為人察覺的目的 。 常規啟動項和服務啟動項檢查可以準確了解隨系統自動啟動的所有應用程序及服務,令這些隱蔽性危害性極強的木馬病毒無所遁形,發現可疑項目可以點擊選中后后按刪除選定將其刪除 。 僅從優化系統性能的角度考慮,即使是安全的應用程序和服務在跟隨系統同時啟動之際的數量也是少少益善 。 此界面的安全優化服務功能,即可用來針對性的安全關閉多項不需要的系統服務 。
這是文件關聯項界面:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

多種病毒會在運行時對注冊表進行惡意修改,造成默認文聯錯誤,使用戶在在打開常規文件項目時系統對其直接調用,達到加載運行的目的,導致系統不能正常運行 。 發現可疑文件關聯,點擊自動修復即可恢復正常文件關聯,防止該類型文件為病毒利用 。 請見下圖:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

這里要提到的是,風云防火墻作為一款安全防護軟件,目前這個實用功能只是基于系統安全防護角度考慮的,它只監控修改注冊表 [HKEY_CLASSES_ROOTtxtfileshellopencommand]@=NOTEPAD.EXE %1這個關鍵鍵值,對于非安全性方面的系統文件關聯錯誤非關鍵鍵值并未加以考慮 。
以下是特洛伊檢測shell插件界面:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

通俗理解,shell插件就是IE瀏覽器插件,雖然IE的功能越來越強大完備,但并非就是全能,很多時候我們可能還是不得不借助某些第三方軟件來完成一些特殊任務 。 如果你不想為了某一個功能安裝其他瀏覽器的話,可以安裝相應的插件,這樣就可以為瀏覽器強身健體,實現功能擴展,從而使其完成一些過去看起來無法完成的任務,例如讓IE支持斷點續傳、快速搜索關鍵詞、多窗口打開新頁面、自動填寫表單、網頁翻譯、直接查看EXIF信息等 。 同時,這也很容易被某些惡意軟件或廣告程序利用,打開瀏覽器之后自動加載一些影響用戶上網操作和網絡性能的Shell,也帶來很多安全方面的威脅,稱為惡意插件!按照其危險破壞程度的一般分為高中低三類 。 對于確認的惡意或無用插件,選定后可以立即進行刪除 。 如下圖是刪除惡意插件后的界面:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

這里需要提到的是該功能現今對于某些頑固流氓惡意插件,例如百度搜霸,網絡實名等尚不能做到徹底成功清除,可以適當考慮進一步改進,增強廣譜查殺能力 。 為用戶省卻需再另外安裝其他惡意流氓軟件查殺工具的麻煩豈不功德圓滿,皆大歡喜 。
下是進程查看界面:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

此界面可查看系統目前運行的所有進程及其進程路徑,進程ID,軟件廠商,行為描述,子模塊調用等詳細信息,可找出隱藏進程,并可對危險進程進行選定后,點擊終止選中進程窗口按鈕進行強制性終止 。

推薦閱讀