1. 首頁 > 生活百科 > >

風云防火墻使用方法詳解新系統了解的東西( 四 )

電腦知識


下為防范規則界面:

風云防火墻使用方法詳解新系統了解的東西

文章插圖

這里所指的防范規則就是對加殼程序,線程注入程序運行所指定的特殊規則 。 與前面講到的程序規則設置基本相同,可以在程序初次運行時出現如下應答提示窗口時選擇允許禁止,也可在這個界面中進行規則的增刪修改,同樣支持導入導出規則 。 這里還要提到幾個常識性概念 。
【加殼:其實是利用特殊的算法,對EXE、DLL文件里的資源進行壓縮 。 類似WINZIP 的效果,只不過這個壓縮之后的文件,可以獨立運行,解壓過程完全隱蔽,都在內存中完成 。 解壓原理,是加殼工具在文件頭里加了一段指令,通知CPU進行運算 。 ,只有你機器配置極低,才會感覺到不加殼和加殼后的軟件運行速度的差別 。 當你加殼時,其實就是令可執行的程序在內存中解開,解開后,以后的就交給真正的程序 。 所以,這些工作只是在內存中運行的,難于了解具體運行的指令方式 。 通常說的對外殼加密,都是指軟件被一些專門的加殼程序加殼,基本上是對程序的壓縮過程 。 因為有的時候程序過大,需要壓縮 。 但是大部分的程序是因為防止反跟蹤調試,防止算法被別人靜態分析 。 加密代碼和數據,保護你的程序數據的完整性 。 不被修改或者窺視你程序的內幕 。 鑒于這個原理,很多病毒為了防止遭遇查殺,隱藏運行,都會進行加殼處理,甚至使用不同的加殼工具層層加殼 。 】
【線程注入:一種常見的程序運行特殊手段,往往木馬服務端通過代碼注入,將自己注入到一個可以合法的與外界進行網絡通訊的進程(比如 IE, ICQ, OICQ, IIS等)的地址空間中,然后或者可以以一個新線程的形式運行,或者只是修改宿主進程,截獲宿主進程的網絡系統調用(WinSock) 。 后者的實現可能要麻煩一些 。 如果是以新線程的形式運行,那么然后或者可以被動偵聽,或者可以主動連接 。 在系統運行過程中,一些正常合法軟件(大多是即時通信類)也往往會有線程注入其他系統服務或模塊的行為,這需要自己積累一定的相關經驗,加以正確判斷 。 】
下面是體現風云防火墻偵殼與防止危險線程注入功能的一組實測圖片(限于篇幅只能部分提供),經過多種類型的測試足以表明它的這個特色功能是很強大完善的 。
風云防火墻使用方法詳解新系統了解的東西

文章插圖

最下是文件監控窗口:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

這個功能是實時監控指定文件路徑,文件格式(擴展名)所有相關文件的屬性變更,它的主要作用在于防止病毒,惡意軟件隱形進行非法的后臺安裝,掃描用戶文件被未經授權的更改 。 這是風云防火墻新增的另一個很實用的特色功能 。 在上面的界面中用戶可以點擊文件監控自定義參數進行自主修改,各類型的擴展名以.*格式依次填入,例如要增加對.txt文件的監控在文件監控類型框里.EXE.DLL緊跟輸入.TXT按確定即可 。 這個設置的變更需要重新程序方可生效 。 不宜隨意增加監控文件目錄或類型否則會觸發頻繁氣泡提示或聲音報警以及文件監控日志記錄 。
下為監控事件記錄:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

再返回程序主界面,打開文字標題欄設置--詳細設置或圖標工具欄系統設置,首先出現如下監控設置界面,建議普通用戶全部選擇開啟以達到全方位的保護目的 。
風云防火墻使用方法詳解新系統了解的東西

文章插圖

向右依次是注入線程排除程序:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

【風云防火墻使用方法詳解新系統了解的東西】系統默認設置里排除了XDICT.EXE(金山詞霸),GAMECLIENT.EXE(浩方對戰平臺客戶端) 。 在這里你可以手動增加確認安全的注入線程程序名稱或進行刪除 。
ARP保護:
風云防火墻使用方法詳解新系統了解的東西

文章插圖

點擊選擇啟用ARP保護功能, 將本地及網關IP地址分別填入,按“讀取MAC”按鈕得到如上圖二者MAC值,確認退出即可 。 (MAC是媒體存取控制的簡稱,MAC地址是數據鏈路層的 MAC子層的地址,用于在局域網上通訊時確定發送方和接收方 。 MAC地址即是網卡的硬件地址 。 也就是IP實際地址,)
風云防火墻使用方法詳解新系統了解的東西

推薦閱讀